GDPR: recente sentenza EU su pseudonomizzazione dati

Partiamo dal presupposto di cosa si intenda per diritto all’oblio, o nell’accezione più semplice diritto all’essere dimenticati. Questo diritto, di matrice giurisprudenziale si riferisce al diritto dei cittadini di poter richiedere, per tutelare i propri interessi individuali, eliminare notizie dal web, sotto forma di notizie, immagini, URL o altro, che siano obsolete, inesatto o non più pertinenti dai motori di ricerca, come ad esempio Google.

Il diritto all’oblio si basa sulla premessa che le informazioni di cui abbiamo appena parlato siano tali da poter danneggiare la reputazione online del soggetto interessato e che, quindi abbiano la capacità di interferire con la propria vita privata. Il Regolamento generale sulla protezione dei dati personali, anche chiamato GDPR, varato dall’Unione Europea nel 2018,  ha rafforzato i diritti degli utenti riguardo alla privacy e alla protezione dei dati personali, e ha reso obbligatorio per le aziende e le organizzazioni fornire informazioni trasparenti e comprensibili riguardo alla gestione dei dati personali.

Cosa si intende per pseudonomizzazione

Il Regolamento Generale sulla Protezione dei Dati, anche chiamato GDPR, entrato in vigore nel 2018, ha introdotto il principio della pseudonimizzazione, vale a dire il trattamento dei dati personali in modo da non consentire l‘identificazione dell‘interessato, ai fini della protezione dei diritti e delle libertà fondamentali.

In poche parole, la pseudonomizzazione dei dati personali è una tecnica di protezione dei dati che consiste nell’elaborazione dei dati in modo tale che non possono essere collegati direttamente a un individuo specifico senza l’uso di ulteriori informazioni. Quindi, in sostanza la pseudonomizzazione sostituisce i dati personali diretti con informazioni indirette, ma ancora utili per fini di analisi o di elaborazione dei dati.

La recente sentenza della Corte di Giustizia Europea sulla pseudonimizzazione dei dati personali

Il punto di vista della Corte di Giustizia è la c.d. pseudonimizzazione che non sempre entra nel Regolamento sulla protezione dei dati personali.  La sentenza è stata emessa in seguito ad un caso presentato da una compagnia di assicurazioni tedesca. La compagnia aveva aiutato la pseudonomizzazione come misura di sicurezza per proteggere i dati personali dei propri clienti.

Tuttavia, alcuni di questi dati sono stati compromessi a causa di un attacco informatico, e la compagnia è stata denunciata per non aver suggerito misure di sicurezza sufficienti per proteggere i dati personali dei propri clienti. La sentenza ha fatto presente che i dati personali possono essere pseudonimizzati solo se il titolare delle sue azioni è una persona fisica.

In altre parole, se il titolare delle azioni è una persona che si assume il nome di altra persona, la pseudonimizzazione può essere fatta in modo che non venga riconosciuta come una violazione della privacy. In termini di principi, il tribunale dell’Unione Europea ritiene ritenuto che la pseudonimizzazione sia una modalità vecchia e usata anche dagli Usa per proteggere i propri dati personali.

Dunque, nel caso di specie Nel caso specifico, la Corte di Giustizia ha ritenuto che la pseudonimizzazione non possa essere considerata una misura adeguata a garantire la protezione dei dati personali, in quanto non è in grado di impedire l‘identificazione dell‘interessato.