I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

Pseudonimizzazione

Il tema della pseudonimizzazione sta acquistando rilevanza negli ultimi tempi.

Il Comitato europeo ha rilasciato le linee guida 01/2025 insieme a un documento di sintesi su quando e come attuare la pseudonimizzazione, in consultazione pubblica sino al 14 marzo 2025.

La sentenza del Tribunale europeo del 26 aprile 2023 (nella causa T-557/20) – di annullamento della decisione dell’EDPS la quale, tra l’altro, ribadiva la qualificabilità dei dati pseudonimizzati come “dati personali” – è stata impugnata dal Supervisore europeo ed è in calendario per la decisione finale della Corte di giustizia nella causa c-413/23 P.

Nel frattempo, il 6 febbraio 2025 l’avvocato generale ha presentato le sue conclusioni con rilevanti valutazioni su questo tema.

Considerata l’importante funzione della pseudonimizzazione nel contesto della protezione dei dati personali, ci soffermiamo su questi sviluppi.

Pseudonimizzazione come trattamento

Consistendo in operazioni di elaborazione di dati personali, la pseudonimizzazione è un “trattamento di dati personali” di per sé, come confermato dalla definizione contenuta nel GDPR [art. 4 5)]; di conseguenza, essa deve soddisfare principi (art. 5) e requisiti di liceità (art. 6) prescritti dal regolamento generale.

Requisiti di liceità

Conformemente al principio di trasparenza, la pseudonimizzazione deve essere comunicata dal titolare del trattamento all’interessato tramite l’informativa, all’atto della raccolta dei dati (art. 13) o nei termini di legge, nel caso di acquisizione dei dati da fonti terze (art. 14, GDPR).

In linea con l’interpretazione dell’Avvocato Generale nella causa C-413/23 P, l’informativa dovrà includere anche le modalità d’uso dei dati pseudonimizzati, insieme all’indicazione dei destinatari in caso di loro comunicazione.

In senso generale, anche tenendo conto del tracciato logico seguito dall’Avvocato Generale, si delineano le seguenti considerazioni:

  • i dati pseudonimizzati devono necessariamente considerarsi “dati personali” per il titolare del trattamento che ha effettuato la pseudonimizzazione, in quanto questi dispone delle informazioni aggiuntive che permettono di re-identificare l’interessato
  • di conseguenza, in relazione a queste operazioni, il titolare è soggetto agli obblighi di legge, tra cui, l’obbligo di informativa riguardo ai dati pseudonimizzati
  • l’obbligo di informativa impone al titolare di indicare destinatari o potenziali destinatari dei dati, cioè i soggetti a cui vengono trasmessi, o che possono accedere ai dati pseudonimizzati
  • peraltro, l’informativa impatta sull’esercizio del diritto di opposizione nel caso in cui la base giuridica per il trattamento di pseudonimizzazione sia riscontrata nell’interesse legittimo del titolare o di terzi.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4