La Corte di Giustizia UE, con sentenza resa nella causa e C-413/23, in data 04 settembre 2025, ha chiarito il concetto di “dati personali“, in relazione ai dati pseudonimizzati.
In riferimento al caso di specie, in seguito della risoluzione del Banco Popular Español, il 7 giugno 2017 il Comitato di risoluzione unico (SRB) aveva adottato una decisione preliminare sulla necessità o meno di concedere un indennizzo agli ex azionisti e creditori di tale banca a seguito di tale risoluzione.
Poiché tale decisione era stata adottata senza sentire tali soggetti interessati, il SRB ha successivamente organizzato una procedura per consentire loro di presentare osservazioni su tale decisione preliminare, trasferendo alcune di tali osservazioni, sotto forma di dati pseudonimizzati, ad una società di revisione e consulenza incaricata dal SRB di effettuare una valutazione degli effetti della procedura di risoluzione sugli azionisti e sui creditori.
Alcuni azionisti e creditori interessati avevano quindi presentato reclami al Garante europeo della protezione dei dati (GEPD) sostenendo che il SRB non li aveva informati che i dati che li riguardavano sarebbero stati trasmessi a terzi: il GEPD aveva constatato che, nel caso di specie, il SRB aveva effettivamente violato l’obbligo di informazione previsto dal GDPR.
Contro tale decisione, il SRB aveva quindi presentato un ricorso di annullamento dinanzi al Tribunale dell’Unione europea, che aveva accolto parzialmente il ricorso ed annullato la decisione.
La Corte di giustizia, tuttavia, ha annullato la sentenza del Tribunale, ritenendo primariamente che il Tribunale abbia commesso un errore di diritto nel ritenere che il GEPD, al fine di concludere che le informazioni contenute nei commenti trasmessi esternamente riguardassero, ai sensi del GDPR, le persone che avevano presentato tali commenti, avrebbe dovuto esaminare il contenuto, lo scopo o gli effetti di tali commenti, mentre era pacifico che essi esprimevano l’opinione o il punto di vista personale dei loro autori.
Secondo la Corte di giustizia, l’interpretazione del Tribunale travisa la natura particolare delle opinioni o dei punti di vista personali che, in quanto espressione del pensiero di una persona, sono necessariamente strettamente legati a tale persona.
Inoltre, la Corte di giustizia ha confermato che i dati pseudonimizzati non devono essere considerati, in tutti i casi e per ogni persona, dati personali ai fini dell’applicazione del GDPR: dalle disposizioni di tale regolamento, come interpretate dalla giurisprudenza, discende che la pseudonimizzazione può, a seconda delle circostanze del caso, impedire effettivamente a persone diverse dal responsabile del trattamento di identificare l’interessato in modo tale che, per loro, l’interessato non sia o non sia più identificabile.
Tuttavia, la Corte ha ritenuto che il Tribunale abbia commesso un errore di diritto nel ritenere che, al fine di valutare se l’SRB avesse adempiuto al proprio obbligo di fornire informazioni, il GEPD avrebbe dovuto esaminare se le osservazioni trasmesse esternamente costituissero, dal punto di vista del terzo ricevente, dati personali.
Secondo la Corte di giustizia, dalla giurisprudenza risulta chiaramente che la prospettiva pertinente per valutare la natura identificabile dell’interessato dipende, in sostanza, dalle circostanze del trattamento dei dati in ciascun caso individuale: non è la definizione di dato personale, ma un insieme di misure tecniche/organizzative che riduce il rischio di associare i dati all’identità.
La pseudonimizzazione non costituisce un elemento della definizione dei “dati personali”, ma si riferisce all’attuazione di misure tecniche e organizzative dirette a ridurre il rischio di mettere in correlazione un insieme di dati con l’identità degli interessati: secondo il considerando 17 del GDPR, la pseudonimizzazione può solo ridurre i rischi di una siffatta correlazione per tali persone e, di conseguenza, aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati.
La Corte rileva che dalla formulazione dell’art. 3, punto 6, del GDPR risulta che la nozione di pseudonimizzazione presuppone l’esistenza di informazioni che consentano di identificare l’interessato e l’esistenza stessa di tali informazioni osta a che dati che sono stati oggetto di una pseudonimizzazione possano, in ogni caso, essere considerati dati anonimi, esclusi l’ambito di applicazione di tale regolamento.
Ciò non toglie tuttavia, che il requisito di una conservazione separata delle informazioni identificative nonché di misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile, previsto all’art. 3, punto 6, del GDPR, indica che la pseudonimizzazione abbia segnatamente l’obiettivo di evitare che l’interessato possa essere identificato mediante i soli dati pseudonimizzati: a condizione che siffatte misure tecniche e organizzative siano effettivamente attuate e siano idonee a prevenire un’attribuzione dei dati di cui trattasi all’interessato, in modo tale che quest’ultimo non sia o non sia più identificabile, la pseudonimizzazione può incidere sul carattere personale di tali dati ai sensi dell’articolo 3, punto 1, del GDPR.
Per quanto riguarda tale obbligo di fornire informazioni, la Corte osserva che tale obbligo fa parte del rapporto giuridico tra l’interessato e il responsabile del trattamento e, pertanto, riguarda le informazioni relative a tale interessato, così come sono state trasmesse a tale responsabile del trattamento, quindi prima di qualsiasi potenziale trasferimento a terzi.
Di conseguenza, la Corte UE ha ritenuto che l’identificabilità dell’interessato debba essere valutata al momento della raccolta dei dati e dal punto di vista del responsabile del trattamento: l’obbligo d’informazione dell’SRB era applicabile prima del trasferimento dei dati in questione, e indipendentemente dal fatto che tali dati fossero o meno dati personali, dal punto di vista del terzo, dopo un’eventuale pseudonimizzazione.
