Con la sentenza del 26 aprile scorso, la Corte di Giustizia della Corte UE ha dato ragione al Comitato di risoluzione unico (CRU), l’autorità di risoluzione delle crisi dell’Unione bancaria europea e ha condannato alle spese processuali il Garante Privacy Europeo.
Indice
I fatti
Il CRU, dopo aver raccolto, attraverso un modulo sul proprio sito web, 7 risposte aperte da parte di azionisti e creditori interessati, ha trasferito queste risposte ad una società terza (Deloitte) per una valutazione. Il Comitato di risoluzione unico non ha trasferito i dati in chiaro di coloro che hanno risposto al sondaggio, ma solo le risposte con un codice alfanumerico.
Ma il Garante Privacy Europeo ha, invece, considerato questi dati non anonimi, ma pseudonimizzati. Per due motivi:
- perché le osservazioni della fase di consultazione erano dati personali
- perché il CRU condivideva il codice alfanumerico che consentiva di collegare le risposte ricevute nella fase di iscrizione a quelle della fase di consultazione, sebbene i dati forniti dai partecipanti per identificarsi durante la fase di iscrizione non fossero stati comunicati a Deloitte.
Il Garante Privacy Europeo, quindi aveva sanzionato il Comitato di risoluzione unico per la violazione dell’articolo 15 del GDPR, per non aver citato Deloitte nell’informativa privacy.
La decisione della Corte di Giustizia dell’UE
La Corte ha capovolto la decisione del Garante chiarendo un principio fondamentale nell’applicazione del GDPR.
La Corte, in particolare, ha affermato che “è pacifico, da un lato, che il codice alfanumerico figurante sulle informazioni trasmesse a Deloitte non consentiva di per sé di identificare gli autori delle osservazioni e, dall’altro, che Deloitte non aveva accesso ai dati identificativi ricevuti durante la fase di iscrizione che consentivano di collegare i partecipanti alle loro osservazioni grazie al codice alfanumerico”.
Per il caso di specie il giudizio non è chiuso in quanto spetterà al tribunale esaminare se nel concreto “le informazioni trasmesse a Deloitte concernessero una persona fisica ‘identificata o identificabile”. Ossia, i giudici in un secondo momento andranno a verificare se realmente le informazioni trasmesse a Deloitte fossero dati personali.
Ad oggi, però, il principio stabilito dalla Corte di Giustizia dell’UE è anche per le Aziende fondamentale: per stabilire se le informazioni trasmesse a terzi costituiscano dati personali, occorre porsi dal punto di vista di questi ultimi per determinare se le informazioni che sono state trasmesse si riferiscano a «persone identificabili.
In altri termini, è fondamentale verificare se soggetti terzi hanno i mezzi legali disponibili per consentire loro di avere accesso alle informazioni aggiuntive necessarie per re-identificare le persone a cui appartengono i dati (sulle tecniche di pseudonimizzazione, vedi il nostro approfondimento)
Commento
Occorrerà qualche tempo per metabilizzare questa nuova prospettiva per comprendere esattamente i risvolti operativi che ne comporta.
Con tutta probabilità, l’EDPB ne terrà conto nelle nuove Linee Guida sulla pseudonimizzazione, in agenda per il 2023/2024.