Dati anonimi e pseudonimi: cosa cambia per la ricerca dopo l’ultima sentenza della Corte Ue

Il concetto di identificabilità dell’interessato è determinante ai fini dell’applicabilità o meno della disciplina sulla protezione dei dati personali (“GDPR”), il cui ambito di applicazione è limitato ai soli dati personali, ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, no. 1) GDPR). La disciplina precisa, inoltre, che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente”.

In relazione a tale concetto vengono in rilievo due ulteriori temi di grande importanza, l’anonimizzazione e la pseudonimizzazione dei dati.

Quando i dati possono essere considerati anonimi

I dati, infatti, possono essere considerati anonimi soltanto qualora non sia possibile re-identificare l’interessato in maniera irreversibile. In tal caso, questi non saranno più qualificabili come dati personali e, pertanto, sottratti alla disciplina dettata dal GDPR.

L’efficacia delle tecniche di anonimizzazione, intesa come la possibilità di garantire che l’irreversibilità del processo sia effettiva, è da sempre al centro di un ampio dibattito, legato al fatto che a fronte dell’evoluzione tecnologica, il rischio di obsolescenza delle tecniche utilizzate è sempre più alto.

Al contrario, la pseudonimizzazione, pur essendo riconosciuta come una misura utile a garantire la sicurezza nel trattamento dei dati personali, che i titolari dovrebbero adottare in ossequio agli obblighi derivanti dall’art. 32 GDPR, non fa venir meno la natura di dato personale, né preclude, dunque, l’applicazione della relativa disciplina.

Ai sensi dell’art. 4, no. 5) GDPR, si ha pseudonimizzazione laddove il trattamento sia effettuato in modo tale che “i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive”, e che tali informazioni aggiuntive siano soggette a specifiche misure tecniche volte a garantire che tali dati non possano essere attribuiti a una persona fisica identificata o identificabile (come, ad esempio, la separazione logica e l’accesso riservato).

Pseudonimizzazione e anonimizzazione: che ruolo avranno nello Spazio Europeo dei Dati Sanitari

Nonostante le difficoltà nell’assicurare l’irreversibilità assoluta del processo di anonimizzazione e l’effettività del risultato, a livello europeo l’utilizzo di tecniche di anonimizzazione e pseudonimizzazione a presidio della sicurezza dei dati è spesso incoraggiato soprattutto nel caso di trattamenti che coinvolgono categorie di dati particolari (art. 9 GDPR), come ad esempio in ambito sanitario e nel settore della ricerca medico-scientifica.

Proprio in relazione a questo settore, è dunque interessante osservare l’approccio che l’Unione Europea sta seguendo e la direzione verso cui muovono le nuove proposte di regolamentazione adottate dalla Commissione Europea nell’ambito della Strategia europea in materia di dati.

In particolare, l’obiettivo è quello di favorire la creazione di uno spazio europeo per la circolazione dei dati in diversi settori. Con riferimento all’ambito sanitario, in particolare, l’obiettivo è perseguito dalla Proposta di Regolamento sullo Spazio Europeo dei Dati Sanitari (European Health Data Space – “EHDS”).

In linea generale, l’EHDS è inteso a disciplinare a tutto tondo l’utilizzo dei dati sanitari elettronici – sia personali che non personali – ovviando ai problemi legati soprattutto alla frammentarietà della normativa a livello europeo e cercando al contempo di individuare delle soluzioni attuabili specialmente in settori rispetto ai quali sono emersi i limiti della legislazione attuale. Per esempio, come anche evidenziato all’interno della relazione introduttiva che accompagna la proposta, la disomogeneità nell’interpretazione e applicazione del GDPR e la possibilità per gli Stati Membri di prevedere regole specifiche sul trattamento di dati sanitari ha determinato una frammentarietà nell’attuazione del quadro normativo, tradottasi, fra l’altro, in ostacoli nell’utilizzo secondario dei dati per finalità di ricerca scientifica.

Con l’EHDS, si intende rendere più semplice l’accesso e la condivisione dei dati sanitari elettronici, dando da un lato maggior controllo alle persone fisiche e, dall’altro, favorendo l’attività di ricercatori, innovatori e responsabili delle politiche, mediante la creazione di un quadro normativo e di governance dei dati.

In primo luogo, va chiarito che nello EHDS viene fatta una distinzione fra utilizzo primario e secondario dei dati, ricomprendendo il trattamento per finalità di ricerca scientifica in questa seconda categoria. Inoltre, la proposta di Regolamento prevede l’istituzione all’interno di ciascun Stato Membro di specifici organismi (“Organismi responsabili dell’accesso ai dati”), che avranno il compito di favorire lo scambio dei dati fra utenti e i titolari, garantendone la sicurezza.

Ai fini del presente articolo, è interessante evidenziare lo spazio riservato dalla proposta all’anonimizzazione e alla pseudonimizzazione dei dati, quali misure utili a garantirne la sicurezza.

A partire dal Considerando 43, infatti, si auspica il ricorso a tecniche di anonimizzazione e pseudonimizzazione da parte degli Organismi responsabili dell’accesso ai dati, “in modo da tutelare la privacy delle informazioni contenute nei dati per i quali è consentito l’uso secondario”.

In generale, inoltre, si prevede che i dati siano resi disponibili in forma anonima, proprio in ragione dei rischi legati alle caratteristiche proprie dei dati sanitari, salvo nel caso in cui vi siano fondate ragioni che giustifichino il contrario, ponendo in capo al richiedente l’onere di illustrare tali ragioni.

Peraltro, vengono comunque chiaramente messi in luce i rischi correlati all’utilizzo di tecniche di anonimizzazione, derivanti dal fatto che, nonostante il ricorso alle tecniche più avanzate, permanga comunque il rischio di futura re-identificazione dell’interessato, anche alla luce dell’evoluzione tecnologica.

Anche con riferimento alla nuova normativa, dunque, la sottile linea di confine che distingue dati anonimi e dati pseudonimi è di fondamentale importanza.

La sentenza T-557-20 del Tribunale dell’Unione Europea

Sul tema della distinzione fra dati anonimi e pseudonimi si è espresso di recente il Tribunale dell’Unione Europea, con la sentenza del 26 aprile 2023, in riferimento al caso T-557-20. In particolare, la pronuncia verte sulla nozione di dato personale come definito dal Regolamento (UE) 2018/1725 relativo al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione Europea e che sul punto riporta una definizione identica a quella contenuta nel GDPR.

La sentenza è di particolare interesse in quanto sembra almeno in parte superare i principi espressi in merito dall’Art. 29 Working Party (“WP29”) all’interno del Parere 05/2014 sulle tecniche di anonimizzazione, ed in particolare riguardo alle ipotesi in cui sia possibile l’identificazione dell’interessato.

Stando a quanto affermato dal WP29, infatti, si ha identificazione quando (i) attraverso i dati è possibile individuare un interessato, (ii) è possibile collegare fra loro dati riferiti al medesimo interessato e (iii) quando informazioni riguardanti un interessato possono essere dedotte a partire dai dati.

La possibilità che si rientri in una delle ipotesi appena descritte deve essere valutata tenendo conto dei mezzi di cui ragionevolmente ci si può avvalere, avendo riguardo dei mezzi cui potrebbe fare ricorso non soltanto il titolare del trattamento, ma anche qualsiasi altro soggetto.

Secondo l’orientamento tradizionale, questa previsione andrebbe interpretata nel senso di dover svolgere tale valutazione in termini assoluti.

La sentenza T-557-20 è intervenuta proprio sotto questo profilo, apparentemente discostandosi dai criteri appena illustrati.

Il caso, che vedeva contrapposti il Comitato di risoluzione unico (“CRU”) e lo European Data Protection Supervisor (“EDPS”), riguardava la valutazione della differenza di trattamento di azionisti e creditori, ed in particolare del diritto di questi ultimi a ricevere un indennizzo, a seguito dell’attuazione di un programma di risoluzione per un ente creditizio spagnolo.

La controversia è scaturita a partire da cinque reclami presentati all’EDPS da parte di alcuni azionisti e creditori, che lamentavano di non essere stati adeguatamente informati da parte del CRU in merito al fatto che le osservazioni da loro formulate e fornite mediante modulo di valutazione sarebbero state condivise con soggetti terzi (in particolare con degli auditor indipendenti), al fine di verificare la correttezza delle decisioni preliminari adottate dal CRU, anche alla luce delle osservazioni presentate dagli azionisti.

I dati oggetto della controversia erano le osservazioni di azionisti e creditori ricevute dal CRU in fase di consultazione, alle quali era stato assegnato un codice alfanumerico. Tale codice, generato al fine di poter gestire eventuali contestazioni future, permetteva al CRU, congiuntamente a dati ulteriori a cui soltanto quest’ultimo aveva accesso, di poter collegare le osservazioni ai dati ricevuti in fase di iscrizione, identificando dunque l’azionista che aveva espresso l’osservazione.

La comunicazione ai soggetti terzi, dunque, riguardava soltanto le osservazioni e il relativo codice alfanumerico, e non anche gli ulteriori dati che rimanevano nell’esclusiva disponibilità del CRU.

Il parere dell’EDPS

A parere dell’EDPS, le osservazioni e il codice alfanumerico trasmessi ai terzi devono correttamente essere qualificati come dati pseudonimi, e dunque come dati personali, sulla base della considerazione che gli azionisti che avevano espresso le osservazioni potevano essere identificati utilizzando i dati ulteriori in possesso del CRU. A detta dell’EDPS, in linea con gli orientamenti del WP29, la semplice possibilità per il CRU di identificare gli azionisti avrebbe infatti comportato la necessità di considerare le osservazioni condivise come dati personali, anche laddove soltanto il CRU fosse in possesso dei dati che ne permettevano l’identificazione.

Nel sostenere la propria tesi, l’EDPS ha sottolineato che:

• l’art. 3, no. 1 del Regolamento (UE) 2018/1725 (in maniera simile a quanto fatto dal GDPR) nel definire i dati personali fa riferimento anche alla possibilità di identificare una persona fisica “indirettamente”, non dovendo dunque tenersi conto del fatto che la singola informazione sia o meno idonea a identificare l’interessato;
• ai fini dell’identificazione, occorre fare riferimento sia ai mezzi ragionevolmente utilizzabili dal titolare, che da qualsiasi altro soggetto, non avendo alcuna rilevanza la circostanza che le informazioni ulteriori siano in possesso di una o più persone;
• il codice alfanumerico, secondo quanto previsto dall’art. 3, no. 6 del Regolamento (UE) 2018/1725 in relazione alla pseudonimizzazione, anche in assenza di dati ulteriori, poteva essere qualificato come “informazione aggiuntiva”, che consentiva di ricondurre le osservazioni agli interessati.

Al contrario, il CRU ha sostenuto che i dati trasmessi fossero dati anonimi, argomentando di non aver condiviso gli ulteriori dati che permettessero la re-identificazione dell’interessato, che restavano accessibili soltanto al personale CRU e a cui i destinatari dei dati non potevano in nessun modo avere accesso.

Nel formulare la propria decisione, il Tribunale UE ha in primo luogo fatto riferimento ai principi espressi dalla Corte di Giustizia dell’Unione Europea (“CGUE”) nella sentenza Breyer (C-582/14), riguardo l’ipotesi in cui non tutte le informazioni idonee a consentire l’identificazione sono detenute da una sola persona, bensì da più parti.

Nella sentenza appena citata, infatti, la CGUE aveva stabilito che la semplice disponibilità da parte di più soggetti di informazioni aggiuntive che consentono l’identificazione dell’interessato non sia sufficiente ad escludere la possibilità di re-identificazione.

A parere del Tribunale, tuttavia, tale possibilità di re-identificazione non comporta in automatico la qualifica dei dati come personali, dovendo comunque tenere conto della possibilità che tale identificazione avvenga in concreto, alla luce delle circostanze del caso di specie.

Applicando questo principio al caso in esame, il Tribunale è giunto alla conclusione che, dal momento che il terzo destinatario non disponeva, né avrebbe potuto in alcun modo avere accesso alle informazioni aggiuntive idonee ad identificare gli interessati, i dati trasmessi (ossia, le osservazioni e i codici alfanumerici) dovessero essere qualificati come dati anonimi, e non come dati pseudonimi.

In altre parole, a parere del Tribunale, la valutazione in merito alla concreta identificabilità dell’interessato va fatta tenendo conto della posizione in concreto del terzo, e non sulla base delle possibilità di identificazione valutate in termini assoluti.

Le possibili conseguenze della sentenza T-557-20 sulla ricerca in ambito medico-scientifico

Alla luce delle considerazioni sopra esposte, si potrebbe riflettere sui possibili risvolti di questa evoluzione giurisprudenziale, cercando in particolare di analizzare le implicazioni sul futuro della ricerca medico-scientifica.

In questo settore, infatti, vi è generalmente il coinvolgimento di due attori principali: il centro che concretamente svolge l’attività di ricerca e la struttura e/o la società farmaceutica che finanzia tale attività (“Sponsor”). Nel trasmette il risultato della ricerca, il centro comunica allo Sponsor i dati cifrati, continuando tuttavia a detenere in via esclusiva le informazioni aggiuntive idonee a identificare l’interessato.

Sulla base dell’interpretazione tradizionale, ampiamente illustrata al paragrafo precedente, i dati trasmessi allo Sponsor sono normalmente qualificati come dati pseudonimi, dunque soggetti all’applicazione della disciplina sui dati personali.

Tuttavia, l’applicazione dei nuovi criteri stabiliti dal Tribunale UE nella sentenza T-557-20 potrebbe aprire nuovi scenari. Dovendosi, infatti, valutare in concreto il rischio di re-identificazione, tenendo conto della specifica posizione dello Sponsor alla luce della recente decisione del Tribunale Europeo, i dati trasmessi potrebbero essere considerati dati anonimi, non trovando così applicazione la normativa in materia di trattamento dei dati personali.

Inoltre, l’impatto potrebbe rivelarsi ancora più significativo laddove applicato non esclusivamente con riferimento al GDPR. Nell’ottica di far prevalere un’interpretazione coerente della legislazione europea, sarebbe bene infatti che tali principi assumessero un carattere più ampio, circostanza che senz’altro influirebbe anche sui prossimi sviluppi normativi, prima fra tutti la creazione dello Spazio Europeo dei Dati Sanitari.