La recente sentenza della Corte di Giustizia dell’Unione Europea (CGUE) del 4 settembre 2025 (C-413/23) nel caso SRB c. EDPS si pone come un pilastro fondamentale nell’interpretazione del Regolamento (UE) 2018/1725 – omologo del GDPR e che regola il trattamento dei dati personali da parte delle istituzioni europee – offrendo chiarimenti essenziali sui concetti di “dato personale”, “pseudonimizzazione” e, soprattutto, sull’obbligo del titolare del trattamento di informare gli interessati, specialmente in relazione alla comunicazione dei dati a terzi.
La vicenda trae origine dalla risoluzione di Banco Popular Español, S.A. da parte del Single Resolution Board (SRB) nel 2017. Nell'ambito di questa procedura, l'SRB ha avviato un processo per garantire il c.d. “ right to be heard ” agli azionisti e ai creditori interessati, allo scopo di determinare l'eventuale concessione di un indennizzo. Il processo si è articolato in due fasi: fase di registrazione : i partecipanti hanno fornito documenti di identità e prova di proprietà. fase di consultazione : i partecipanti potevano presentare commenti su una decisione preliminare e su una valutazione (la “Valuation 3”) condotta da una società di revisione e consulenza. In tale contesto, l'SRB ha pubblicato un' informativa sul trattamento dei dati personali . È cruciale notare che, sebbene i commenti fossero associati a un codice alfanumerico univoco, i membri dello staff dell'SRB che trattavano i commenti non avevano accesso diretto ai dati di identificazione raccolti nella fase di registrazione. Successivamente, 1.104 commenti relativi alla “Valuation 3” sono stati trasferiti ad una società di consulenza su un server virtuale sicuro. In questo contesto, solo l'SRB era in grado di collegare il codice alfanumerico ai dati di identificazione degli autori dei commenti, mentre la società di consulenza non aveva accesso alcuno a tali informazioni aggiuntive. Nel 2019, alcuni azionisti e creditori hanno presentato diversi reclami all' European Data Protection Supervisor (“ EDPS ”), i.e. Garante Privacy Europeo, lamentando una violazione dell'Articolo 15, paragrafo 1, lettera d), del Regolamento 2018/1725, in quanto l'SRB non aveva informato i partecipanti che i loro dati, sotto forma di commenti, sarebbero stati comunicati a terzi . L'EDPS ha inizialmente constatato l' inosservanza dell'articolo 15, paragrafo 1, lettera d), ed ha emesso formale richiamo all'SRB. A seguito di una richiesta di revisione della decisione da parte dell'SRB, l'EDPS ha adottato una decisione (“Decisione”) in cui ha ribadito che i dati condivisi erano dati pseudonimi e quindi dati personali poiché l'SRB aveva condiviso il codice alfanumerico che consentiva il collegamento ai diretti interessati, anche se i dati di identificazione non erano stati divulgati. Pertanto, la società di consulenza è stata considerata un “destinatario” di dati personali, la cui mancata menzione nell'informativa privacy determina una violazione dell'obbligo di informazione e trasparenza nei confronti dei soggetti interessati. L'EDPS ha scelto di non esercitare i suoi poteri correttivi, limitandosi a una raccomandazione: l'informativa sul trattamento dei dati nei futuri processi per garantire il diritto di essere ascoltati, dovrebbe coprire tutto il trattamento dei dati personali, dalla fase di registrazione a quella di consultazione e includere tutti i potenziali destinatari delle informazioni raccolte. Tuttavia, l'SRB ha impugnato questa decisione dinanzi al Tribunale dell'Unione Europea , sostenendo, tra l'altro, che le informazioni comunicate alla società non costituiscono dati personali ai sensi dell'articolo 3, paragrafo 1, del Regolamento. Il Tribunale ha accolto questo primo motivo, annullando la decisione dell'EDPS in quanto l'EDPS ha erroneamente classificato le informazioni come dati personali senza un'adeguata analisi della loro riferibilità e identificabilità, specialmente dalla prospettiva della società di consulenza. L'EDPS ha appellato la decisione del Tribunale. La CGUE ha esaminato l'appello dell'EDPS, focalizzandosi principalmente sull'interpretazione dei seguenti articoli del Regolamento: 3, paragrafo 1 - dati personali -. 3, paragrafo 6 – pseudonimizzazione -. 15, paragrafo 1, lettera d) - obbligo di informazione sui destinatari -. Sulla “ riferibilità ” delle informazioni a una persona fisica (articolo 3, par. 1): La CGUE ha riaffermato l' ampia portata del concetto di “dati personali” , che include ogni tipo di informazione, sia oggettiva che soggettiva (come opinioni e valutazioni). Un'informazione “si riferisce” a una persona identificata o identificabile se, per contenuto, scopo o effetto, è collegata a tale persona. Alla luce di ciò, le opinioni o i punti di vista personali sono intrinsecamente e necessariamente strettamente legati all'individuo che li esprime. Pertanto, l'EDPS non aveva bisogno di esaminare il contenuto, lo scopo o gli effetti specifici dei commenti per concludere che si riferivano a persone fisiche, essendo chiaro che esprimevano le opinioni personali degli azionisti/creditori. Sull' identificabilità dei dati pseudonimizzati (articolo 3, par. 1 e 6): La CGUE ha chiarito che la pseudonimizzazione (articolo 3, par. 6) non è parte della definizione di “dati personali” ma è una misura tecnica e organizzativa per ridurre il rischio di correlazione con l'identità dell'interessato. Il dato pseudonimizzato , per sua natura, presuppone l'esistenza di informazioni aggiuntive che permettono l'identificazione, e per questo motivo non può essere considerato anonimo. Tuttavia, e questo è uno dei passaggi chiave della sentenza, la CGUE ha respinto la tesi dell'EDPS secondo cui i dati pseudonimizzati dovrebbero essere considerati dati personali in ogni caso e per ogni persona. La CGUE ha spiegato che, sebbene per il titolare che detiene le informazioni aggiuntive, i dati pseudonimizzati rimangano personali, per un terzo a cui i dati sono stati trasmessi, tali dati potrebbero non essere personali se le misure tecniche e organizzative sono effettivamente idonee a impedire l'identificazione della persona, anche tramite altri mezzi come il confronto con altre informazioni a disposizione del terzo. Pertanto, l'identificabilità deve essere valutata tenendo conto di “tutti i mezzi ragionevolmente utilizzabili” da parte del titolare o di “altra persona”, considerando costi, tempo e tecnologie disponibili. Sulla prospettiva di valutazione dell'identificabilità per l'obbligo di informazione (articolo 15, par. 1, lett. d): L'obbligo di informare sui destinatari dei dati (articolo 15, par. 1, lett. d)) deve essere adempiuto dal titolare al momento della raccolta dei dati personali dall'interessato. La finalità di tale obbligo è permettere all'interessato di decidere, in piena consapevolezza, se fornire o meno i propri dati, e anche di difendere i propri diritti in un momento successivo. Pertanto, la valutazione dell'identificabilità dell'interessato, ai fini dell'applicazione dell'articolo 15, paragrafo 1, lettera d), deve essere effettuata al momento della raccolta dei dati e dal punto di vista del titolare del trattamento (SRB in questo caso). Non è rilevante la capacità di identificazione del destinatario (la società di consulenza) in un momento successivo alla comunicazione. Questo è stato il punto cruciale della sentenza in cui la CGUE ha ribaltato la posizione del Tribunale. Dato che l'SRB, in quanto titolare, aveva a disposizione tutte le informazioni per identificare gli autori dei commenti, le informazioni trasferite alla società di consulenza costituivano dati personali sotto la sua responsabilità. La CGUE ha accolto l'appello dell'EDPS e ha annullato la sentenza del Tribunale . Inoltre, la Corte ha proceduto a statuire definitivamente sul primo motivo di ricorso dell'SRB, concludendo che l'EDPS aveva correttamente ritenuto che le informazioni trasmesse alla società di consulenza costituissero dati personali per l'SRB. Di conseguenza, ha respinto il primo motivo di ricorso dell'SRB contro la decisione dell'EDPS. Tuttavia, la CGUE ha constatato che lo stato degli atti non consentiva di pronunciarsi sul secondo motivo di ricorso dell'SRB (violazione del diritto alla buona amministrazione), richiedendo valutazioni fattuali non effettuate dal Tribunale. Per questo motivo, la Corte ha rinviato la causa al Tribunale affinché esamini tale secondo motivo. Questa sentenza è fondamentale per diversi aspetti e delinea punti chiave per la compliance alla normativa privacy: Obbligo di Trasparenza e accountability del titolare : è stata ribadita l'importanza cruciale dell'obbligo di informare pienamente gli interessati sui destinatari dei dati fin dal momento della raccolta. È altresì responsabilità del titolare garantire la conformità al momento della raccolta dei dati, indipendentemente dai successivi trattamenti o trasferimenti. Dati pseudonimi non sono sempre dati personali : i dati pseudonimizzati non devono essere considerati sempre dati personali poiché la valutazione dell'identificabilità deve essere effettuata dal punto di vista del titolare del trattamento, indipendentemente dalla capacità del destinatario di re-identificare l'interessato , in presenza di idonee misure di sicurezza. La pseudonimizzazione è una misura di sicurezza preziosa ma non un mezzo per de-personalizzare i dati dalla prospettiva del titolare. Il dato rimane personale se il titolare ha i mezzi per identificare l'interessato. Per i destinatari, l'analisi dell'identificabilità è più sfumata e dipende dalla ragionevole probabilità di re-identificazione. Aspetto cruciale e che potrebbe agevolare l'AI training. Valutazione della riferibilità : Le opinioni e le valutazioni sono considerate strettamente personali e, come tali, riferibili all'interessato che le esprime. La controversia proseguirà ora dinanzi al Tribunale per l'esame del secondo motivo di ricorso dell'SRB, ma i principi stabiliti dalla CGUE in merito alla natura dei dati e agli obblighi di informazione sono già chiari e rappresentano un punto di riferimento essenziale per il trattamento dei dati personali nell'UE