ISCRIVITI (leggi qui)
Pubbl. Mer, 3 Mag 2023

Per il Tribunale dell´Unione Europea la nozione di dato personale è relativa

Modifica pagina

Editoriale a cura di Camilla Della Giustina



Il Tribunale dell´Unione Europea, nella causa T-557/20, ha precisato che la nozione di dato personale è relativa. Secondo il ragionamento del Tribunale, infatti, il criterio da utilizzare per capire se le informazioni si riferiscono a ”persone identificabili” è quello di mettersi nella posizione dell´organizzazione interessata.


Con sentenza del 26 aprile 2023 pronunciata nella causa T-557/20,  attinente alla violazione dell’art. 3, punto 1, Reg. UE 2018/1725 il Tribunale dell’Unione Europea ha ripreso le conclusioni formulate dalla Corte di Giustizia dell’Unione Europea nella sentenza Breyer.

La decisione del Tribunale  prende le mosse dal programma di risoluzione del Banco Popular Español avviato in forza del Regolamento UE n. 806/2014 del Parlamento europeo e del Consiglio. La tematica dei dati personali viene in rilievo poiché durante la fase di iscrizione - per tale intendendo le prove dell’identità dei partecipanti e della proprietà di strumenti di capitale del Banco Popular svalutati, convertiti o trasferiti – il Comitato di Risoluzione Unico (CRU) aveva raccolto informazioni circa l’identità dei partecipanti e la proprietà di strumenti di capitale. In un momento iniziale, questi  dati erano accessibili a un numero limitato del personale del CRU.

Quest’ultimo, al termine della fase di analisi dei dati ricevuti, ha dato accesso ai file, sui quali erano caricati i nominativi degli autori delle comunicazioni, a un numero limitato e controllato dei membri del personale di Deloitte. Si trattava di soggetti coinvolti direttamente nel progetto e le informazioni trasmesse erano sottoforma di codice alfanumerico.

Alcuni azionisti e creditori, in data 19, 26 e 18 ottobre e 5 dicembre 2019, avevano inviato al Garante Europeo per la Protezione dei Dati (GEPD) cinque reclami asserendo una violazione della normativa in tema di protezione dei dati personali da parte delle istituzioni, degli organi, degli organismi dell’UE. Precisamente, i reclamanti adducevano che il CRU non li aveva informati che i dati raccolti mediante le risposte al modulo sarebbero stati trasmessi a terzi. Questi ultimi, precisamente, sono Deloitte e Banco Santander. Nella ricostruzione prospettata dai reclamanti, il CRU avrebbe violato l’art. 15, par. 1 lett. d) del Reg. UE ove stabilisce che “«[i]n caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le (…) informazioni [riguardanti] gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali”.

La risposta fornita dal GEPD, a seguito del reclamo, precisa che il contenuto delle informazioni degli azionisti e dei creditori interessati è un’informazione che li riguarda (“concerne”). Più precisamente, le risposte al modulo costituiscono dati personali a prescindere dalla circostanza che siano espressione di un parere originale o condiviso con altri.

Questa classificazione prescinde, altresì, dal fatto che il CRU consideri dette risposte come informazioni indipendenti dagli specifici diritti degli azionisti e dei creditori interessati. A ciò si deve aggiungere che il GEPD qualifica le osservazioni come dati personali in relazione al loro effetto.

La raccolta delle osservazioni, infatti, era finalizzata alla concessione di diritti procedurali a ciascuna delle parti al fine ultimo di raccogliere i punti di vista individuali. Infine, il GEPD evidenzia come le risposte ricevute durante la fase di consultazione siano dati personali dei reclamati poiché contenevano il loro punto di vista personale e rappresentavano delle informazioni che li riguardavano.

Poste queste premesse, il Tribunale dell’Unione Europea, in primis, ritiene che “spettava al GEPD esaminare se i commenti trasmessi a Deloitte costituissero dati personali per Deloitte”. Il Tribunale evidenzia come la posizione di Deloitte possa essere paragonata a quella del fornitore di servizi di media online (si rimanda alla sentenza cd. Breyer, 19 ottobre 2016 (C‑582/14, EU:C:2016:779)). Deloitte, infatti, non era in possesso di informazioni attinenti a una “persona fisica identificata”: il codice alfanumerico non consentiva di rivelare direttamente l’identità della persona fisica che aveva compilato il modulo. Al tempo stesso, la posizione del CRU, adottando la prospettiva della sentenza Breyer, può essere paragonata a quella del fornitore di accesso a Internet. Egli, infatti, era l’unico che deteneva le informazioni aggiuntive (codice alfanumerico e banca dati di identificazione) necessarie per identificare gli azionisti e creditori che avevano risposto al modulo.

Nella sentenza Breyer, difatti, la Corte di Giustizia aveva stabilito che un indirizzo IP dinamico poteva essere considerato dato personale, nei confronti di un fornitore di servizi di media online, a due condizioni. In primo luogo è necessario  che detto “indirizzo IP , registrato da un tale fornitore, possa essere qualificato come informazione riferita a una ‘persona fisica identificabile’”. In secondo luogo, viene richiesto che  qualora siano necessarie  informazioni aggiuntive necessarie “per identificare l’utente di un sito Internet (...) siano detenute dal fornitore di accesso a Internet dell’utente medesimo”.

La conclusione alla quale perviene la Corte di Giustizia nella sentenza Breyer è che “un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale  (..) qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone”.

In secundis, il Tribunale evidenzia come la posizione assunta dal GEPD non possa ritenersi corretta nella parte in cui “sostiene che non era necessario verificare se gli autori delle informazioni trasmesse a Deloitte fossero reidentificabili da quest’ultima o se tale reidentificazione fosse ragionevolmente possibile”. In altri termini, viene evidenziato come il GEPD abbia esaminato solamente la possibilità di reidentificare gli autori delle osservazioni dal punto di vista del CRU e non di Deloitte.

Alla luce di questo, “poiché il GEPD non ha verificato se Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni, il GEPD non poteva concludere che le informazioni trasmesse a Deloitte costituissero informazioni concernenti una ‘persona fisica identificabile’ ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725”.


Note e riferimenti bibliografici