News

CyberTalk 2

22 October 2023 No comments yet

🔔#CyberTalk
A volte l’interpretazione normativa crea scompiglio, specie quando sovverte ciò che la norma stessa definisce, o perlomeno quello che gli “utilizzatori” avevano inteso. È successo anche con il #GDPR e il problema è che, questa volta, ad aver sbagliato sembra sia stato il Garante Europeo #EDPS. È il caso della sentenza del Tribunale dell’UE – causa T-557/20 – che solleva un polverone sui concetti di #pseudonimizzazione e #anonimizzazione. Il soggetto che riceve un dato pseudonimizzato sta trattando un dato anonimo oppure no? È un responsabile del trattamento? Siamo certi che questa nuova interpretazione tenga in considerazione i rischi relativi alla reidentificazione degli interessati? Domande che abbiamo fatto a Mario Arcella, project manager ed esperto di #dataprotection. Ecco la sua interessante risposta:
“Ci sono decisioni giudiziarie che, grazie alla loro formulazione e al contesto storico in cui vengono emesse, possono influenzare significativamente l’interpretazione di un quadro giuridico e la sentenza emessa dal Tribunale dell’Unione Europea del 26 aprile 2023 nella causa T-557/20, che riguarda i criteri per determinare se le informazioni possono considerarsi “riferibili a persone identificabili”, è proprio una di queste.
Nella sentenza il Tribunale europeo ha sostenuto che se un titolare del trattamento procede alla pseudonimizzazione di dati personali e li trasmette ad un destinatario terzo, per qualificare tali dati come anonimi o pseudonimizzati si deve effettuare una valutazione dal punto di vista del destinatario. Di conseguenza, se l’identificazione della persona interessata fosse praticamente irrealizzabile (ad esempio, a causa di un eccessivo dispendio di tempo e risorse, rendendo insignificante il rischio di identificazione), i dati in questione verrebbero considerati anonimi e non sarebbe applicabile il Regolamento generale sulla protezione dei dati (#GDPR).

Altro aspetto interessante, che indubbiamente ha influito sui contenuti della sentenza: il Tribunale, per la prima volta dall’entrata in vigore del GDPR, è ripartito da una posizione assunta dalla Corte di Giustizia dell’Unione Europea in una sentenza del 2016 (caso Breyer) che trattava una situazione molto simile.
Leggendo la sentenza, la Corte sembra aver applicato in modo coerente quanto previsto dal Considerando 26 del GDPR, secondo il quale se i dati personali sono sufficientemente anonimizzati in modo da rendere ragionevolmente non possibile l’identificazione dell’interessato, non si applicano i principi di protezione dei dati. La sentenza, quindi, non afferma che i dati pseudonimizzati non siano più considerati personali ma che, se determinate condizioni sono soddisfatte, quei dati non sono più sotto la norma che riguarda la protezione dei dati.

Resta fondamentale quindi il contesto e la prospettiva di chi riceve i dati per determinare se le informazioni costituiscano dati personali”.
Rimani aggiornato, segui Phoenix! 🚀 👉 https://lnkd.in/dS8Z-W4q

Related posts

News

Pseudonimizzazione e Anonimizzazione dei dati personali

2 November 2023 No comments yet

🔔#CyberTalk: #pseudonimizzazione e #anonimizzazione dei dati personali.Abbiamo parlato della sentenza del Tribunale dell’UE – causa T-557/20 – che solleva un polverone sui concetti di #pseudonimizzazione e #anonimizzazione ( 👉 il prezioso di contributo di Mario Arcellahttps://lnkd.in/dJTnZXMD, qui trovate anche le nostre domande).Abbiamo chiesto lo stesso a un altro esperto, Davide Giribaldi, ed ecco che ne […]