Con sentenza del 4 settembre 2025 la Corte di Giustizia dell’Unione Europea (CGUE) – provvedendo sulla causa C‑413/23 P (European Data Protection Supervisor vs Single Resolution Board)-  è intervenuta sull’interpretazione del concetto di pseudonimizzazione in riferimento ad un caso di trasmissione dei dati a terzi.

Contesto del caso
  • n seguito alla risoluzione della banca Banco Popular Español (2017), il Single Resolution Board (SRB) aveva avviato una procedura per valutare se spettasse un risarcimento agli azionisti e creditori colpiti dalla risoluzione.
  • In tale contesto, lo SRB raccolse commenti da parte degli interessati tramite una fase di registrazione (in cui venivano forniti dati identificativi) e una successiva fase di consultazione in cui venivano inviati commenti tramite modulo.
  • I commenti furono pseudonimizzati tramite un codice alfanumerico unico, così che il corpo che riceveva i commenti (l’auditor Deloitte) non avesse accesso ai dati identificativi. Tuttavia, lo SRB conservava il legame tra i dati raccolti nella fase di registrazione (identità) e i commenti tramite quel codice.
  • Alcuni partecipanti hanno fatto reclamo all’EDPS (European Data Protection Supervisor) sostenendo che lo SRB non li avesse informati che i loro commenti (pseudonimizzati) sarebbero stati trasferiti a terzi (Deloitte).
  • L’EDPS in giugno 2020 aveva deciso che lo SRB aveva violato l’articolo 15(1)(d) del Regolamento UE 2018/1725, in quanto non aveva indicato Deloitte come destinatario previsto dei dati personali raccolti.
  • Lo SRB ha chiesto la revisione della decisione, e successivamente ha impugnato il provvedimento davanti al General Court, che nel 2023 ha annullato (in parte) la decisione dell’EDPS.
Questione giuridica centrale
  • Se i dati pseudonimizzati trasferiti a Deloitte fossero “dati personali” ai sensi del Regolamento UE 2018/1725, sia al momento della raccolta (controller = SRB) che al momento del trasferimento (recipient = Deloitte).
  • In particolare: se lo SRB era obbligato ad informare gli interessati (“data subjects”) del fatto che i loro commenti pseudonimizzati sarebbero stati trasmessi a Deloitte, anche se Deloitte non disponeva del mezzo per identificare gli autori dei commenti.
  • La definizione di “dato personale”, e il concetto di “identificabilità” nelle ipotesi di pseudonimizzazione, erano elementi fondamentali.
Decisione della Corte di Giustizia
  • La Corte di Giustizia ha ribaltato il giudizio del General Court che aveva annullato la decisione dell’EDPS, e ha rimandato il caso al General Court per ulteriori accertamenti su alcune questioni.
  • Tra i punti fondamentali della sentenza:
    1. Opinioni personali: i commenti che esprimono opinioni personali sono “relativi” agli autori in modo intrinseco. Non serve che si esamini ulteriormente il contenuto, lo scopo o gli effetti del commento per stabilire che “relate to a natural person”.
    2. Identificabilità: deve essere valutata al momento della raccolta dei dati, dal punto di vista del controller. Lo SRB, che conserva il mezzo (il codice + la fase di registrazione) per ricondurre i commenti agli autori, ha la responsabilità in tal senso.
    3. Obbligo di informare: il controller (SRB) doveva informare gli interessati che i dati raccolti (inclusi i commenti/pseudonimizzati) potevano essere trasferiti a terzi (Deloitte), al momento della raccolta, anche se il terzo destinatario non ha accesso ai mezzi per identificare direttamente le persone. L’obbligo informativo non dipende dalla capacità del destinatario di identificare gli interessati.
    4. Relatività del concetto di dati personali: lo stesso set di dati può essere “dato personale” per il controller che ha mezzi di re-identificazione, ma non esserlo per il destinatario se non ha accesso ai mezzi e non può ragionevolmente re-identificare le persone. Però, ciò non esime il controller dalle sue obbligazioni.
Implicazioni
  • Importanza per la trasparenza: privacy notice (“informativa”) deve essere completa riguardo ai destinatari dei dati, anche in caso di pseudonimizzazione quando il controller mantiene mezzi di identificazione.
  • Chiarisce che la pseudonimizzazione non è una scusa per evitare obblighi fondamentali, come l’obbligo di informare gli interessati.
  • Rafforzamento della distinzione tra il controller e i destinatari: responsabilità e obblighi non sono gli stessi per tutti gli attori coinvolti.
  • Applicazioni pratiche: utile per istituzioni, enti, aziende che raccolgono dati, pseudonimizzano per motivi di sicurezza o altri, e trasferiscono dati a terzi — deve valutare con cura se i dati restano “personali” ai vari livelli.