La svolta europea sul concetto di dati anonimi: la causa T-557/20 e l'orientamento del Tribunale dell'UE
Per comprendere se un soggetto sia identificabile, occorre tener conto dell'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da terzi per identificare l'interessato
La normativa in materia di protezione dei dati personali si applica, come è noto, a qualsiasi informazione riguardante una persona fisica identificata o identificabile, nonché ai c.d. dati pseudonimizzati, vale a dire quei dati personali che non identificano direttamente un soggetto ma che possono essere attribuiti a un interessato specifico solo tramite l'utilizzo di informazioni aggiuntive (ad esempio, usando liste di corrispondenza delle identità con i relativi pseudonimi).
Non si applica invece ai dati anonimi, ossia le informazioni che non si riferiscono a una persona fisica identificata o identificabile o quei dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.
Per comprendere se un soggetto sia identificabile, occorre tener conto dell'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da terzi per identificare l'interessato.
Negli ultimi tempi, tuttavia, le possibilità di re-identificazione sono notevolmente aumentate grazie al progresso tecnologico e alla più diffusa circolazione dei dati. Pertanto la nozione di dato anonimo e di dato pseudonimizzato è stata in più occasioni oggetto di nuove riflessioni, da ultimo proprio con la sentenza del 26 aprile 2023 del Tribunale dell'Unione europea nell'ambito della causa T-557/20 .
I fatti
La sentenza origina dal ricorso presentato dal Comitato di risoluzione unico (di seguito, per brevità, "CRU") avverso una decisione del Garante europeo della protezione dei dati che aveva accertato la violazione dell'obbligo di informativa ai sensi del Reg. (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati.
Nell'ambito di un programma di risoluzione di un istituto bancario spagnolo, infatti, il CRU aveva raccolto le osservazioni dei creditori e degli azionisti di tale istituto al fine di accertare se questi ultimi avrebbero ricevuto un trattamento migliore se l'istituto fosse stato sottoposto a una procedura ordinaria di insolvenza.
Parte di tali osservazioni, identificate con un codice alfanumerico a 33 cifre generato in modo casuale al momento della ricezione, erano quindi state trasmesse a un soggetto terzo in qualità di valutatore indipendente (di seguito, anche "valutatore"). Le osservazioni trasmesse erano dissociate dalle informazioni personali dei soggetti che le avevano inviate e il valutatore non aveva accesso alla banca dati contenente i dati personali raccolti in fase di ricezione delle osservazioni, né alla chiave dati o ad altre informazioni che consentissero di risalire all'identità di un partecipante tramite riferimento al codice alfanumerico unico assegnato a ciascuna osservazione.
Tuttavia, secondo il Garante, il CRU non avrebbe reso noto agli interessati che i propri dati sarebbero stati trasmessi, sebbene in forma pseudonimizzata, a un soggetto terzo esterno e indipendente, in violazione perciò dell'obbligo di informativa.
Tra le altre richieste, il CRU ricorreva al Tribunale UE per chiedere l'annullamento della decisione del Garante europeo, sostenendo in particolare che nessun dato personale fosse stato in realtà oggetto di comunicazione esterna. Secondo il CRU infatti "le informazioni contenute nelle osservazioni dei reclamanti erano informazioni di fatto e di diritto, indipendenti dalle persone o dalle qualità personali dei reclamanti e non connesse alla loro vita privata" (punto 60) e, pertanto, i dati non potevano considerarsi concernenti una persona fisica. Inoltre, il CRU sosteneva che i dati erano di fatto anonimi per il valutatore terzo, considerato che "il formato in cui i dati [erano stati] comunicati a tale terzo non consent[ivano] più l'identificazione dell'autore delle osservazioni o non la rende[vano] ragionevolmente verosimile" (punto 77).
Al contrario, secondo il Garante europeo "il contenuto delle osservazioni degli azionisti e dei creditori interessati è un'informazione che li «concerne», in quanto le loro risposte contenevano e riflettevano il loro punto di vista personale, anche se si basavano su informazioni accessibili al pubblico (…) a prescindere dal fatto che siano espressione di un parere originale o di un parere condiviso con altri" (punto 61).
Inoltre, secondo il Garante, i dati trasmessi al valutatore indipendente non sarebbero divenuti anonimi, bensì sarebbero rimasti pseudonimizzati, non essendo "necessario stabilire se gli autori delle osservazioni trasmesse [al valutatore] fossero re-identificabili da quest'ultim[o] o se tale re-identificazione fosse ragionevolmente probabile" (punto 79).
L'orientamento del Tribunale
In primo luogo, il Tribunale si sofferma sull'esame della natura delle informazioni trasmesse dal CRU al valutatore indipendente al fine di acclarare se possano effettivamente costituire dati personali.
Richiamando la sentenza del 20 dicembre 2017, Nowak, C 434/16, il Tribunale afferma che dato personale è "potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano «concernenti» la persona interessata".
Occorre, in altre parole, accertare che l'informazione sia connessa a una determinata persona in ragione del suo contenuto, della sua finalità o del suo effetto.Alla luce di ciò, il Tribunale ritiene che il Garante europeo non abbia esaminato né il contenuto, né la finalità, né l'effetto delle informazioni trasmesse al valutatore e, pertanto, non possa concludere che queste costituiscano un'informazione "concernente" una persona fisica ai sensi del richiamato Regolamento europeo.
Inoltre, secondo il Tribunale, il Garante europeo avrebbe omesso un esame fondamentale per valutare se le informazioni trasmesse al valutatore fossero dati personali o meno. A tal fine, infatti, il Garante avrebbe dovuto verificare se il valutatore "disponeva di mezzi legali e realizzabili in pratica che gli consentissero di accedere alle informazioni aggiuntive necessarie per la re-identificazione degli autori delle osservazioni".
Il Garante ha invece ritenuto sufficiente il fatto che il CRU possedesse le informazioni aggiuntive che consentivano di re-identificare gli autori delle osservazioni, per concludere che le informazioni trasmesse al valutatore erano dati personali, pur riconoscendo che i dati identificativi dei soggetti non erano stati a quest'ultimo mai comunicati.
"Risulta quindi che il Garante si è limitato ad esaminare la possibilità di re-identificare gli autori delle osservazioni dal punto di vista del CRU e non del [valutatore]" (punto 103).
Non potendo dunque accertare che si trattasse di dati personali o meno, il Tribunale ha accolto il ricorso e ha annullato la decisione del Garante europeo.
Una nuova interpretazione
Con questa pronuncia il Tribunale dell'Unione europea fornisce una nuova prospettiva di analisi e di interpretazione della valutazione del rischio di re-identificazione, già nota e pacifica nella giurisprudenza europea.
Secondo i giudici lussemburghesi, al fine di stabilire se un dato sia personale e, dunque, possa essere riconducibile a un interessato, non è condizione sufficiente che le informazioni aggiuntive (utilizzabili per re-identificare) siano detenute o in possesso di un terzo soggetto. Per stabilire se le informazioni costituiscano dati personali, occorre invece porsi dal punto di vista del soggetto destinatario delle medesime e valutare se la possibilità di combinare le informazioni trasmesse con eventuali informazioni aggiuntive in possesso del terzo costituisca un mezzo ragionevolmente attuabile per identificare gli interessati.
La sentenza qui in commento è senz'altro degna di nota per i potenziali risvolti che potrebbe avere nel settore della sanità e della ricerca scientifica, ove sempre più frequentemente si invocano criteri e standard universali e uniformi per definire quando un dato sia anonimo o meno.
Sarà interessante verificare se tale orientamento sarà abbracciato e fortificato da eventuali successive prese di posizione, potendo rappresentare una svolta per l'interpretazione del concetto di anonimato dei dati. Nel frattempo, si tratta senz'altro di una pronuncia che denota una certa apertura, collocandosi nel solco di quella data strategy promossa dal legislatore europeo.
*a cura dell' Avv. Laura Greco, DigitalMediaLaws
Emilio Battaglia*
Norme & Tributi Plus DirittoElisa Chizzola*
Norme & Tributi Plus Diritto