La Corte di Giustizia dell’UE, con la sentenza Deloitte, conferma la propria precedente giurisprudenza in materia di trattamento dei dati pseudonimizzati ma allo stesso tempo introduce un nuovo criterio di interpretazione. Da un lato, infatti, essa conferma il criterio del rischio in concreto, già definito nella sentenza Breyer, secondo cui i dati pseudonimizzati non possono essere considerati personali in mancanza di una concreta possibilità che il destinatario possa reidentificare gli interessati. Dall’altro lato, la Corte sostiene però che l’analisi vada fatta dal punto di vista del titolare del trattamento: se per il titolare i dati restano personali, la comunicazione verso i terzi rimane una comunicazione di dati personali. Di conseguenza, il titolare è tenuto ad elencare i destinatari del trattamento nell’informativa, anche se di fatto per quest’ultimi i dati ricevuti non hanno più la qualità giuridica di dati personali (non essendo i destinatari in grado di reidentificare gli interessati).
Corte di Giustizia UE – Garante europeo della protezione dei dati v. Comitato di risoluzione unico: la qualificazione dei dati come personali o pseudonimizzati va svolta dal punto di vista del titolare, non del destinatario, del trattamento
4 settembre 2025
I fatti
I fatti riguardano la vicenda della procedura di risoluzione proposta dal Comitato di risoluzione unico (SRB) nei confronti di Banco Popular Espanol SA. Per permettere agli azionisti e creditori interessati di poter esercitare il loro diritto di essere ascoltati in merito alla decisione preliminare sulla necessità di un indennizzo, era stata aperta una procedura in cui, dopo aver verificato il loro status attraverso la raccolta di dati relativi alla loro identità e proprietà di strumenti di capitale del Banco Popular, tali soggetti potevano presentare le proprie osservazioni. Alcuni dei dati così raccolti da SRB venivano trasferiti a Deloitte, società di revisione contabile e di consulenza, incaricata da SRB di effettuare una valutazione degli effetti di una procedura di risoluzione sugli azionisti e sui creditori di Banco Popular. Alcuni di questi presentavano dei reclami al Garante europeo della protezione dei dati (GEPD) per contestare il fatto che SRB non li avesse informati del fatto che i dati raccolti e che li riguardavano erano stati trasmessi, sotto forma di dati pseudonimizzati, a terzi (ovvero Deloitte).
Nella sua decisione, il GEPD riteneva che Deloitte fosse stata destinataria di dati personali dei reclamanti e SRB avesse violato l’obbligo di informazione previsto dal regolamento 2018/1725. SRB proponeva allora ricorso dinanzi al Tribunale, il quale, adottando una lettura strettamente letterale dell’art. 3 par. 13 del Regolamento, considerava ‘destinatario’ esclusivamente chi riceve dati personali ed escludeva di conseguenza che un soggetto ricevente dati pseudonimizzati, senza disporre di mezzi ragionevoli per re-identificare l’interessato, dovesse essere incluso nell’informativa condivisa con gli azionisti e creditori interessati, annullando parzialmente la decisione del GEPD. Quest’ultimo, con il sostegno del Comitato europeo per la protezione dei dati, impugnava la decisione del Tribunale davanti alla Corte di Giustizia.
Il giudizio
Nel primo motivo di ricorso, il GEPD sosteneva che il Tribunale avesse erroneamente interpretato il regolamento 2018/1725, in particolare l’articolo 3, punti 1 e 6. Tale motivo di impugnazione si suddivide in due parti.
- La prima parte verte su un’interpretazione erronea della condizione, prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione «concerne» una persona fisica. Il Tribunale aveva infatti considerato che il GEPD non potesse qualificare le informazioni condivise con Deloitte come dati personali sulla sola base del fatto che si trattasse di opinioni o punti di vista personali, ritenendo necessario invece che fosse esaminato anche il contenuto, la finalità e l’effetto delle opinioni, al fine di stabilire se fossero collegabili ad una persona determinata. La Corte accoglie il motivo di ricorso, considerando errata l’interpretazione del Tribunale: il GEPD, per concludere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte «concernevano», ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, le persone che avevano presentato tali osservazioni, non avrebbe dovuto anche esaminare il contenuto, la finalità o gli effetti di dette osservazioni, essendo pacifico che esse esprimevano l’opinione o il punto di vista personale dei loro autori.
- La seconda parte del primo motivo di impugnazione, con la quale il GEPD deduce che il Tribunale avesse erroneamente dichiarato di non poter ritenere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte concernessero una persona fisica «identificabile», si suddivide a sua volta in due motivi di censura:
- La prima censura del GEPD si basa sulla considerazione secondo cui “dati pseudonimizzati, come le osservazioni trasmesse a Deloitte, costituiscono, in ogni caso, dati personali in ragione della sola esistenza di informazioni che consentono di identificare l’interessato, senza che sia necessario esaminare concretamente se, nonostante la pseudonimizzazione, la persona alla quale si riferiscono tali dati sia identificabile.” (punto 68). Contrariamente a quanto sostenuto del GEPD, tuttavia, la Corte richiama la propria precedente giurisprudenza per affermare, piuttosto, che la pseudonimizzazione può, a seconda dei casi specifici, impedire a persone diverse dal titolare del trattamento di identificare l’interessato, diventando quest’ultimo non più identificabile. La Corte aveva infatti già dichiarato che non ci si potesse ragionevolmente avvalere di un mezzo di identificazione quando questo fosse vietato dalla legge o praticamente irrealizzabile, ad esempio a causa del fatto che ciò implichi un dispendio sproporzionato di tempo, costi e manodopera. Di conseguenza, gli obblighi del regolamento 2018/1725, che impongono come presupposto per la loro applicazione l’identificazione dell’interessato, non possono essere imposti ad un soggetto che non sia in grado di procedere all’identificazione. Pertanto la prima censura viene ritenuta infondata e respinta.
- Nella sentenza impugnata, il Tribunale aveva dichiarato che il GEPD, coerentemente con la sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779), avrebbe dovuto “esaminare se le osservazioni trasmesse a Deloitte costituissero, dal punto di vista di quest’ultima, dati personali”. L’obbligo di fornire all’interessato, al momento della raccolta dei dati personali ad esso collegati, l’informazione relativa agli eventuali destinatari ha come scopo offrire piena cognizione dell’interessato per la propria decisione di fornire o meno i propri dati. Tale obbligo, dunque, si inserisce nel rapporto giuridico tra l’interessato e il titolare del trattamento: per la Corte, allora, ai fini dell’applicazione di tale obbligo (previsto dall’art. 15, par.1, lett. d) del regolamento 2018/1725) l’identificabilità dell’interessato deve essere valutata al momento della raccolta dei dati e dal punto di vista del titolare del trattamento. Nel caso specifico, l’obbligo di informazione del SRB si applicava alla fattispecie, a monte del trasferimento delle osservazioni degli interessati e a prescindere dal fatto che fossero dati personali dal punto di vista di Deloitte. La Corte, quindi, accoglie il motivo di ricorso: il Tribunale è incorso in errore di diritto quando ha considerato che il SRB avesse rispettato l’obbligo di informazione prescritto dal regolamento.
Il secondo motivo di impugnazione del GEPD, vertente sulla violazione dell’art. 4, para. 2, e dell’art. 26, para. 1, del regolamento 2018/1725, viene considerato assorbito dall’accoglimento del primo motivo di impugnazione.
Poiché il primo motivo di impugnazione è accolto, la sentenza del Tribunale impugnata deve essere annullata.
L’interpretazione della nozione di pseudonimizzazione fornita dalla Corte di Giustizia è di grande rilevanza per tutti gli ambiti di applicazione del GDPR.
Il testo completo della sentenza è disponibile al seguente link e nel box download.
