Jurisprudența Breyer – o reafirmare nuanțată

Hotărârea stabilește criteriile privind calificarea datelor pseudonimizate ca fiind anonime, clarifică faptul că opiniile unei persoane nu sunt considerate automat date personale, ci necesită o evaluare contextuală și indică nevoia evaluării riscului de reidentificare din perspectiva destinatarului datelor. Curtea amintește și reafirmă jurisprudența Breyer, care a influențat considerabil abordarea Curții în acest caz.

1.      Context

În iunie 2017, SRB a luat decizia de a implementa o schemă de rezoluție pentru Banco Popular Español, SA. Ca parte a acestui proces, SRB a primit evaluări și opinii ale diferitelor părți interesate, inclusiv cu privire la evaluarea diferenței de tratament a acționarilor și creditorilor băncii efectuată de firma de consultanță Deloitte.

Răspunsurile primite cu privire la evaluarea de tratament anterior menționată au fost transmise și către Deloitte, care, în calitatea sa de evaluator independent, trebuia să examineze dacă evaluarea sa rămâne valabilă în lumina acestor comentarii. Pentru a proteja confidențialitatea persoanelor implicate, SRB a distribuit aceste informații utilizând date pseudonimizate, înlocuind numele fiecărei persoane cu un cod alfanumeric.

După mai multe plângeri primite de AEDP întemeiată pe faptul că respondenților nu li s-a comunicat că datele colectate prin intermediul chestionarului vor fi transferate unei terțe părți, a apărut întrebarea dacă a existat o încălcare a articolului 15 (dreptul persoanei vizate de a fi informată) alineatul (1)(d) din Regulamentul (UE) 2018/1725¹. AEPD a susținut acest lucru, considerând că datele continuă să reprezinte date cu caracter personal dacă au fost transferate doar sub formă pseudonimizată.

Astfel, potrivit AEPD, diferența dintre datele „pseudonimizate” și datele anonime constă în faptul că, în cazul datelor anonime, nu există „informații suplimentare” care să poată fi utilizate pentru a atribui datele unei anumite persoane vizate, în timp ce, în cazul datelor „pseudonimizate”, există asemenea informații suplimentare. După cum se cunoaște deja, în cazul datelor anonime, nu este posibil să se tragă concluzii cu privire la identitatea persoanei în cauză, motiv pentru care acestea nu sunt supuse legislației privind protecția datelor.

2.      Decizia Curții

Curtea a realizat o analiză din mai multe perspective, întărind jurisprudența sa anterioară.

Astfel, Curtea a avut în vedere faptul că AEPD a calificat drept date cu caracter personal toate comentariile formulate de acționarii și de creditorii afectați în cadrul fazei de consultare, fără a analiza însă conținutul informațiilor transmise de SRB către Deloitte. Astfel, Curtea a decis că deși opiniile sau punctele de vedere personale pot constitui date personale, ele nu se prezumă în mod automat ca fiind date cu caracter personal. O asemenea concluzie trebuie să se bazeze “pe examinarea prin care se urmărește să se stabilească dacă, prin conținutul, prin finalitatea sau prin efectul său, un punct de vedere este legat de o anumită persoană”, sens în care Curtea a reamintit Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994).

De asemenea, CJUE a subliniat că, pentru a determina dacă datele pseudonimizate transmise constituie date personale, este esențial să se ia în considerare perspectiva destinatarului de date. Astfel, Curtea a continuat prin a face referire la Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), care a statuat: “o adresă de protocol internet dinamică înregistrată de un furnizor de servicii de comunicații electronice cu ocazia consultării de către o persoană a unui site internet pe care acest furnizor îl pune la dispoziția publicului constituie, pentru furnizorul respectiv, o dată cu caracter personal, în cazul în care acesta dispune de mijloace legale care îi permit să identifice persoana vizată cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestei persoane”.

Așadar, pentru a determina dacă informațiile pseudonimizate transmise unui destinatar de date constituie date personale, este necesar să se ia în considerare perspectiva destinatarului de date: dacă acesta nu are nicio informație suplimentară care să-i permită să reidentifice subiecții datelor și nu are mijloace legale disponibile pentru a accesa astfel de informații, atunci datele transmise pot fi considerate anonimizate și, prin urmare, nu reprezintă date personale.

CJUE a subliniat totodată că era responsabilitatea AEPD să examineze dacă datele transmise către Deloitte constituiau, în raport cu Deloitte însăși, date cu caracter personal. Cu toate acestea, AEPD s‑a limitat să examineze posibilitatea de a reidentifica autorii comentariilor din punctul de vedere al SRB, iar nu al Deloitte. Faptul că transmițătorul de date are mijloacele de a reidentifica subiecții datelor este irelevant și nu înseamnă că datele transmise sunt automat și date personale pentru destinatar.

Prin urmare, întrucât AEPD nu a cercetat dacă Deloitte dispunea de mijloace legale și realizabile în practică care să îi permită accesul la informațiile suplimentare necesare pentru reidentificarea autorilor comentariilor, AEPD nu putea concluziona că informațiile transmise Deloitte constituiau informații privind o „persoană fizică identificabilă” în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.

Analiza detaliată a hotărârii CJUE și a jurisprudenței Breyer relevă importanța evaluării perspectivei destinatarului și a mijloacelor tehnice disponibile în procesul de determinare a calificării datelor ca fiind personale sau anonime. Faptul că transmițătorul datelor deține informațiile și posibilitățile necesare pentru reidentificare este irelevant pentru a stabili dacă datele transferate sunt date cu caracter personal pentru destinatar. Astfel, Curtea a adăugat o dimensiune esențială analizei calificării datelor, luând în considerare nu numai natura în sine a datelor, ci și contextul și mijloacele tehnice de care dispune destinatarul.

3.      Concluzii și dezvoltări

În practică, există diverse situații în care se utilizează date pseudonimizate sub forma unor coduri alfanumerice. De exemplu, în industria medicală, o societate poate deține un set de date sensibile privind starea de sănătate a persoanelor vizate (e.g. numele acestora, afecțiunile medicale și istoricul tratamentelor). Pentru a proteja confidențialitatea acestor informații în timp ce sunt transmise către terțe organizații de cercetare științifică sau medicală, societatea poate înlocui aceste date sensibile  cu coduri alfanumerice unice. Similar, băncile și instituțiile financiare pot utiliza pseudonimizarea alfanumerică atunci când transmit datele privind tranzacțiile clienților către firme de audit externe, în scopul detectării fraudelor.

Așadar, prin raționamentul expus în această nouă jurisprudență, CJUE aduce o contribuție semnificativă la evoluția practicilor de prelucrare a datelor cu caracter personal în Uniunea Europeană. Prin referirea la jurisprudența anterioară în cazul Breyer, se aduce o clarificare esențială: autoritățile de supraveghere sunt obligate să efectueze o evaluare particulară pentru a stabili dacă datele în cauză pot fi considerate sau nu date cu caracter personal. Acest lucru deschide o adevărată cutie a Pandorei, prin faptul că aceleași date pot fi considerate atât date cu caracter personal, cât și date fără caracter personal, în funcție de circumstanțele specifice și de capacitatea reală a fiecărei părți de a identifica persoana vizată. Prin urmare, această abordare aduce cu sine o provocare susceptibilă de a genera rezultate imprevizibile.