Una recente sentenza del Tribunale dell’Unione Europea ha definito le condizioni per cui i dati pseudonimizzati possono non essere considerati dati personali. Il provvedimento ha delle interessanti ricadute in sanità.
La sentenza è stata emanata a seguito del ricorso presentato dal Single Resolution Board – SRB (l’autorità centrale di risoluzione delle crisi all’interno dell’unione bancaria europea) contro il Garante Europeo della Protezione dei Dati (European Data Protection Supervisor – EDPS) che aveva accusato la prima di aver violato il GDPR per aver trasferito a una società di consulenza dei questionari pseudonimizzati senza aver ottenuto alcun consenso da parte delle persone che li avevano compilati.
Il Garante europeo aveva assunto la propria decisione poiché i questionari che erano stati trasmessi contenevano un codice alfanumerico con cui gli utenti si erano registrati al portale di SRB e da cui era possibile risalire all’identità di coloro che li avevano compilati.
Il Tribunale ha stabilito che, in linea con la decisione del 2016 della Corte di Giustizia dell’Unione Europea in merito agli “Indirizzi IP dinamici come dati personali”, per determinare se le informazioni pseudonimizzate trasmesse a un destinatario costituiscano o meno dati personali, è necessario “considerare la prospettiva del destinatario della comunicazione dei dati”.
Nella fattispecie se il destinatario dei dati non dispone di informazioni aggiuntive che gli consentano di identificare nuovamente gli interessati e non ha a disposizione strumenti legali per accedere a tali informazioni, i dati trasmessi possono essere considerati anonimizzati e, come tali, fuori dall’ambito di applicazione del GDPR.
Per il Tribunale dell’Unione Europea il fatto che chi trasmette i dati abbia i mezzi per identificare nuovamente gli interessati è irrilevante, poiché non significa che i dati personali trasmessi “dal mittente” siano considerati automaticamente anche dati personali per il “destinatario“.
La sentenza assume grande rilevanza anche per la sanità dove spesso si gestiscono dati pseudonimizzati. Il ragionamento del Tribunale dell’Unione Europea applicato in questa sentenza apre la porta alla possibilità di trattare dati pseudonimizzati senza il consenso del paziente purché sussistano le condizioni espresse sopra. Si tratta di una importante semplificazione che permette l’uso di dati per fini non previsti dal consenso rilasciato dai pazienti nonché il loro trattamento da parte di software che possono operare con dati pseudonimizzati.
Resta da capire se, a seguito di questa sentenza, la nostra Autorità Nazionale per la tutela dei dati personali rilascerà una nota o delle linee guida per sancire il principio e gli ambiti di applicabilità.