La Corte Ue amplia la definizione di dato anonimo

Ora i giudici del Lussemburgo hanno statuito che un dato pseudonimizzato, a seconda delle circostanze da valutarsi caso per caso, può effettivamente costituire un dato anonimo per il destinatario di tale dato, qualora questi non disponga dei mezzi ragionevoli (come costi, tempo, risorse) che consentano di identificare l’interessato, ossia il soggetto al quale il dato si riferisce.

Seguendo, in relazione a tale punto della sentenza impugnata, l’orientamento del Tribunale dell’Unione europea del 2023, la Corte ha rigettato la tesi del Garante privacy europeo secondo il quale i «dati pseudonimizzati costituiscono, in ogni caso, dati personali in ragione della sola esistenza di informazioni che consentono di identificare l’interessato».

Caso per caso

Dunque, occorre valutare caso per caso se il soggetto che tratta i dati possa, sotto il profilo dei costi, dei tempi, delle risorse necessarie, dei vincoli giuridici e tecnologici, reidentificarli. Assessment questo da compiersi alla luce del criterio di ragionevolezza: come afferma la Corte, «non ci si può avvalere ragionevolmente di un mezzo per identificare la persona interessata quando l’identificazione di tale persona è vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che ciò implicherebbe un dispendio sproporzionato di tempo, costi e manodopera».

La Corte parla di dati «impersonali», afferma una nozione «non illimitata» di dati personali e adotta un concetto di relatività del dato personale che deve, cioè, essere valutato a seconda delle circostanze che caratterizzano il trattamento dei dati in ciascun caso particolare.

L’impatto di questa sentenza è innegabile. Si tratta di un’interpretazione più adeguata ai tempi e al mondo digitale in cui viviamo, che consentirà – si pensi solo alla ricerca scientifica in ambito sanitario – una più fluida circolazione dei dati, garantendone la sicurezza.