La relatività del dato personale, ma non solo: la CGUE interpreta anche l’obbligo di informativa

I commenti alla sentenza della Corte di Giustizia dell’Unione europea sulla nozione di dato pseudonimizzato, emanata il 4 settembre nell’ambito della causa C-413/23P, si moltiplicano di ora in ora. D’altronde, per quanto non introduca concetti nuovi, è indubbia la portata della pronuncia in esame nella parte in cui sancisce il principio della relatività del dato personale. Ma questa non è la sola statuizione della tanto attesa sentenza. In questo contributo si cercherà quindi di evidenziare anche gli altri punti della sentenza meritevoli di una riflessione.

I giudici del Lussemburgo, chiamati a pronunciarsi sul caso CRU c. Garante europeo della protezione dei dati già oggetto di esame da parte del Tribunale dell’UE (Cfr. “La svolta europea sul concetto di dati anonimi: la causa T-557/20 e l’orientamento del Tribunale dell’UE”, Laura Greco, Norme & Tributi Plus Diritto, 1° Giugno 2023), hanno scritto nero su bianco che “la pseudonimizzazione può incidere sul carattere personale” dei dati e che “può, a seconda delle circostanze del caso di specie, effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile”.

In altre parole, per verificare la natura dei dati, occorre tenere conto della prospettiva del destinatario dei dati e valutare se questi ha i mezzi (da intendersi, ad esempio, come risorse economiche, di tempo, manodopera) ragionevoli per aggirare (o, per usare la terminologia della Corte, per “revocare”) le misure di sicurezza applicate ai dati e, dunque, risalire all’identità del soggetto a cui tali dati si riferiscono. Qualora, all’esito di una verifica da condurre caso per caso, non sia ragionevole la re-identificazione, i dati allora – benché continuino a essere pseudonimizzati per il titolare del trattamento – possono considerarsi anonimi per il destinatario dei dati.

Se in merito a questo rilievo la Corte di Giustizia accoglie le argomentazione di CRU, respingendo quelle del Garante europeo, al contrario i giudici accolgono due rilievi mossi dal Garante.

Dichiarando che il Tribunale dell’Ue è incorso in errore nel precedente giudizio, la Corte afferma che al fine di verificare la sussistenza di uno dei requisiti essenziali della nozione di dato personale (cioè la circostanza che le informazioni “riguardino” o siano “concernenti” una persona fisica), non occorra esaminare il contenuto, la finalità o gli effetti di dette informazioni, come sostenuto dal Tribunale.

Nel caso di specie, secondo la Corte, è pacifico si trattasse di dati personali in quanto le informazioni in esame esprimevano l’opinione o il punto di vista personale dei loro autori e, dunque, in quanto espressione del pensiero di questi, erano necessariamente strettamente connesse alle loro persone.

Un altro rilievo mosso dal Garante riguarda la presunta violazione dell’obbligo di informativa, dal momento che CRU non indicava, tra i destinatari dei dati personali, il soggetto che avrebbe ricevuto i dati pseudonimizzati.

Ebbene, benché la Corte riconosca che i dati, dalla prospettiva di tale destinatario, siano anonimi, ha ritenuto necessario che nell’informativa tale destinatario fosse in ogni caso indicato. A sostegno di tale conclusione la Corte afferma: “l’obbligo di informazione incombente al CRU si applicava nella fattispecie a monte del trasferimento delle osservazioni in questione e a prescindere dal fatto che fossero o meno dati personali, dal punto di vista di D. [Omissis], dopo la loro eventuale pseudonimizzazione. […] la questione se il titolare del trattamento abbia, in tale momento, rispettato il suo obbligo di informazione non può dipendere dalle possibilità di identificazione dell’interessato, di cui disporrebbe, eventualmente, un eventuale destinatario dopo un ulteriore trasferimento dei dati”.

In conclusione, la sentenza in commento apre di certo nuovi orizzonti e opportunità di circolazione dei dati personali e avrà un impatto immediato in settori come la sanità, la ricerca scientifica e l’intelligenza artificiale che potranno beneficiare di questa prospettiva. Qualche dubbio rimane sull’utilità di inserire in informativa un destinatario di dati laddove sia accertato che per questo i dati sono anonimi.

Se l’informativa risponde a un principio di trasparenza e correttezza volto a consentire all’interessato di difendersi, quali diritti potrebbe fare valere nei confronti di un destinatario per il quale i dati sono anonimi?

_______

*Avv. Laura Greco, Studio Legale Giusella Finocchiaro

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più