Tribunale UE: un dato pseudonimizzato trasmesso a un destinatario non è un dato personale se chi lo riceve non ha i mezzi per reidentificare l’interessato.

Con la sentenza dello scorso 26 aprile nella causa T-557-20 (CRU - Comitato di risoluzione unico vs. Garante europeo della protezione dei dati) il Tribunale (Ottava Sezione ampliata) UE ha stabilito che un dato pseudonimizzato trasmesso a un destinatario non è un dato personale se chi lo riceve non ha i mezzi per reidentificare l’interessato. Il Tribunale ha applicato coerentemente e conseguentemente un principio che è quello contenuto sia nel Considerando 26 del GDPR che nel Considerando 16 del Regolamento 1725/18 e cioè: se i dati personali sono stati resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato, non si applicano i principi di protezione dei dati. Il punto ruota intorno alla possibilità di reidentificazione e questa possibilità - come ben evidenziato fin dal Parere WP 5/2014 sulle tecniche di anonimizzazione - può mutare nel tempo. Nel 2023/2024 sono altresì attese le nuove Linee Guida sulla pseudonimizzazione che il Comitato europeo per la prpotezione dei dati personali ha in preparazione.