I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Quando gli pseudonimi non sono dati personali – 2

Torniamo sulla decisione del Tribunale europeo del 26 aprile 2023 in merito alla controversia intervenuta tra l’agenzia europea (Comitato di risoluzione unico – CRU) e l’EDPS riguardo all’impugnazione di una decisione del Supervisore europeo contro lo stesso CRU per presunta violazione degli obblighi di informazione degli interessati, tramite l’informativa privacy.

In questa tornata esaminiamo alcuni passaggi rilevanti della decisione in tema di perimetro definitorio di “dato personale” e della portata applicativa della pseudonimizzazione, specie nei riguardi di una terza parte. Il Tribunale tiene conto anche degli interventi dei giudici amministrativi nazionali nonché, per alcuni aspetti, di una pronuncia pregiudiziale della CGUE, coinvolta nel complesso iter procedurale.

La decisione del Tribunale è impugnabile dinanzi alla CGUE entro due mesi dalla notifica alle parti.

Sintesi

Riguardo alla decisione del Tribunale europeo relativa alla controversia tra CRU ed EDPS possono trarsi le seguenti conclusioni:

  • il Tribunale non è intervenuto in merito all’interrogativo se i dati pseudonimizzati sono sempre dati personali ma, piuttosto, ha indicato i criteri determinativi di questo accertamento
  • In primo luogo, occorre verificare se le informazioni oggetto della pseudonimizzazione sono “dati personali”secondo l’accezione di EUDPR e GDPR
    • In proposito, bisogna accertare la presenza delle due condizioni cumulative cioè: (a) che le informazioni “concernono” persone fisiche e (b) che la persona fisica sia “identificata direttamente o indirettamente”
  • Una volta superato positivamente il primo vaglio, si passa ad accertare se i dati pseudonimizzati siano re-identificabili per il soggetto di riferimento: cioè, qualora si verta in merito a dati pseudonimizzati messi a disposizione di una terza parte (es. un responsabile del trattamento) se tali dati siano re-identificabili nella prospettiva della terza parte
    • Per stabilire la re-identificabilità – come precisato dai considerando di EUDPR e GDPR – occorre accertare se il soggetto di riferimento (a) abbia la “ragionevole possibilità” di re-identificare e (b) disponga o possa ragionevolmente disporre di mezzi – legali e operativi – necessari a tal fine
  • In caso di contestazioni, gli accertamenti sopra richiamati sono di spettanza dell’autorità di supervisione, riguardano la situazione specifica del caso in esame e devono essere fondati su elementi oggettivi.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form