NEWS

Corte di Giustizia UE, il dato pseudonimo non e' per sempre: dipende dalla identificabilità dell'interessato

La sentenza della Corte di Giustizia dell'Unione Europea del 4 settembre 2025 ha invalidato la pronuncia del Tribunale dell’Unione europea del 26 aprile 2023 nella causa C-413/23-P, promossa dal Garante europeo della protezione dei dati (GEPD) contro il SRB (Single Resolution Board, agenzia dell'Unione Europea per la gestione delle crisi bancarie).

Nel giugno 2017 il SRB adottava un programma di risoluzione per il Banco Popular Español SA dichiarato in crisi, programma culminato nel trasferimento delle azioni all'acquirente Banco Santander SA, e nell’agosto 2018 il SRB apriva una procedura per stabilire se agli azionisti/creditori del Banco Popular spettasse un indennizzo, con la previsione di una fase di iscrizione, in cui gli interessati dovevano dimostrare il possesso dei titoli al momento della risoluzione, e di una di consultazione, in cui dovevano presentare le osservazioni.

Alla società Deloitte, quale valutatore indipendente, venivano trasmesse dal SRB le osservazioni dei creditori/azionisti ricevute nella fase di consultazione, con un codice alfanumerico e senza possibilità di accesso ai dati raccolti durante la fase di iscrizione.

Nell'ultimo trimestre del 2019 alcuni azionisti/creditori proponevano reclami dinanzi al GEPD rilevando che il SRB non li aveva informati che i dati raccolti sarebbero stati trasmessi a Deloitte.

Nel 2020 il GEPD riconosceva la violazione dell’obbligo da parte del SRB che a sua volta ricorreva contro la decisione davanti al Tribunale dell'Unione Europea, sostenendo nel ricorso che le informazioni trasmesse a Deloitte non costituivano dati personali.

Il Tribunale accoglieva, sul punto, il ricorso annullando la decisione del GEPD.

Nel procedimento di impugnazione della sentenza del Tribunale dell'Unione Europea dinanzi alla Corte, il GEPD ha dedotto la violazione dell’articolo 3, punti 1 e 6, del regolamento 2018/1725 (attinenti al concetto di “dati personali” e di "pseudonimizzazione”), 'spacchettando' il motivo in due parti: la prima riguardante la condizione, prevista all’articolo 3, punto 1, di tale regolamento, secondo cui l’informazione «concerne» una persona fisica; la seconda concernente la condizione, prevista nella medesima disposizione, relativa al carattere «identificabile» di tale persona.

Il GEPD aveva contestato che, contrariamente a quanto dichiarato dal Tribunale nella sentenza impugnata, le informazioni trasmesse a Deloitte concernevano una persona fisica.

Secondo la Corte, in effetti, il Tribunale non ha tenuto conto della “particolare natura delle opinioni o dei punti di vista personali che, in quanto espressione del pensiero di una persona, sono necessariamente strettamente connessi a quest’ultima”. Esso è allora incorso in un errore di diritto laddove ha affermato “che il GEPD, per concludere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte «concernevano» (...) le persone che avevano presentato tali osservazioni, avrebbe dovuto esaminare il contenuto, la finalità o gli effetti di dette osservazioni, essendo pacifico che esse esprimevano l’opinione o il punto di vista personale dei loro autori”.

Ulteriormente il GEPD ha contestato al Tribunale di avere erroneamente dichiarato di non poter ritenere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte concernessero una persona fisica «identificabile», ai sensi dell’articolo 3, punto 1, del Regolamento UE 2018/1725.

Secondo il GEPD, la sentenza impugnata non tiene adeguato conto della distinzione tra anonimizzazione e pseudonimizzazione perché, secondo l’interpretazione del Tribunale, i dati personali cambierebbero natura quando sono trasmessi a un’entità esterna al titolare del trattamento che non dispone di informazioni aggiuntive che consentano di identificare l’interessato.

Per la Corte, che stavolta dà ragione al SRB, la pseudonimizzazione ha l’obiettivo di evitare che l’interessato possa essere identificato mediante i soli dati pseudonimizzati.

Ne consegue che, pur a condizione che siano effettivamente attuate misure tecniche ed organizzative idonee a prevenire un’attribuzione dei dati di cui trattasi all’interessato, in modo tale che quest’ultimo non sia o non sia più identificabile, la pseudonimizzazione può incidere sul carattere personale di tali dati.

Quella di dato pseudonimizzato non è una nozione illimitata e, se il Regolamento UE 2018/1725 contiene obblighi, come quello di fornire informazioni all’interessato, il cui rispetto presuppone l’identificazione dell’interessato, allora “obblighi del genere non possono essere imposti a un soggetto che non sia affatto in grado di procedere a tale identificazione” e la censura del ricorrente stavolta è respinta.

Da ultimo la Corte afferma che l’identificabilità dell’interessato è da valutare al momento della raccolta dei dati e dal punto di vista del titolare del trattamento. Allora l’obbligo di informazione incombente al SRB “si applicava (...) a monte del trasferimento delle osservazioni in questione e a prescindere dal fatto che fossero o meno dati personali, dal punto di vista di Deloitte, dopo la loro eventuale pseudonimizzazione”. Il SRB era tenuto ad indicare Deloitte, nell'informativa ai creditori/azionisti, quale potenziale destinataria delle osservazioni.

Il rispetto da parte del titolare dell'obbligo informativo verso l'interessato non può dipendere dalle possibilità di identificazione dell’interessato di cui disporrebbe, eventualmente, un eventuale destinatario dopo la comunicazione dei dati. E la terza censura del ricorrente GEPD è stata accolta.

Con questa sentenza ha vinto un (corretto) approccio 'relativistico', nel senso che il titolare del trattamento deve impostare l'applicazione del proprio obbligo informativo con riferimento al momento della raccolta dei dati, prescindendo dal fatto che nel prosieguo, attraverso le operazioni che eseguirà sui dati, le informazioni suscettibili di essere trasmesse ad un destinatario potranno risultare (al destinatario stesso) dati anonimi.

Anche più marcato è l'approccio segnalato laddove la Corte destituisce di fondamento la natura “illimitata” - diremmo, assoluta - della nozione di dato pseudonimizzato: se l'operazione di pseudonimizzazione tende ad incidere sulla natura personale del dato, il dato può diventare, alle necessarie condizioni, un dato anonimo. Anonimo significa che l'interessato al quale il dato si riferiva in origine non è più identificato o identificabile, entro e con gli strumenti dell'organizzazione che tratta l'informazione. Con tutte le conseguenze che si possono trarre in termini di gestione e di successiva circolazione dell'informazione stessa.

Note sull'Autore

Paolo Marini Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Prev In vigore dal 12 settembre le disposizioni del Data Act, il nuovo regolamento europeo sull’accesso equo ai dati e sul loro utilizzo
Next Garante Privacy: la chiarezza come priorità nella gestione dei cookie

Il Presidente di Federprivacy a Settegiorni su Rai Uno

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy