Nuova linfa per la circolazione e l’utilizzo di dati personali? È stata pubblicata una sentenza della Corte di Giustizia (sentenza del 23 aprile scorso, causa T-557/20) che – riprendendo e articolando considerazioni pregresse della Corte – schiarisce e schiude alcuni scenari per l’uso dei dati personali. Il sapiente utilizzo di tecniche di anonimizzazione e pseudonimizzazione potrebbe avvenire con maggiori libertà e certezze, dando luogo a un maggior flusso e utilizzo dei dati e delle informazioni.
Premettiamo che benché il caso in parola riguardi l’applicazione del Regolamento applicabile al trattamento di dati personali da parte delle istituzioni comunitarie – cioè il 1725 del 2018 – tutte le considerazioni svolte sono perfettamente sovrapponibili alle analoghe disposizioni presenti nel testo del GDPR.
Sulle complicate applicazioni dei processi di anonimizzazione e pseudonimizzazione dei dati personali sono da tempo sorte diverse critiche per posizioni, specie nel settore della ricerca, fin troppo restrittive.
Tuttora il testo principale di riferimento è il parere 5/2014 del WP29 sulle tecniche di anonimizzazione, ove si comprende come parlare di anonimizzazione (di dati non più personali, in sostanza) non vuole dire trattare binariamente un concetto acceso/spento, bensì di qualcosa di relativo e dinamico, da valutare, rispondendo a tre domande fondamentali: è possibile individuare una persona? È ancora possibile collegare una persona? È possibile dedurre informazioni riguardanti una persona?
Condivisione di dati personali e sanitari: la guida ENISA per una protezione avanzata
Indice degli argomenti
Il caso di partenza
L’innesco sono state questioni afferenti a procedure di indennizzo di azionisti creditori, in seguito alla risoluzione di un ente creditizio spagnolo: vedeva coinvolti il Comitato di Risoluzione creditizio Unico (“CRU”) da una parte, quale istituzione UE, e il suo fornitore di servizi, Deloitte dall’altra.
Il CRU si è trovato coinvolto in una serie di reclami da parte di persone fisiche, che si sono rivolte all’EDPS (l’autorità di controllo per la protezione dei dati personali da parte delle istituzioni UE).
I reclami riguardavano il presunto utilizzo illecito dei loro dati personali nel corso di tale procedura di indennizzo, arrivando infine a un provvedimento di ammonimento da parte dell’EDPS nei confronti del CRU. Il quale ha impugnato tale decisione di fronte alla Corte, uscendone vincitrice e facendo ribaltare le considerazioni dell’autorità di controllo EDPS.
Non sempre le autorità hanno ragione – ricordiamolo, sono pur sempre autorità amministrative indipendenti e di controllo, non sedi giudiziarie che, da sole, hanno l’ultima parola.
Nel caso particolare, è avvenuto che, durante la procedura di indennizzo detta sopra, vi fosse necessità di effettuare operazioni come la scrematura e l’analisi delle richieste presentate da parte di azionisti e creditori.
Per accedere alla procedura, in fase di iscrizione il CRU raccoglieva alcuni dati personali identificativi dei richiedenti, così come (in campo libero) le osservazioni pertinenti alla procedura, presentate da tali interessati.
Per effettuare alcune verifiche e aggregazioni, il CRU aveva dapprima assegnato un codice alfanumerico casuale ai testi delle osservazioni e ai soggetti che le hanno presentate, fungendo da “anello di collegamento” tra tali dati. Quindi ha suddiviso il dataset, estraendone un sottoinsieme dato dal codice e dai soli testi delle osservazioni, senza altri dati identificativi.
A questo punto, il ridotto dataset è stato trasmesso a Deloitte per effettuarne alcune elaborazioni (confronti ecc.): il fornitore non aveva quindi i dati identificativi degli autori di quelle osservazioni, non vi aveva accesso in alcuna fase del trattamento gestito in proprio. Solamente il CRU poteva ricollegare le analisi svolte da Deloitte, utilizzando il codice, alle persone fisiche che ne erano autrici.
Secondo le lamentele degli interessati e le valutazioni dell’EDPS, ciò avrebbe comportato la necessità di indicare – nelle informative sul trattamento del CRU – che ci fossero dei destinatari (il fornitore) che avrebbero ricevuto e trattato i loro dati personali. L’EDPS aveva puntualizzato che i dati così trasmessi sarebbero stati dati “pseudonimizzati”, quindi pur sempre dati personali, sia per il loro contenuto potenzialmente identificativo delle osservazioni che per il fatto che Deloitte ricevesse anche il codice.
I nodi sciolti dalla Corte
Vi sono due precedenti rilevanti e richiamati esplicitamente dalla Corte, utili per capire i due nodi fondamentali delle riflessioni della Corte.
La capacità identificativa delle informazioni e il caso Nowak
Il primo è il cosiddetto caso Nowak (sentenza del 20 dicembre 2017, causa C 434/16), qui rilevante per il fatto che l’informazione debba “riguardare” una persona fisica per potersi dire dato personale. In tal senso depone il GDPR all’art. 4 n. 1.
In tal senso, la Corte aveva stabilito che le informazioni debbano essere connesse a una determinata persona, nel caso concreto. Quindi non si può presumere che tutte le informazioni – solo perché fornite da una persona fisica – siano automaticamente dati personali, per quanto possano pur sempre essere di tipo soggettivo come opinioni, valutazioni e punti di vista.
Bisogna effettuare una valutazione caso per caso, alla luce di vari fattori: il contenuto, le finalità d’uso e il tipo di informazioni, per stabilire se tali informazioni siano collegate o collegabili a una persona specifica.
Nella pronuncia del 2023 la Corte ha stabilito che l’EDPS non ha assolutamente effettuato questo esame specifico: ha esplicitamente ammesso di non aver effettuato nessuna valutazione del contenuto delle osservazioni prodotte dai reclamanti, limitandosi apoditticamente a considerare qualsiasi espressa opinione personale come equivalente a un dato personale.
Forse tali osservazioni contenevano anche dati che permettevano di ricondurle ai loro autori, non lo sappiamo: ciò che conta è che lo si sarebbe dovuto appurare prima di qualificarle come dati personali, indagare quali elementi e perché avrebbero compiuto il “salto evolutivo” da mera informazione a dato personale.
Oltretutto, la Corte stressa come il fornitore non avesse – tra gli scopi del suo trattamento – quello di identificare gli autori delle osservazioni.
La capacità di identificare gli interessati e il caso Breyer
Il secondo punto esaminato dalla Corte è ancora più importante. Il precedente pertinente è la sentenza del cosiddetto caso Breyer (sentenza del 19 ottobre 2016, caso C 582/14), seppure basato sulla Direttiva 95/46/CE (ante GDPR). Come è noto, quel caso ha chiarito che per dato personale si deve intendere anche l’IP dinamico, tenendo conto che identificabilità di una persona deve essere parametrata ai mezzi che è ragionevole possano essere utilizzati tanto dal titolare quanto da terzi – senza richiedere che tutte le informazioni che consentono di identificare una persona debbano essere in possesso di un solo soggetto. Così recita anche il Considerando 26 del GDPR. Ma quali terzi devono essere considerati nella ponderazione?
Le informazioni aggiuntive necessarie per identificare questa persona – nel caso Breyer – erano detenute dal fornitore di accesso a internet e, quindi, da un soggetto che potenzialmente lo può identificare in virtù della sua attività e rapporto contrattuale.
Il test a cui sottoporre questa situazione è quella della “ragionevolezza” di utilizzo di mezzi, per es. legali o contrattuali, per combinare un indirizzo IP con informazioni aggiuntive detenute dal fornitore di accesso. In tal caso la Corte aveva chiarito che la persona non sarebbe stata identificabile (i) se ciò fosse stato precluso dalla legge oppure (ii) fosse di fatto irrealizzabile tenuto conto del dispendio di tempo, costi e manodopera per il possessore delle informazioni.
Si tratta di concetti sempre da contestualizzare caso per caso, difficili da precisare in via astratta con soluzioni recise e buone per tutte le occasioni.
Nel caso odierno che ha coinvolto il CRU, la Corte ha ripreso tali ragionamenti e fatte accurate distinzioni: da un lato il CRU era il titolare dei dati che li ha “pseudonimizzati”, dal suo punto di vista, tramite la creazione del dataset ridotto con l’utilizzo del codice di collegamento.
Anche se la Corte non lo approfondisce, l’operazione di pseudonimizzazione avrebbe comunque dovuta essere resa nota in sede di informativa, per quanto compiuto dal CRU, perché rappresenta un’operazione di trattamento di dati personali.
Invece dal punto di vista di Deloitte – che ha ricevuto solo i codici e le osservazioni – i dati ricevuti si possono considerare “sufficientemente” anonimi, non più personali, senza il rispetto degli adempimenti del GDPR. Ciò anche se l’informazione che consente la re-identificazione non è stata irrevocabilmente eliminata e viene conservata dal titolare, cioè il CRU.
In via di fatto: solo il CRU aveva accesso al dataset con i codici e gli abbinamenti ai dati personali. In via di diritto: Deloitte non avrebbe avuto “ragionevoli” mezzi legali per accedere a tali informazioni per ottenere l’identificazione – o quantomeno, l’EDPS non ha argomentato come Deloitte avrebbe potuto avervi accesso, con quali procedure, azioni, leve contrattuali eccetera.
Facendo un collegamento con la sentenza Breyer, la CRU si troverebbe nella stessa posizione del fornitore di accesso internet: unico soggetto in possesso delle informazioni per identificare i soggetti. Dove ha errato l’EDPS? Sempre nel restare su un piano di presunzioni e considerazioni astratte: non avrebbe effettuato un test di re-identificabilità dal punto di vista di Deloitte, teso a stabilire se avesse avuto la possibilità di combinare effettivamente – in qualche modo, “ragionevolmente” – le informazioni aggiuntive in proprio possesso con i dati identificativi nei dataset della sola CRU.
Considerazioni finali e provvisorie
Questa pronuncia è importante nel chiarire un criterio di dovuta contestualizzazione circa i soggetti che possono considerarsi all’oscuro degli interessati, celati dietro a determinate informazioni, per cui a seconda del punto di vista potremmo avere dei dati pseudonimizzati per un titolare e dei dati anonimi per un responsabile o un altro titolare che li processi in qualche modo.
Il timore, finora, era che i parametri attraverso i quali si possa valutare l’anonimizzazione o meno dei dati fosse quello di una platea indistinta di soggetti coinvolti, basata su presunzioni e ragionamenti astratti assoluti, rendendo di fatto molto molto difficile il trattamento di dati anonimi, in molti casi.
Liberi tutti? Basterà abbinare codici casuali a certe informazioni per considerarle dati non personali? Assolutamente no. Come si evince dal testo della sentenza, la Corte ha fatto presente come sia necessario effettuare – caso per caso – un test sulla ragionevole re-identificabilità degli interessati, dal punto di vista dei soggetti concretamente coinvolti, alla luce dei mezzi effettivi utilizzabili. Perciò non si potranno invocare presunzioni generiche per i due profili suindicati.
Presumibilmente la sede adatta sarà quella di una valutazione di impatto privacy, ove si dovranno soppesare: i soggetti coinvolti, i dati utilizzati, gli scopi, le tecniche di trattamento e de-identificazione utilizzate, il grado di identificabilità dell’interessato, i mezzi ragionevolmente a disposizione dei soggetti (tarati sull’attività, la capacità di spesa, i mezzi contrattuali e legali ecc.).
Un faro è e resterà il Considerando 26 del GDPR che enumera diversi fattori per considerare dei dati “sufficientemente anonimi” o non riferibili a una persona fisica, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. Fattori evidentemente da rivalutare nel tempo, dinamicamente. In una parola: contestualizzandoli.
A questo punto si dovrà attendere un intervento in forma di linee guida da parte delle autorità – preferibilmente da parte dell’EDPB, per evitare nuovamente un atteggiamento restrittivo e presuntivo come quello censurato dalla Corte da parte dell’EDPS. Sì da fornire dei criteri maggiormente specifici e che garantiscano maggiore certezza nel processo di accountability.
Sperando che non siano, però, regole così complesse e arzigogolate come le raccomandazioni nn. 1 e 2 del 2020, ricavate dall’EDPB per i trasferimenti internazionali di dati ai tempi di un’altra sentenza CGUE, cioè la c.d. Schrems II.
E proprio l’ambito del trasferimento internazionale extra-UE/SEE dei dati potrebbe essere uno dei fronti su cui questa pronuncia può avere effetti interessanti – dato che fino ad oggi si è riscontrato un atteggiamento delle autorità piuttosto simile a quello dell’EDPS censurato dalla Corte, basato su presunzioni assolute, senza le verifiche dei concreti rischi di identificabilità degli interessati. Pensiamo alla complessità di quanto accaduto con i cookie e il loro trattamento internazionale.
Aspettiamo di vederne germogliare i frutti: potrebbe essere un’occasione per dare maggiore impulso ai trattamenti di dati e alle attività economiche basate su di essi, senza che concretamente si aumentino i rischi per gli interessati. Il che pareva proprio uno degli scopi originari della normativa europea varata nel 2016.
