Agostino Clemente commenta, su Persona e Danno, una importante sentenza del Tribunale dell’Unione Europea sugli effetti della pseudonimizzazione dei dati personali.
***
La recente decisione del Tribunale dell’Unione Europea (“TE”) 2023/219 del 26 aprile 2023 può fornire le coordinate per la valorizzazione delle procedure di pseudonomizzazione al fine di facilitare la circolazione e la condivisione di informazioni (originariamente) personali.
Quello che stabilisce il Tribunale è che i dati personali, che vengano adeguatamente pseudonimizzati prima di essere trasmessi, possono essere considerati anonimi ‘per il destinatario’. Con la conseguenza, di grande rilevanza, che in tal caso al trattamento del destinatario non sarebbe applicabile la disciplina dei dati personali.
Ciò a due condizioni:
i. che il destinatrio non disponga delle informazioni necessarie per re-identificare le persone;
ii. che tale reidentificazione non sia ragionevolmente possibile (cfr. par. 101 della sentenza).
Un tale principio andrebbe declinato secondo i parametri di ragionevolezza e probabilità, e ha implicazioni di rilevante portata.
Ad esempio, la prima concerne la disciplina del trasferimento e della condivisione dei dati al di fuori della UE. In molti casi, una soluzione al divieto di trasferimento potrebbe consistere nella pseudonimizzazione ad opera di entità non soggette all’autorità di Stati per i quali non sia stata adottata una decisione di adeguatezza della disciplina della protezione dei dati personali da parte della Commissione UE, a condizione che tali entità forniscano adeguate garanzie di indipendenza e assicurino di non consentire la reidentificazione degli interessati.
Un altro campo in cui la “pseudonimizzazione garantita” potrebbe operare è quello della profilazione controllata, ossia la profilazione effettuata sulla base delle informazioni selezionate fornite dagli interessati stessi, che potrebbero così beneficiare di una garanzia di anonimato nei confronti delle piattaforme che vogliano profilarli.
Ancora, la pseudonimizzazione con garanzia di anonimato potrebbe consentire la valorizzazione dei dati sanitari in funzione della digitalizzazione dei servizi sanitari e della telemedicina. I dati personali potrebbero essere conservati e criptati da una piattaforma centrale, mentre i fornitori (medici, strutture sanitarie, fornitori di servizi diagnostici e terapeutici) potrebbero trattare soltanto i dati pseudonimizzati.
Qui il commento a caldo pubblicato su Persona e Danno.