La recente decisione del Tribunale dell’Unione Europea (“TE”) del 26 aprile 2023 (https://curia.europa.eu/juris/document/document.jsf?text=&docid=272910&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=4441919) può essere valorizzata per trovare le coordinate per la valorizzazione delle procedure di pseudonomizzazione al fine di facilitare la circolazione e la condivisione di informazioni (originariamente) personali.

Il caso sottoposto alla valutazione del TE concerne un provvedimento del garante europeo (“EDPS”, ossia European Data Protection Supervisor, l’autorità competente al controllo della conformità delle attività degli organi dell’Unione Europea alla disciplina della protezione dei dati personali) nei confronti del SRB (Single Resoution Board), un’agenzia dell’Unione Europea. La pronuncia può tuttavia rappresentare un importante precedente di portata più generale.

Quello che stabilisce il Tribunale è che i dati personali che vengano adeguatamente pseudonimizzati prima di essere trasmessi, possono essere considerati anonimi per il destinatario a due condizioni: i. che questi non disponga delle informazioni necessarie per re-identificare le persone; ii. che tale reidentificazione non sia ragionevolmente possibile (cfr. par. 101 della sentenza). In tal caso, al trattamento del destinatario non sarebbe applicabile la disciplina dei dati personali.

Come è noto, il GDPR definisce la nozione di pseudonimizzazione all’articolo 4, paragrafo 5, del RGPD: «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».  A tale riguardo, il considerando (26) stabilisce, tra l’altro, che “(…) Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici (…)”.

Il considerando del GDPR si potrebbe leggere in senso relativo, ossia dal punto di vista di chi effettua il trattamento (titolare, responsabile, incaricato), oppure in astratto, ossia con riguardo all’astratta possibilità che chi effettui il trattamento possa acquisire le informazioni aggiuntive necessarie per l’identificazione delle persone. Sulla questione si è pronunciata in passato la Corte di giustizia, in un caso che ora il Tribunale assume come precedente. Si tratta del caso Breyer v. Repubblica di Germania, del 19 ottobre 2016 (https://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=IT) , in cui tuttavia la Corte aveva applicato la direttiva 95/46/CE, non essendo all’epoca applicabile il GDPR.  In tale decisione la Corte propende per la considerazione dell’approccio relativistico; tuttavia sembra prendere in considerazione anche possibilità piuttosto remote di acquisizione delle informazioni aggiuntive da parte del destinatario delle informazioni pseudonimizzate. Ad ogni modo, il principio enunciato in quella pronuncia è che i dati pseudonimizzati sono da qualificare come dati personali qualora il destinatario dei dati “disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui [altri] dispone”. 

Ancora più netto in questo senso è stato, più recentemente, lo EDPB (European Data Protection Board) con riguardo ad uno dei temi più caldi sul terreno della disciplina dei dati personali, ossia quello della circolazione e condivisione dei dati al di fuori del territorio europeo, e in particolare negli USA, sede dei principali player dell’economia tech e data driven. Proprio a questo riguardo, nelle Raccomandazioni 1/2020 (https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_it), al par. 80 si stabilisce che possono essere legittimamente trasferiti i dati pseudonimizzati se la informazioni aggiuntive necessarie per la reidentificazione “sono detenute esclusivamente dall’esportatore di dati e conservate separatamente in uno Stato membro o in un paese terzo, territorio o in uno o più settori specifici all’interno di un paese terzo, o presso un’organizzazione internazionale per la quale la Commissione ha stabilito, in conformità all’articolo 45 RGPD, che è garantito un livello di protezione adeguato” e se “la divulgazione o l’uso non autorizzato di tali informazioni aggiuntive sono impediti da adeguate misure di sicurezza tecniche e organizzative”; dal che sembra di poter desumere che, in tal caso, le informazioni non sono qualificabili come “personali” con riguardo alla acquisizione e al trattamento da parte del destinatario.

La decisione del Tribunale del 26 aprile 2023 sembra allora chiudere il cerchio, operando nella stessa direzione: le informazioni adeguatamente pseudonimizzate non sono da considerarsi dati personali per chi li tratta, se questi non è “ragionevolmente” nella condizione di poter acquisire, sotto il profilo tecnico e legale, quanto è necessario per identificare le persone a cui quelle informazioni si riferiscono.

Una tale considerazione è foriera di implicazioni di rilevante portata. La prima concerne proprio il trasferimento e la condivisione dei dati al di fuori della UE. Quando non sia necessaria l’identificazione da parte di soggetti non europei, una soluzione al divieto di trasferimento potrebbe consistere nella pseudonimizzazione ad opera di entità non soggette all’autorità di Stati per i quali non sia stata adottata una decisione di adeguatezza della disciplina della protezione dei dati personali da parte della Commissione UE, a condizione che tali entità forniscano adeguate garanzie di indipendenza e assicurino di non consentire la reidentificazione degli interessati. 

Un altro campo in cui la “pseudonimizzazione garantita” potrebbe operare è quello della profilazione controllata, ossia la profilazione effettuata sulla base delle informazioni selezionate fornite dagli interessati stessi, che potrebbero così beneficiare di una garanzia di anonimato nei confronti delle piattaforme che vogliano profilarli. Lo stesso meccanismo funzionerebbe nel metaverso. Sul tema mi permetto di rinviare a quanto scrissi tempo fa: La privacy al tempo del Covid, in Pandemia e danni risarcibili, Corsiero Editore, 2022. 

Infine, la pseudonimizzazione con garanzia di anonimato potrebbe consentire la valorizzazione del Fascicolo sanitario elettronico e dell’Ecosistema dei dati sanitari, in funzione della digitalizzazione dei servizi sanitari e della telemedicina. I dati personali potrebbero essere conservati e criptati dalla piattaforma del ministero della salute, mentre i fornitori potrebbero trattare soltanto i dati pseudonimizzati. C’è da augurarsi che il ministero voglia dare un indirizzo in questo senso.

In definitiva, il meccanismo di una pseudonimizzazione controllata e garantita potrebbe essere lo strumento principe dell’Internet 5.0, ossia l’Internet della cose, e anche della virtualità, che diverrà il motore dell’economia data driven. Perché, e questo è bene ricordarlo sempre, soltanto la minimizzazione dell’impatto sui diritti delle persone potrà consentire la nuova rivoluzione dell’economia digitale in un sistema democratico e liberale, sottratto al pericolo di controlli centralizzati.