Durante la riunione plenaria del gennaio 2025, il Comitato europeo per la Protezione dei Dati (EDPB) ha adottato orientamenti sulla pseudonimizzazione, nonché una dichiarazione sull’interazione tra il diritto della concorrenza e la protezione dei dati.
L’EDPB chiarisce l’uso della pseudonimizzazione per la conformità al GDPR
Il regolamento generale sulla protezione dei dati introduce il termine “pseudonimizzazione” e vi fa riferimento come garanzia che può essere adeguata ed efficace per soddisfare gli obblighi in materia di protezione dei dati. Nei suoi orientamenti, l’EDPB chiarisce la definizione e l’applicabilità della pseudonimizzazione e dei dati pseudonimizzati, nonché i vantaggi della pseudonimizzazione.
Gli orientamenti forniscono due importanti chiarimenti giuridici:
I dati pseudonimizzati, che potrebbero essere attribuiti a una persona fisica mediante l’uso di informazioni aggiuntive, rimangono informazioni relative a una persona fisica identificabile e sono pertanto ancora dati personali. In effetti, se i dati possono essere ricollegati a una persona fisica dal titolare del trattamento o da qualcun altro, rimangono dati personali.
La pseudonimizzazione può ridurre i rischi e facilitare l’utilizzo degli interessi legittimi come base giuridica (articolo 6, paragrafo 1, lettera f), del GDPR), purché siano soddisfatti tutti gli altri requisiti del GDPR. Analogamente, la pseudonimizzazione può contribuire a garantire la compatibilità con la finalità originaria (articolo 6, paragrafo 4, GDPR).
Le linee guida spiegano anche in che modo la pseudonimizzazione può aiutare le organizzazioni a soddisfare i loro obblighi relativi all’attuazione dei principi di protezione dei dati (articolo 5 GDPR), protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25 GDPR) e sicurezza (articolo 32 GDPR).
Infine, le linee guida analizzano le misure tecniche e le garanzie, quando si utilizza la pseudonimizzazione, per garantire la riservatezza e impedire l’identificazione non autorizzata delle persone.
Gli orientamenti saranno oggetto di consultazione pubblica fino al 28 febbraio 2025, offrendo ai portatori di interessi l’opportunità di formulare osservazioni e consentendo l’integrazione degli sviluppi futuri nella giurisprudenza.
Interazione tra il diritto in materia di protezione dei dati e il diritto della concorrenza: l’opinione dell’EDPB su come migliorare la cooperazione tra le autorità di regolamentazione
Nel corso della riunione plenaria l’EDPB ha, inoltre, adottato un documento di sintesi sull’interazione tra il diritto in materia di protezione dei dati e il diritto della concorrenza.
La sentenza della CGUE Meta contro Bundeskartellamt del 4 luglio 2023 ha chiaramente indicato che le autorità garanti della protezione dei dati e della concorrenza sono tenute a collaborare, in alcuni casi, per conseguire un’applicazione efficace e coordinata del diritto in materia di protezione dei dati e concorrenza. Sebbene si tratti di ambiti giuridici distinti che perseguono obiettivi diversi in contesti diversi, in alcuni casi possono applicarsi alle stesse entità. È, quindi, importante valutare le situazioni in cui le leggi possono intersecarsi.
In questo documento di sintesi, l’EDPB spiega come interagiscono la protezione dei dati e il diritto della concorrenza. Suggerisce misure per integrare i fattori di mercato e di concorrenza nelle pratiche di protezione dei dati e per tenere conto delle norme in materia di protezione dei dati nelle valutazioni della concorrenza. Fornisce inoltre raccomandazioni per migliorare la cooperazione tra le autorità di regolamentazione. Ad esempio, le autorità dovrebbero prendere in considerazione la creazione di un punto di contatto unico per gestire il coordinamento con altre autorità di regolamentazione.
Zdravko Vukíc, vicepresidente dell’EDPB, ha dichiarato: “Con l’evolversi dei modelli aziendali, la necessità di proteggere i dati personali sta diventando sempre più centrale. L’EDPB promuove la coerenza tra ambiti normativi separati ma interagenti, al fine di garantire la migliore protezione possibile delle persone. A tal fine, continueremo a collaborare con le autorità garanti della concorrenza per rafforzare la capacità delle autorità di protezione dei dati (DPA) di tenere conto del contesto economico e la capacità delle autorità garanti della concorrenza di integrare considerazioni relative alla protezione dei dati nelle loro valutazioni e decisioni“.
