I dati pseudonomizzati trasmessi ad un destinatario che non abbia i mezzi per re-identificare gli interessati non sono dati personali

La General Court dell’UE ha chiarito la linea di demarcazione tra dati pseudonimi e anonimi, aprendo alla possibilità che i dati pseudonomizzati non siano considerati dati personali.

In particolare, la Corte raccomanda una valutazione sulla base delle circostanze del caso specifico e dell’effettiva capacità di ciascuna parte di identificare l’interessato, precisando che i dati pseudonomizzati trasmessi a un destinatario non sono considerati dati personali se il destinatario non ha i mezzi per re-identificare gli interessati.

Sul tema, il contesto interpretativo è stato finora delineato, da una parte, dalle indicazioni delle Autorità europee e dei garanti nazionali (cfr. in particolare l’Opinion 5/2014 del WP29, la Guida dell’ENISA del dicembre 2019 o ancora le Linee Guida dell’ICO, attualmente in corso di revisione); dall’altra, localmente, dal “Codice di Condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica” adottato dalla Regione Veneto e approvato dal Garante con provvedimento del 14 gennaio 2021, sinora ritenuto un punto di riferimento a livello nazionale.

Questa pronuncia propone ora un nuovo orientamento e sarà interessante capire se verrà fatto proprio dall’EDPB nelle Linee Guida sui processi di anonimizzazione e pseudonimizzazione, pianificate con il programma di lavoro 2021/2022.

Questa sentenza può ancora essere impugnata presso la CJEU.

Per consultare il documento, clicca qui.