GDPR una sentenza EU su cancellazione dati da internet

Il Tribunale dell’Unione Europea, attraverso un provvedimento, il 26 aprile ha stabilito che i dati pseudonimizzati, che vengono trasmessi ad un destinatario, non possono essere considerati “dati personali” nel caso in cui il destinatario non dispone degli strumenti necessari ad identificare gli interessati stessi. Analizziamo la vicenda.

La vicenda

Il Single Resolution Board o Comitato di Risoluzione Unico (che interviene in caso di dissesto delle banche), nell’ambito delle sue mansioni ha utilizzato un modulo elettronico per permettere ad alcuni interessati di lasciare la propria opinione, ed ha condiviso le risposte ricevute con una società di consulenza.

Il Single Resolution Board, prima di condividere le risposte con la società, ha però sostituito con dei codici i nominativi di tutti i partecipanti al questionario, procedendo quindi a quella che viene chiamata pseudonimizzazione dei dati identificativi. In virtù di una serie di reclami è intervenuto lo European Data Protection Supervisor (Garante Europeo della Protezione dei Dati) che ha statuito che, se è vero che il Single Resolution Board ha condiviso con la società di consulenza i dati personali degli interessati, è altrettanto vero che non li ha informati di tale trattamento di dati.

Secondo il Single Resolution Board, però, non era necessaria questa informativa in quanto i dati erano stati pseudonimizzati, per cui non possono essere considerati dati personali per il destinatario della comunicazione dei dati.

La sentenza EU

Il Tribunale dell’Unione Europea, intervento sulla vicenda, non è stato dello stesso avviso dell’European Data Protection Supervisor. Infatti, in merito agli “Indirizzi IP dinamici come dati personali” ed in linea con la decisione del 2016 della Corte di Giustizia dell’Unione Europea, al fine di determinare se le informazioni pseudonimizzate trasmesse a un destinatario possono essere considerate o meno dati personali, è opportuno “definire la prospettiva del destinatario della comunicazione dei dati“.

Nel caso in cui il destinatario dei dati pseudonimizzati non dispone delle informazioni aggiuntive che gli permettono di identificare gli interessati e, inoltrerò non ha a disposizione quegli strumenti legali per accedere alle informazioni, i dati trasmessi devono essere considerati anonimizzati. Motivo per cui, in questo caso, non si può applicare il GDPR.

A tal proposito, quest’ultimo disciplina, qualora si realizzino le concrete situazioni previste dalla legge, come eliminare informazioni da Internet e la procedura per rimuovere informazioni personali da Internet. Per il Tribunale dell’Unione Europea, infine, il fatto che chi trasmette i dati disponga dei mezzi per identificare nuovamente gli interessati è irrilevante, in quanto non significa necessariamente che i dati personali trasmessi dal mittente siano considerati in automatico anche dati personali per il destinatario.

Related Post
  1. Deindicizzazione automatica per cancellare news da Google
  2. Guida di approfondimento Google sul diritto all’oblio
  3. Diritto all’oblio Google: panoramica legale

Cyber Lex

06 3975 4846
info@cyberlex.net