La Commissione può decidere di adottare misure di esecuzione per garantire che i dati personali siano interpretati in modo accurato.
La Corte di Giustizia dell'Unione Europea (CGUE) ha emesso una sentenza storica il 4 settembre 2025, risolvendo una disputa iniziata con la risoluzione di Banco Popular Español del 7 giugno 2017. La sentenza, nota come EDPS v SRB (Causa C-413/23 P), stabilisce nuovi standard per gli obblighi di protezione dei dati nell'Unione Europea, in particolare nei servizi finanziari e nei contesti di consulenza professionale.
Il caso verteva sul trasferimento di commenti pseudonimi dal Single Resolution Board (SRB) a Deloitte, una società di revisione, durante una procedura di consultazione. Cinque stakeholder avevano sporto denuncia all'European Data Protection Supervisor (EDPS) perché la dichiarazione sulla privacy dell'SRB non menzionava Deloitte come destinatario dei loro dati.
La CGUE ha stabilito che i dati pseudonimi non possono costituire dati personali per i destinatari che non possono ragionevolmente identificare gli individui. Questa decisione affronta domande fondamentali su come il Regolamento Generale sulla Protezione dei Dati (RGPD) si applica quando diverse parti hanno capacità diverse di identificare gli individui dallo stesso dataset. La sentenza del tribunale sottolinea che gli obblighi di protezione dei dati dovrebbero riflettere i rischi di identificazione reali piuttosto che teorici.
La decisione del tribunale rafforza l'importanza di implementare misure tecniche robuste in tutte le operazioni di elaborazione dei dati. La pseudonimizzazione efficace per i destinatari richiede due elementi critici: il destinatario non deve essere in grado di rimuovere le misure di pseudonimizzazione e quelle misure devono impedire al destinatario di attribuire i commenti al soggetto dei dati in modo che la persona sia identificabile.
La sentenza chiarisce anche che l'analisi della pseudonimizzazione deve considerare le possibilità pratiche piuttosto che teoriche. La prospettiva rilevante per valutare la natura identificabile del soggetto dei dati dipende dalle circostanze del trattamento dei dati in ogni caso individuale.
Il tribunale ha stabilito che la natura identificabile del soggetto dei dati deve essere valutata al momento della raccolta dei dati e dalla prospettiva del responsabile. Gli obblighi informativi servono a consentire ai soggetti dei dati di decidere se fornire o rifiutare i dati personali che vengono raccolti da loro. I responsabili devono continuare a divulgare tutti i potenziali destinatari durante la raccolta dei dati personali, anche se le misure tecniche in seguito impediscono a quei destinatari di identificare gli individui.
La sentenza si applica in tutta l'Unione Europea e influisce sui
Leggi anche:
- Polk annuncia la sua partnership con il Lab 2.0 dopo la vendita di Upswing Poker a Club WPT Gold.
- Le principali nazioni africane progettano standard urbani puliti per il 2025
- Conoscere il bonsai di ginepro: modellare e mantenere una specie di albero senza tempo
- Taglio del ficus: metodi essenziali per la scultura e la manutenzione
