CONTENUTO ESCLUSIVO

La sentenza della CGUE nel caso “Deloitte”: nuovi scenari nella gestione dei dati pseudonimizzati

Tempo lettura: 4 minutiSentenza CGUE: i dati pseudonimizzati sono sempre dati personali per il titolare, anche se il destinatario non può re-identificarli. Obbligo di informativa e altro

ARGOMENTO PRINCIPALE:

  • dati pseudonimizzati
  • GDPR
  • informativa
  • PRIVACY
  • trasparenza

    • Imprenditore?
    Ecco cosa devi sapere

    RESTA AGGIORNATO

    Imprenditore?
    Ecco cosa devi sapere

    • Rischi multe fino a 1 milione se salvi le password dei clienti
    • Implementa un sistema di gestione di password criptate
    • Inserisci sul sito, nelle avvertenze, la procedura che usi per salvare le password

    CONDIVIDI SU

    PRENOTA 30 MINUTI GRATIS
    Tempo lettura: 4 minuti

    La sentenza della CGUE nel caso “Deloitte”: nuovi scenari nella gestione dei dati pseudonimizzati

     

    Il caso deciso dalla Corte di Giustizia

     

    La controversia ha avuto origine dalla procedura di risoluzione del Banco Popular Español, decisa nel 2017, in forza della quale il Comitato di Risoluzione Unico/Single Resolution Board (SRB) aveva trasmesso le osservazioni di azionisti e creditori dell’istituto bancario alla società di revisione contabile e di consulenza Deloitte, incaricata di valutare comparativamente, in base al regolamento (UE) n. 806/2014, la differenza di trattamento derivante agli azionisti e ai creditori dall’applicazione di una procedura di risoluzione rispetto ad una procedura di insolvenza dell’ente in questione. Prima della trasmissione, l’SRB aveva pseudonimizzato i dati sostituendo i nominativi con codici alfanumerici, ma non aveva informato gli interessati dell’identità del destinatario terzo, che – diversamente dal SRB – non aveva possibilità di collegare le osservazioni ai dati identificativi dei relativi autori.

    Il Garante Europeo per la Protezione dei Dati (EDPS) aveva inizialmente dichiarato che l’SRB aveva violato gli obblighi informativi previsti dall’articolo 15 del Regolamento UE 2018/1725. Secondo l’EDPS, anche i dati pseudonimizzati trasmessi a terzi richiedevano la comunicazione dell’identità del destinatario agli interessati.

    Tuttavia, nel 2023 il Tribunale dell’Unione Europea aveva annullato la decisione dell’EDPS, sostenendo che i dati pseudonimizzati trasmessi a Deloitte non potevano essere considerati dati personali, dal lato del consulente, in quanto quest’ultimo, mediante il codice alfanumerico figurante sulle osservazioni trasmesse, non poteva identificare i relativi autori né aveva accesso ai dati identificativi forniti dagli interessati durante la fase di iscrizione, in modo tale da ricollegare i partecipanti con le rispettive osservazioni.
    La CGUE, con la sentenza del 4 settembre 2025, ha ribaltato questa decisione, accogliendo l’impugnazione dell’EDPS.

     

     

    I principi stabiliti dalla Corte di Giustizia

     

    La Corte di Giustizia ha chiarito che la qualificazione dei dati (come personali o anonimi) deve essere valutata dal punto di vista del titolare del trattamento, non del destinatario.
    Tale affermazione di principio comporta, conseguentemente, che, se per il titolare i dati rimangono identificabili – mantenendo la natura di dati personali, ancor più se riferiti ad osservazioni/opinioni/punti di vista personali, che in quanto espressione del pensiero di una persona sono a quest’ultima strettamente connessi – la trasmissione a terzi non modifica automaticamente questa qualificazione, anche se i destinatari dei dati non sono in grado di re-identificare gli interessati.

    La Corte ha, infatti espressamente stabilito che i dati pseudonimizzati devono necessariamente considerarsi dati personali per il titolare del trattamento che ha effettuato la pseudonimizzazione, indipendentemente dalla capacità del terzo destinatario di re-identificare gli interessati.

    Un ulteriore aspetto della sentenza da considerare riguarda il criterio per determinare quando i dati possano considerarsi effettivamente anonimi per il terzo destinatario. La Corte ha, a questo riguardo, fatto riferimento alla “ragionevole probabilità” di re-identificazione: solo quando il soggetto terzo non dispone concretamente di mezzi che consentano con “ragionevole probabilità” l’identificazione degli interessati – in modo tale che per quest’ultimo gli interessati non siano o non siano più identificabili – i relativi dati, in quanto non riferibili ad una persona fisica identificata o identificabile, possono considerarsi anonimi per quello specifico destinatario.

     

     

    Gli obblighi del titolare del trattamento

     

    La sentenza ha confermato che sussiste l’obbligo di informazione nei confronti dell’interessato da parte del titolare, anche in caso di trasferimento di dati pseudonimizzati.
    Questo principio si applica indipendentemente dal fatto che i terzi destinatari siano o meno in grado di re-identificare gli interessati, in quanto per la Corte di Giustizia l’obbligo di fornire l’informativa e il relativo contenuto devono essere valutati dal punto di vista del titolare al momento della raccolta dei dati.
    Se, pertanto, per il titolare i dati restano personali, la comunicazione verso terzi mantiene la natura di comunicazione di dati personali, con tutti gli obblighi informativi conseguenti.

     

     

    L’impatto applicativo in ambito data protection

     

    La sentenza richiede alle organizzazioni di rivedere le proprie strategie di gestione dei dati pseudonimizzati. Non è più sufficiente, infatti, limitarsi a valutare se il terzo destinatario possa re-identificare i soggetti interessati: le argomentazioni della Corte inducono a focalizzare l’attenzione sul titolare, che ha effettuato la raccolta dei dati personali, poi sottoposti alla misura della pseudonimizzazione.

    Le imprese dovranno, quindi, predisporre le proprie informative, includendo specifiche indicazioni sui destinatari dei dati pseudonimizzati, anche quando questi non dispongono di mezzi di re-identificazione.

    La decisione ha, altresì, un impatto significativo sulle pratiche di condivisione dei dati, particolarmente nel settore della ricerca, dell’analisi statistica e del marketing digitale: le organizzazioni che utilizzano dati pseudonimizzati, in virtù delle statuizioni della Corte di Giustizia, dovranno garantire maggiore trasparenza sui soggetti coinvolti nella catena del trattamento.

    Soprattutto, gli adempimenti richiesti dal GDPR potranno variare, a seconda del contesto di condivisione dei dati e del ruolo privacy ricoperto:

    • nei casi, infatti, in cui il trattamento dei dati pseudonimizzati avvenga internamente all’impresa o sia esternalizzato ad un soggetto, che agisce quale” responsabile del trattamento”, tale circostanza non eliminerà la responsabilità del titolare del trattamento con riguardo al flusso dei dati pseudonimizzati: il titolare sarà, pertanto, tenuto ad effettuare tutte le valutazioni del caso e a porre in essere gli adempimenti richiesti dal GDPR;

    • nei casi, invece, in cui la condivisione dei dati pseudonimizzati avvenga tra autonomi titolari, il destinatario dei dati dovrà, a sua volta, valutare nello specifico se i dati, di cui lo stesso dispone, possano (o meno) essere qualificabili come dati personali, in forza della possibilità di re-identificazione degli interessati: solo nel caso in cui i dati oggetto di condivisione non siano qualificabili in alcun modo come dati personali il destinatario potrà considerarsi esente dall’applicazione del GDPR.

     

     

    Osservazioni conclusive e qualche riflessione sull’operatività delle imprese

     

    La sentenza rappresenta un chiaro orientamento verso la massimizzazione della trasparenza, ma solleva interrogativi sull’impatto che la stessa potrà avere per l’operatività delle imprese: vi è, infatti, il rischio che le indicazioni della Corte possano limitare l’utilità della pseudonimizzazione, come tecnica di minimizzazione del rischio.

    L’adozione di un approccio incentrato sul titolare del trattamento, piuttosto che su una valutazione oggettiva del rischio di re-identificazione, induce ad un cambio di paradigma nella valutazione della natura dei dati personali e potrebbe dare luogo ad irrigidimenti, per le inevitabili conseguenze che ne deriverebbero (tra cui, ad esempio, la necessità di aggiornare i contratti con i fornitori di servizi che ricevono dati pseudonimizzati, specificando chiaramente le limitazioni nell’utilizzo dei dati e le misure tecniche e organizzative per prevenire tentativi di re-identificazione).

    È indubbio, quindi, che questa decisione avrà ripercussioni nella compliance privacy europea, caratterizzata da standard più elevati di trasparenza e responsabilità e, operativamente, indurrà le imprese ad un ripensamento delle strategie di gestione dei dati e ad approcci più attenti e sofisticati nella gestione della data protection.

    CHI SIAMO

    Dal 2011 lo Studio legale Iusgate aiuta gli imprenditori a trovare le soluzioni migliori per trasformare le questioni legali in vantaggi economici e opportunità strategiche.

    SCOPRI DI PIÙ

    A CHI CI RIVOLGIAMO

    • imprenditori
    • manager
    • visionari
    • innovatori
    • pmi
    • startup

    I NOSTRI FOCUS

    CONTRATTI | COMPLIANCE | CONTENZIOSO

    SCOPRI COME
    POSSIAMO AIUTARTI →

    Approfondimenti per imprenditori

    Iusvision
    magazine

    VEDI TUTTI GLI ARTICOLI

    SCARICA L’ULTIMO REPORT ESCLUSIVO IUSGATE

    “Come sfruttare 5 clausole legali nei tuoi
    contratti per abbassare del 50% il churn rate

    SCARICA L’ULTIMO REPORT ESCLUSIVO IUSGATE

    BONUS INCLUSO: Come i colossi multinazionali sfruttano le leve legali
    per crearsi vantaggi competitivi, e come puoi usarli anche tu.
    Inserisci i dati e ricevi subito la tua copia

    P.IVA 02230331205

    CONTATTI

    LINK UTILI

    Credit

    LANG