Nuove Linee Guida sulla Pesudonimizzazione dell'EDPB

La storia recente sull’interazione tra il diritto della concorrenza e la protezione dei dati, a partire dal gennaio 2025, ha visto quale organismo protagonista il Comitato europeo per la protezione dei dati (EDPB), adottando regolamenti sulla pseudonomizzazione, nonché in data 16 gennaio 2025 un’espressa dichiarazione sull’interazione tra il diritto della concorrenza e la protezione dei dati (Guidelines 01/2025 on Pseudonymisation).

Il GDPR (acronimo inglese correlato al General Data Protection Regulation, ovvero il Regolamento Europeo sulla Protezione dei Dati n. 2016/679, anche conosciuto in Italia con l’acronimo RGPD (Regolamento Generale sulla Protezione dei Dati) all’art. 4(5) introduce nel proprio novero il termine “pseudonimizzazione”, definendolo come “Il trattamento dei dati personali in modo che i dati personali non possano più essere attribuiti ad un interessato specifico senza l’uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche ed organizzative per garantire che i dati personali non siano attribuiti ad una persona fisica identificata od identificabile” e vi fa riferimento come garanzia che può essere adeguata ed efficace per soddisfare gli obblighi in materia di protezione dei dati.

Secondo tale definizione, la pseudonimizzazione può ridurre i rischi per gli interessati, impedendo l’attribuzione di dati personali a persone fisiche nel corso del trattamento dei dati ed in caso di accesso od utilizzo non autorizzato.

Applicando la pseudonimizzazione, i titolati del trattamento possono quindi mantenere l’opzione di analizzare i dati, e facoltativamente, di unire diversi record relativi alla stessa persona.

La pseudonimizzazione, sostituendo ed anzi sostituendo regolarmente parte dei dati originali con uno o più pseudonimi, richiede generalmente l’applicazione di una trasformazione pseudonimizzante, evocando così una procedura che modifica i dati originali in modo che il risultato, i dati pseudonimizzati, non possano essere attribuiti ad un interessato specifico senza informazioni aggiuntive.

Si tratta di una procedura tale da poter essere impostata in modo da rendere possibile ripristinare i dati originali. Pertanto, i titolari del trattamento possono elaborare i dati personali in forma originale in alcune fasi del trattamento ed in forma pseudonimizzata in altre, restando tuttavia ed in ogni caso costante il loro carattere prettamente personale.

Essa, tuttavia, non impone un obbligo generale di utilizzare la pseudonimizzazione, la sua introduzione non intendendo precludere altre misure di protezione dei dati (arg. ex rec. 28 GDPR). Anzi, è una responsabilità del titolare del trattamento decidere sulla scelta dei mezzi per soddisfare i propri obblighi tenendo conto del principio di responsabilità; a seconda della natura, dell’ambito, del contesto e delle finalità del trattamento e dei rischi ad esso connesso, i titolari del trattamento potrebbero dover applicare la pseudonimizzazione per soddisfare i requisiti della normativa UE sulla protezione dei dati, in particolare per aderire al principio di minimizzazione dei dati, per implementare la protezione dei dati fin dalla progettazione e per impostazione predefinita o per garantire un livello di sicurezza adeguato al rischio.

La riduzione del rischio derivante dalla pseudonimizzazione può consentire ai titolari del trattamento di fare affidamento su interessi legittimi ex art. 6 GDPR come base giuridica per il trattamento a condizione che soddisfino gli altri requisiti previsti dalla medesima legislazione e cioè, per un verso contribuendo a stabilire la compatibilità di un ulteriore trattamento (ex art. 6 GDPR), e per un altro rendendo un livello di protezione equivalente per i dati che si intendono esportare.

Infine, il contributo della pseudonimizzazione alla protezione dei dati per impostazione predefinita e per la progettazione e la garanzia di un livello adeguato al rischio, può rendere ridondanti altre misure anche se la sola pseudonimizzazione, di regola non essendo una misura sufficiente per entrambe, indurrà i titolari del trattamento a stabilire e definire con precisione i rischi che intendono affrontare con la pseudonimizzazione.

L’inferenza dell’EDPB riguardo l’interazione tra il diritto in materia di protezione dei dati ed il diritto della concorrenza: profili evolutivi.

All’interno della riunione plenaria l’EDPB ha adottato un documento di sintesi sull’interazione tra il diritto in materia di protezione dei dati ed il diritto della concorrenza.

La sentenza della Corte di Giustizia dell’UE, Meta contro Budeskartellamt del 4 luglio 2023 ha espressamente indicato che le autorità garanti della protezione dei dati e della concorrenza sono tenute a collaborare al fine di conseguire un’applicazione efficace e coordinata del diritto in materia di protezione dei dati e concorrenza.

Chiarito il ruolo della “posizione dominante” nel contesto della validità del consenso ai sensi del GDPR, in quanto tale, essa non implica sistematicamente che il consenso sia invalido, eppure, ciononostante, saranno comunque necessarie alcune condizioni per garantire la validità del consenso, perché la posizione dominante è in grado di rifiutare o revocare il consenso senza subire un pregiudizio, e ciò potendo creare un evidente squilibrio tra la persona interessata ed il responsabile del trattamento.

Sebbene si tratti di ambiti giuridici distinti che perseguono obiettivi diversi, in alcuni casi possono applicarsi alle medesime entità.

In questo documento di sintesi, l’EDPB spiega il meccanismo tramite cui interagiscono la protezione dei dati ed il diritto della concorrenza, suggerendo altresì misure per integrare i fattori di mercato e di concorrenza nelle pratiche di protezione dei dati e per tenere conto delle norme in materia di protezione dei dati nelle valutazioni della concorrenza, nonché fornendo raccomandazioni per migliorare la cooperazione tra le autorità di regolamentazione.

Per l’EDPB, le autorità di regolamentazione possono necessitare di cooperare e coordinarsi al fine di esplorare sinergie e di impegnarsi in attività di applicazione coerenti, efficaci e complementari, consentendo un’interpretazione ed applicazione coerente delle norme giuridiche, vantaggiosa per cittadini ed imprese.

Sebbene il GDPR ed il diritto della concorrenza possano applicarsi agli stessi soggetti nonché alle stesse attività, esse risultano chiaramente distinte, basate su concetti ed obiettivi giuridici diversi e con un proprio quadro di applicazione normativo.

Intercorre una differenza -di non poco conto- tra la legge sulla protezione dei dati ed il diritto della concorrenza; mentre la prima, infatti, mira a garantire il diritto fondamentale delle persone interessate alla protezione dei loro dati personali, viceversa, il diritto della concorrenza mira a “tutelare il funzionamento efficiente dei mercati”.

Sarà, pertanto, necessaria un’analisi per valutare le situazioni in cui si verifica l’interazione tra protezione dei dati e concorrenza; con il succitato documento di sintesi, EDPB fornisce una breve analisi di quest’interazione e fornisce raccomandazioni per un ulteriore sviluppo della cooperazione esistente fra le autorità di regolamentazione.

Promuovere la cooperazione tra le autorità preposte alla protezione dei dati personali e quelle preposte alla concorrenza, può risultare utile per tutelare gli individui ed aumentare le loro possibilità di scelta;  sarà quindi essenziale considerare i modi per promuovere la coerenza tra aree distinte, ma interagenti delle regolamentazione, tenendo conto altresì dei rischi derivanti da una loro applicazione incoerente a livello individuale e sociale.

A tal fine, sarà necessaria una migliore comprensione del rapporto tra i concetti utilizzati nella protezione dei dati e nel diritto della concorrenza in modo da rafforzare la capacità delle autorità di protezione dei dati, prendendo in considerazione il contesto economico, nonché le capacità delle autorità di concorrenza di incorporare le considerazioni potenzialmente rilevanti in materia di protezione dei dati nello loro valutazioni, nonché all’interno delle loro decisioni.

La pseudonimizzazione dei dati è uno strumento essenziale per garantire la conformità al GDPR, ridurre i rischi per gli interessati e ottimizzare la gestione dei dati personali.

Tuttavia, l’implementazione di misure efficaci richiede anche una profonda conoscenza delle Linee guida dell’EDPB, delle best practice sulla protezione dei dati e delle implicazioni legali e concorrenziali del trattamento delle informazioni.

Il nostro studio legale offre assistenza specializzata in compliance GDPR, supportando aziende e organizzazioni nell’adozione di strategie avanzate di pseudonimizzazione, nella gestione dei rapporti con le autorità di regolamentazione e nell’integrazione delle misure di data protection by design.

Se necessiti di consulenza sulla protezione dei dati e sulla gestione della concorrenza digitale, contattaci oggi stesso.

(6 votes, average: 5,00 out of 5)
Loading...