La sentenza Deloitte della CGUE ridefinisce la qualificazione dei dati pseudonimizzati, imponendo una valutazione contestuale dell’identificabilità e incidendo su obblighi informativi, contratti e trasferimenti. Il confronto con gli stakeholder mostra fratture su ruoli, MRLTBU e misure pratiche, soprattutto in sanità, ricerca e pubblicità online.
Indice degli argomenti
Anonimizzazione dopo la sentenza Deloitte: contesto e nodi interpretativi
Impatti sulle posizioni delle Autorità e sulle linee guida EDPB
La valutazione contestuale dell’identificabilità: ruoli e prospettive
Titolare e responsabile: il terreno più accidentato
Contratti ex art. 28 e limiti dell’affidamento contrattuale
Contitolarità, terzi e dimensione temporale del rischio
Settori che chiedono indicazioni operative e norme più problematiche
Il mutamento di natura del dato: trasmissioni a terzi e paesi terzi
Clausole contrattuali e limiti nelle asimmetrie informative
Trasferimenti extra UE e coordinamento con altre norme digitali
I mezzi ragionevolmente utilizzabili: misure legali, organizzative e tecniche
Tre categorie di misure: legali, organizzative e tecniche
PETs, clean room, TEE e dati sintetici
Mezzi leciti vs attacchi informatici nell’assessment
Le sfide dei dati pseudonimizzati: quando il titolare non può decidere
Scenario 1: catene stratificate e asimmetrie di capacità
Scenario 2: complessità intrinseca dei dati e rarità dei casi “pratici”
Consenso su un punto: nessun rischio zero
Implicazioni operative per sanità, ricerca, sperimentazioni e AI
Contrattualistica: divieti, notifica, audit e approccio integrato
Misure tecnologiche e pianificazione dei flussi dati
Digital Omnibus Act e possibile modifica dell’art. 4 GDPR
