1.

Con la sua impugnazione, il Garante europeo della protezione dei dati (GEPD) chiede l’annullamento della sentenza del Tribunale dell’Unione europea del 26 aprile 2023, CRU/GEPD (T‑557/20; in prosieguo: la sentenza impugnata, EU:T:2023:219), con la quale esso ha annullato la decisione rivista del GEDP del 24 novembre 2020 (in prosieguo: la «decisione controversa»), relativa a cinque reclami presentati da azionisti e creditori interessati dalla risoluzione bancaria del Banco Popular Español SA (in prosieguo: il «Banco Popular») che lamentavano di non essere stati informati del trasferimento dei loro dati personali.

2.

La presente causa offre alla Corte l’occasione di precisare, nel contesto dei dati pseudonimizzati, la nozione di «dati personali» e gli obblighi che ne derivano al fine di ottemperare agli obblighi di trattamento corretto e trasparente dei dati personali.

3.

Le principali disposizioni del regolamento (UE) 2018/1725 ( 2 ) rilevanti nell’ambito della presente impugnazione sono le seguenti.

4.

I considerando 16 e 17 di detto regolamento così recitano:

5.

L’articolo 3 di detto regolamento, rubricato «Definizioni», prevede, ai punti 1 e 6, quanto segue:

«Ai fini del presente regolamento si applicano le seguenti definizioni:

(...)

6.

L’articolo 4 del medesimo regolamento, rubricato «Principi applicabili al trattamento di dati personali», dispone, al paragrafo 1, lettera a), e al paragrafo 2, quanto segue:

«1.   I dati personali devono essere:

(...)

2.   Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

7.

L’articolo 15 del regolamento 2018/1725, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», al paragrafo 1, lettera d), prevede quanto segue:

«In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

(...)

8.

Il 7 giugno 2017 il Comitato di risoluzione unico (SRB o CRU) ha adottato un programma di risoluzione per il Banco Popular sulla base del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 ( 3 ), approvato in pari data dalla Commissione europea ( 4 ), il che significa in concreto che gli strumenti di capitale della banca sono stati svalutati o convertiti e ceduti mediante trasferimento di azioni.

9.

Ai sensi dell’articolo 20, paragrafi da 16 a 18, del regolamento n. 806/2014, il SRB (CRU) ha affidato alla Deloitte, in qualità di «persona indipendente» ( 5 ), l’incarico di effettuare una valutazione della differenza di trattamento al fine di accertare se gli azionisti e i creditori, interessati dall’azione di risoluzione, avrebbero ricevuto un trattamento migliore se l’ente fosse stato sottoposto a una procedura ordinaria di insolvenza.

10.

Il 14 giugno 2018 la Deloitte ha presentato al SRB tale valutazione della differenza di trattamento (in prosieguo: la «Valutazione 3»). Con decisione preliminare, il SRB ha dichiarato che, al fine di poter prendere una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori interessati dalla risoluzione del Banco Popular ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento n. 806/2014, esso avviava la procedura relativa al diritto di essere ascoltato, comprendente una prima fase di iscrizione, finalizzata a verificare l’idoneità delle parti che avevano manifestato il proprio interesse, e una seconda fase di consultazione, nell’ambito della quale gli azionisti e i creditori interessati hanno presentato le proprie osservazioni sulla decisione preliminare del SRB, alla quale era allegata la Valutazione 3.

11.

I dati raccolti durante la fase di iscrizione, ossia le prove dell’identità dei partecipanti e della proprietà di strumenti di capitale del Banco Popular svalutati o convertiti e trasferiti, erano accessibili a un numero limitato di membri del personale del SRB incaricati del trattamento di tali dati al fine di determinare l’idoneità dei partecipanti. Questi dati non erano visibili ai membri del personale del SRB incaricati di elaborare le osservazioni ricevute durante la fase di consultazione, durante la quale hanno ricevuto solo osservazioni identificate con riferimento a un codice alfanumerico ( 6 ) assegnato a ciascuna osservazione inviata tramite il modulo.

12.

A seguito dell’aggregazione, del filtraggio automatico e della classificazione delle osservazioni, il SRB ha trasmesso alla Deloitte ( 7 ) le osservazioni relative alla Valutazione 3 così filtrate, classificate e aggregate. Le osservazioni trasmesse alla Deloitte riguardavano esclusivamente quelle ricevute nella fase di consultazione e recavano un codice alfanumerico sviluppato a fini di audit per consentire al SRB di verificare ed eventualmente dimostrare a posteriori che ogni osservazione era stata trattata e debitamente presa in considerazione. Mediante tale codice, il SRB era l’unico a poter collegare le osservazioni ai dati ricevuti durante la fase di iscrizione. La Deloitte non aveva e non ha tuttora accesso alla banca dati contenente i dati raccolti durante la fase di iscrizione.

13.

Gli azionisti e i creditori interessati (in prosieguo: i «reclamanti») hanno inviato al GEPD, ai sensi del regolamento 2018/1725, cinque reclami con la motivazione che l’informativa sulla protezione dei dati personali pubblicata dal SRB non faceva menzione del fatto che i dati raccolti mediante le risposte al modulo sarebbero stati trasmessi alla Deloitte. Essi adducevano la violazione da parte del SRB del suo obbligo di informazione in relazione al trattamento dei dati personali ai sensi di tale regolamento, previsto all’articolo 15, paragrafo 1, lettera d), del regolamento in parola.

14.

Il GEPD ha adottato la decisione iniziale il 24 giugno 2020, annullata in seguito a una richiesta di riesame del SRB e sostituita, in data 24 novembre 2020, dalla decisione controversa, formulata come segue:

15.

Con ricorso depositato presso la cancelleria del Tribunale il 1o settembre 2020 e con memoria di adattamento depositata il 29 gennaio 2021, il SRB ha proposto un ricorso diretto, da un lato, all’annullamento della decisione controversa e, dall’altro, alla dichiarazione di illegittimità della decisione iniziale del GEPD del 24 giugno 2020.

16.

Il SRB ha dedotto, a sostegno del primo capo delle conclusioni ( 8 ), due motivi di ricorso: il primo motivo verteva sulla violazione dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali e, il secondo motivo, sulla violazione del diritto ad una buona amministrazione, sancito dall’articolo 41 della Carta dei diritti fondamentali dell’Unione europea.

17.

Con la sentenza impugnata, il Tribunale ha dichiarato ricevibile tale capo delle conclusioni. Quanto al merito, esso ha accolto il primo motivo di ricorso e ha annullato la decisione controversa, senza esaminare il secondo motivo.

18.

In riferimento al primo motivo di ricorso, il Tribunale ha considerato, in primo luogo, che il GEPD aveva ritenuto che le informazioni trasmesse a Deloitte «concernessero» una persona fisica ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, basandosi su una presunzione, senza esaminarne il contenuto, né la finalità, né l’effetto delle informazioni trasmesse alla Deloitte ( 9 ), in violazione della sentenza Nowak ( 10 ).

19.

In secondo luogo, per quanto riguarda la condizione prevista dall’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione deve essere relativa a una persona fisica «identificata o identificabile», il Tribunale ha ritenuto che, nella fattispecie, incombesse al GEPD esaminare se le osservazioni inviate alla Deloitte costituissero, nei suoi confronti, dati personali. Orbene, secondo la sentenza impugnata, il GEPD si è limitato ad esaminare la possibilità di reidentificare gli autori delle osservazioni dal punto di vista del SRB e non della Deloitte. Pertanto, poiché il GEPD non ha verificato se la Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni, il GEPD non poteva concludere che le informazioni trasmesse alla Deloitte costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725 ( 11 ).

20.

Con atto depositato presso la cancelleria della Corte il 5 luglio 2023, il GEPD ha proposto impugnazione contro la sentenza impugnata. Con ordinanza del presidente della Corte in data 29 novembre 2023 ( 12 ), il Comitato europeo per la protezione dei dati è stato ammesso a intervenire a sostegno delle conclusioni del GEPD e, con decisione del 20 ottobre 2023, la Commissione europea è stata ammessa a intervenire a sostegno del SRB.

21.

La GEPD chiede che la Corte voglia:

22.

Il Comitato europeo per la protezione dei dati, a sostegno del GEPD, chiede che la Corte voglia:

23.

Il SRB chiede che la Corte voglia:

24.

La Commissione europea, a sostegno del SRB, chiede che la Corte voglia:

25.

A sostegno della propria impugnazione, il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, deduce due motivi. Il primo è diretto a contestare l’interpretazione che il Tribunale ha fornito della nozione di «dati personali» ai sensi dell’articolo 3, paragrafi 1 e 6 del regolamento 2018/1725, come interpretato nella giurisprudenza della Corte. Il secondo motivo ha ad oggetto la violazione del principio di responsabilità di cui all’articolo 4, paragrafo 2, e all’articolo 26, paragrafo 1, di tale regolamento.

26.

Il primo motivo è diviso in due parti. La prima parte riguarda la condizione in base alla quale le informazioni controverse devono «concernere» una persona fisica e la seconda riguarda la condizione che tale persona fisica sia «identificata o identificabile».

27.

Il GEPD, sostenuto dal Comitato europeo per la protezione dei dati personali, deduce che il Tribunale ha commesso un errore nella parte in cui ha affermato che il GEPD si era basato su una presunzione nell’interpretazione della condizione secondo la quale le informazioni trasmesse alla Deloitte concernevano una persona fisica, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725. A suo avviso, nelle circostanze del caso di specie, esso non era tenuto ad un esame più approfondito.

28.

Il SRB sostiene, da parte sua, che, come stabilito dal Tribunale, il GEPD si è limitato a indicare che le osservazioni controverse, prodotte dai reclamanti nella fase di consultazione della procedura relativa al diritto di essere ascoltato, riflettevano le loro opinioni o punti di vista mentre avrebbe dovuto esaminare se le informazioni trasmesse alla Deloitte fossero connesse a una particolare persona per il loro contenuto, la loro finalità o il loro effetto, come richiesto dalla sentenza Nowak.

29.

Occorre ricordare che la Corte ha ripetutamente dichiarato che l’uso dell’espressione «qualsiasi informazione» nella definizione della nozione di «dato personale» riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni ( 13 ), tanto oggettive quanto soggettive, sotto forma di pareri o valutazioni, a condizione che esse «riguardino» o «concernano» la persona interessata.

30.

A tal proposito, un’informazione concerne una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia «connessa» a una determinata persona ( 14 ).

31.

Per quanto riguarda le opinioni o le valutazioni, come le osservazioni dei reclamanti di cui al caso di specie, mi sembra opportuno distinguere a seconda che si prenda in esame se dette opinioni o valutazioni «siano collegate» a una o più persone cui fa riferimento il testo dell’opinione o della valutazione, oppure se, come nella fattispecie, si tratti di stabilire se esse siano collegate al loro autore. Nel primo caso, per concludere nel senso che sussiste un’informazione collegata alla persona oggetto della valutazione, occorre analizzare se il contenuto, la finalità e l’effetto della valutazione riguardino tale persona. Nel secondo caso, per contro, al fine di stabilire se la valutazione sia collegata alla persona che l’ha emessa, ritengo che si possa presumere che sia così e che un’opinione o una valutazione sia necessariamente collegata al suo autore.

32.

Analogamente, nella sentenza Nowak, si trattava in sostanza di valutare le informazioni contenute in una prova d’esame. Essa riguardava quindi due persone: il candidato e l’esaminatore. È vero che la Corte ha esaminato il contenuto, la finalità e l’effetto delle risposte del candidato al fine di stabilire che esse lo riguardavano. A fronte di ciò, per quanto riguarda più specificamente le annotazioni dell’esaminatore, che riflettono il suo parere o la sua valutazione ( 15 ), se è vero che la Corte ha esaminato il contenuto, la finalità e l’effetto delle informazioni contenute nella prova d’esame per concludere nel senso che tali valutazioni concernevano il candidato, essa non ha effettuato tale esame al fine di ritenere che esse costituissero informazioni concernenti l’esaminatore che ne era l’autore ( 16 ). A mio avviso, non si può quindi escludere che una presunzione (semplice) si applichi quando si tratta di valutare se un’opinione o una valutazione o, come nel caso di specie, un’osservazione «concerne» il suo autore.

33.

Ne deduco che, in assenza di prove contrarie, le osservazioni in questione nel caso di specie, nella misura in cui provenivano dai reclamanti e mostravano «la loro logica e il loro ragionamento», riflettendo così l’espressione della loro «opinione soggettiva», «concernevano» necessariamente i suddetti reclamanti, a prescindere dalla finalità o dall’effetto delle loro osservazioni.

34.

In ogni caso, pur in mancanza di una siffatta presunzione nel caso di specie, ritengo che le osservazioni di cui trattasi «siano collegate» ai reclamanti in ragione del loro contenuto, della loro finalità e del loro effetto.

35.

A tale riguardo, il SRB sostiene che gli argomenti relativi alla finalità e al contesto delle osservazioni in questione sono inoperanti in quanto non sono stati esaminati nella decisione controversa, irricevibili poiché contengono una nuova allegazione fattuale e, in ogni caso, erronei.

36.

Tale argomentazione non mi convince. Infatti, sia l’esame effettuato dal GEPD nella decisione controversa sia la valutazione del Tribunale si inseriscono in un contesto normativo che è stato preso in considerazione e che menziona chiaramente la finalità e l’effetto delle osservazioni in questione, prodotte nell’ambito del procedimento relativo al diritto di essere ascoltato. Tali argomenti attinenti alla finalità e all’effetto delle osservazioni in parola sono quindi operanti e ricevibili.

37.

Inoltre, per quanto riguarda il merito, dal contesto normativo applicabile risulta che la finalità del procedimento relativo al diritto di essere ascoltato, nell’ambito del quale sono state prodotte le osservazioni in questione, era di consentire agli azionisti e ai creditori interessati di contribuire al procedimento, in particolare al fine di far sì che il SRB disponesse di tutte le informazioni necessarie per adottare una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori lesi dalla risoluzione del Banco Popular, in applicazione del principio secondo cui nessun creditore può subire un trattamento più sfavorevole rispetto al caso di liquidazione nell’ambito di una procedura ordinaria d’insolvenza ( 17 ). In aggiunta, tali osservazioni, una volta prese in considerazione da parte del SRB, erano in grado di produrre effetti sugli interessi e sui diritti dei reclamanti in termini di compensazione finanziaria.

38.

Ne deduco che le osservazioni in questione siano collegate agli interessati nel caso di specie, anche a causa della loro finalità e del loro effetto.

39.

Aggiungerei che le osservazioni di cui trattasi, quali trasmesse alla Deloitte, sono state senz’altro «filtrate, classificate e aggregate», cosicché, come risulta dai fatti acclarati dal Tribunale ( 18 ), le osservazioni individuali non potevano essere distinte nell’ambito di uno stesso tema; tuttavia, si può supporre che, sebbene aggregate, tali osservazioni collettive riflettono, nel loro contenuto, punti di vista personali riguardanti la Valutazione 3. Infatti, esse costituiscono un insieme di opinioni che, in quanto tali, rappresentano informazioni concernenti le persone che le hanno espresse. Il loro filtraggio, la loro classificazione e la loro aggregazione non modificano tale constatazione, poiché in caso contrario sarebbe sufficiente aggregare diversi punti di vista per eludere la condizione di informazione «concernente» una persona fisica. Il fatto di non poter distinguere, all’interno di tale insieme di osservazioni, le varie opinioni individuali è, a mio parere, maggiormente riconducibile alla seconda condizione cumulativa, relativa all’identificabilità degli interessati, esaminata nell’ambito della seconda parte del presente motivo, rispetto a quella che implica che l’osservazione sia «connessa» a una persona fisica.

40.

In tali circostanze, ritengo che la valutazione del Tribunale possa essere considerata viziata da un errore di diritto a tale proposito, in quanto esso ha ritenuto che il GEPD non avesse ottemperato all’esame richiesto dalla sentenza Nowak per concludere nel senso che le osservazioni in questione «concernevano» persone fisiche, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

41.

Qualora la Corte decidesse di respingere questa prima parte e ritenesse che le osservazioni pseudonimizzate di cui trattasi non concernono i loro autori, l’esame della seconda parte del motivo d’impugnazione risulterebbe superfluo, in quanto, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, si tratta di una condizione necessaria ai fini dell’esistenza di dati personali, unitamente a quella relativa all’identificabilità degli interessati, esaminata di seguito.

42.

Il GEPD e il Comitato europeo per la protezione dei dati sostengono, in sostanza, che il Tribunale è incorso in due errori, il primo riguardante la nozione di «pseudonimizzazione» e il secondo riguardante l’interpretazione della sentenza Breyer ( 19 ), cosa che è contestata dal SRB e dalla Commissione.

43.

La presente censura esprime l’esistenza di due approcci molto diversi sulla portata dell’ambito di applicazione delle norme relative alla protezione dei dati. I dati pseudonimizzati devono esservi inclusi automaticamente per il solo motivo che gli interessati rimangono identificabili, indipendentemente dall’accessibilità ai dati identificativi aggiuntivi, o bisogna ritenere che, a seguito della pseudonimizzazione, i dati rivestano un carattere personale solo per coloro che possono ragionevolmente identificare gli interessati?

44.

Il GEPD e il Comitato europeo per la protezione dei dati sostengono, in sostanza, che i dati pseudonimizzati rimangono dati personali per il semplice fatto che gli interessati restano identificabili in quanto le informazioni che consentono di identificarli continuano ad esistere. L’approccio del Tribunale sarebbe errato in quanto consentirebbe di ritenere i dati pseudonimizzati quali dati anonimizzati rispetto al destinatario, il che presenterebbe un rischio ai fini della protezione degli interessati e comporterebbe confusione tra la pseudonimizzazione e l’anonimizzazione. Un simile approccio, contrario alla lettera e all’obiettivo del regolamento 2018/1725, consentirebbe al titolare del trattamento di sottrarre indebitamente i dati personali dall’ambito di applicazione del diritto dell’Unione in materia di protezione di siffatti dati.

45.

Il SRB e la Commissione sostengono, dal canto loro, che i dati pseudonimizzati rimangono dati personali per il titolare del trattamento che ha proceduto alla loro pseudonimizzazione ma che, con riferimento ai destinatari, occorre esaminare l’identificabilità degli interessati. Inoltre, sebbene l’articolo 3, punto 1, del regolamento 2018/1725 non precisi chi debba essere in grado di identificare l’interessato, alla luce del considerando 16 e nel contesto dell’articolo 15, paragrafo 1, lettera d), di tale regolamento, qui in questione, ciò che rileva sarebbe il punto di vista del destinatario. A loro avviso, ove tale destinatario non riceva dati personali, gli interessati non hanno interesse ad essere informati del trasferimento dei dati in quanto i loro diritti non risultano coinvolti.

46.

Anzitutto, vale la pena ricordare che la pseudonimizzazione è un trattamento applicato ai dati personali, conformemente al considerando 17 del regolamento 2018/1725, per «ridurre i rischi» di mettere in relazione un insieme di dati con l’identità di un interessato e «aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati».

47.

L’articolo 3, punto 6, del regolamento 2018/1725 definisce la pseudonimizzazione come «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, [le quali sono] conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile» ( 20 ).

48.

La pseudonimizzazione non è dunque un elemento rientrante nella definizione dei dati personali, stabilita all’articolo 3, punto 1, del regolamento 2018/1725 relativamente alla nozione di «identificabilità» dell’interessato. D’altronde, come indicato dalla Commissione nella sua memoria di intervento, tale regolamento definisce la nozione di «pseudonimizzazione», facendo così riferimento al processo di attuazione di una misura di salvaguardia o di una misura tecnica e organizzativa, ma non la nozione di «dati pseudonimizzati».

49.

Tale interpretazione è confermata dalla lettura dell’articolo 3, punto 6, in combinato disposto con il considerando 16 di detto regolamento, la cui prima frase rammenta che «[è] auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile».

50.

Il considerando 16 del regolamento 2018/1725 merita inoltre un’analisi più dettagliata ( 21 ). Infatti, esso contiene una seconda frase che enuncia che «[i] dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile». Seguono la terza e la quarta frase le quali precisano il contenuto di tale requisito di identificabilità.

51.

Dal testo di tali disposizioni deduco che la pseudonimizzazione lascia aperta la possibilità che gli interessati non siano identificabili, in mancanza della quale la formulazione del suddetto considerando 16 non avrebbe ragion d’essere. Aggiungo che le ultime frasi di detto considerando riguardanti l’anonimizzazione confermano tale interpretazione: esse escludono i dati anonimizzati (o resi anonimi) dall’ambito di applicazione del regolamento 2018/1725 ( 22 ), ma escludono i dati pseudonimizzati solo nella misura in cui gli interessati non siano identificabili. Nel caso in cui tali persone non siano identificabili, esse sono quindi giuridicamente considerate sufficientemente protette dalla pseudonimizzazione, nonostante il fatto che i dati identificativi aggiuntivi non siano stati completamente cancellati.

52.

In altri termini, non si tratta di sottrarre automaticamente i dati pseudonimizzati dall’ambito di applicazione di tale regolamento ( 23 ). Tuttavia, alla luce del considerando 16 di quest’ultimo, non è possibile escludere che siffatti dati possano, a determinate condizioni, sottrarsi alla nozione di «dati personali».

53.

Contrariamente a quanto sostenuto dal GEPD, un siffatto approccio non sembra contrario all’obiettivo di garantire un livello elevato di protezione dei dati personali, in particolare alla luce dei requisiti di identificabilità posti dalle disposizioni applicabili, da un lato, e alla luce della loro interpretazione da parte della giurisprudenza, dall’altro.

54.

In primo luogo, il considerando 16 del regolamento 2018/1725 fa riferimento all’identificabilità da parte del titolare del trattamento «o [di] un terzo»: tale concezione ampia, sebbene non illimitata ( 24 ), si inserisce all’interno di un approccio protettivo dei dati personali.

55.

Tale considerando 16 prevede altresì che occorre tenere conto dei mezzi di cui ci si può ragionevolmente avvalere per identificare, direttamente o indirettamente, una persona fisica prendendo in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici, il che costituisce una definizione ampia e protettiva dei dati personali.

56.

In secondo luogo, l’interpretazione giurisprudenziale di tale nozione di «identificabilità», incentrata sul rischio di reidentificazione degli interessati, consente anch’essa un’applicazione ampia del concetto di «dati personali». In tal senso, la Corte ha sistematicamente qualificato quali «dati personali» i dati che, sebbene separati dai dati identificativi nella disponibilità di terzi, potevano, nel contesto in questione, comportare il rischio che gli interessati fossero reidentificati ( 25 ).

57.

Pertanto, soltanto qualora il rischio di identificazione sia inesistente o insignificante ( 26 ) un dato può giuridicamente sottrarsi alla qualificazione di «dato personale».

58.

Gli argomenti del GEPD e del Comitato europeo per la protezione dei dati riguardanti i pericoli derivanti da un’interpretazione eccessivamente rigorosa dei dati personali non mi convincono. Infatti, la circostanza che le norme derivanti dal regolamento 2018/1725 non si applichino ai dati concernenti persone non identificabili non impedirebbe, se del caso, il sorgere della responsabilità giuridica in capo a soggetti che siano all’origine di una condotta sanzionabile, ad esempio in caso di divulgazione di dati con conseguente danno. Per contro, ritengo sproporzionato imporre obblighi derivanti dal regolamento 2018/1725 ( 27 ) a un soggetto che non potrebbe ragionevolmente identificare gli interessati, obblighi che tale soggetto non potrebbe, per definizione, osservare o che gli imporrebbero proprio di tentare di identificare gli interessati.

59.

Alla luce di tali considerazioni, ove si analizzi la controversia con riguardo ai dati trasmessi alla Deloitte, ritengo che, contrariamente a quanto sostiene il GEPD, occorresse stabilire se il trattamento di pseudonimizzazione dei dati in questione fosse sufficientemente solido per concludere che i reclamanti, autori delle informazioni trasmesse alla Deloitte, non erano ragionevolmente identificabili. In altri termini, in tale contesto, era possibile ritenere che la Deloitte trattasse dati personali se disponeva di mezzi ragionevoli per identificare detti reclamanti.

60.

La prima censura sollevata dal GEPD dovrebbe dunque, a mio avviso, essere respinta.

61.

A parere del GEPD, sostenuto dal Comitato europeo per la protezione dei dati, i dati pseudonimizzati in questione sono dati personali per il SRB e, pertanto, l’obbligo di fornire informazioni agli interessati riguardo al destinatario gravava sul SRB. Esso sostiene, in sostanza, che il Tribunale ha erroneamente interpretato la sentenza Breyer che riguardava una diversa situazione di fatto.

62.

A parere del SRB, sostenuto dalla Commissione, per contro, il confronto con la sentenza Breyer sarebbe pertinente e condurrebbe ad affermare che l’obbligo di informazione si applica soltanto qualora i dati trasmessi siano dati personali dal punto di vista del destinatario, in questo caso la Deloitte, il che, come correttamente stabilito dal Tribunale, non sarebbe stato dimostrato nel caso di specie.

63.

Ritengo che l’obbligo di informazione, previsto dall’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, e il parallelismo con la sentenza Breyer conducano, nella fattispecie, a una soluzione diversa rispetto a quella del Tribunale, che illustrerò nell’ambito dell’analisi della presente censura.

64.

L’articolo 4, paragrafo 1, lettera a), del regolamento 2018/1725, impone il requisito del trattamento lecito, corretto e trasparente dei dati personali nei confronti dell’interessato.

65.

In particolare, l’articolo 15, paragrafo 1, lettera d), di tale regolamento prevede che, in caso di raccolta presso l’interessato dei dati che lo riguardano, il titolare del trattamento informa gli interessati, «nel momento in cui i dati personali sono ottenuti», degli eventuali destinatari di detti dati. Sembra quindi che tale informazione debba essere fornita dal responsabile del trattamento immediatamente, ossia al momento della raccolta dei dati ( 28 )

66.

L’importanza del rispetto di un siffatto obbligo di informazione è altresì confermata dal considerando 35 del regolamento 2018/1725, il quale enuncia che il principio del trattamento corretto e trasparente implica che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, sottolineando che il titolare del trattamento dovrebbe fornire eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati ( 29 ).

67.

Un siffatto obbligo di informazione è tanto più importante in quanto la validità del consenso prestato dall’interessato dipende, tra l’altro, dalla questione se tale soggetto abbia previamente ottenuto le informazioni riguardanti tutte le circostanze relative al trattamento dei dati in questione alle quali aveva diritto, in forza degli articoli 14 e 15 del regolamento 2018/1725, e che gli consentono di dare un consenso con piena cognizione di causa ( 30 ).

68.

Aggiungo che la sola eccezione a tale obbligo di informazione, prevista dall’articolo 15, paragrafo 4, del regolamento 2018/1725, riguarda l’ipotesi in cui l’interessato dispone già delle informazioni in questione.

69.

Ne deduco che, nel caso di specie, tale obbligo di informazione si inserisce nell’ambito del rapporto giuridico esistente tra gli interessati, qui i reclamanti, da un lato, e il SRB in quanto titolare del trattamento, dall’altro, e non nell’ambito del rapporto tra il SRB e il destinatario, ossia la Deloitte. L’obbligo di informazione ha pertanto ad oggetto i dati quali detenuti dal SRB prima della loro trasmissione alla Deloitte. Orbene, è pacifico che si tratti di dati personali, in quanto il SRB detiene le osservazioni e la base per identificare i soggetti che le hanno emesse.

70.

Un siffatto approccio del «punto di vista pertinente» ( 31 ) mi conduce così a una soluzione diversa da quella del Tribunale, pur effettuando un confronto con la sentenza Breyer.

71.

Ricordo che, nella controversia all’origine della questione pregiudiziale sollevata in tale sentenza, il sig. Breyer intendeva impedire al titolare del trattamento (la Repubblica federale di Germania) di conservare il suo indirizzo IP dinamico. Le informazioni aggiuntive che consentivano la sua identificazione attraverso l’indirizzo IP collegato al suo computer erano nella disponibilità, non già del titolare del trattamento, ma del fornitore di accesso a Internet. Si trattava pertanto di stabilire se l’indirizzo IP dinamico detenuto dal titolare del trattamento potesse essere qualificato come «dato personale» e, quindi, nell’ambito del rapporto giuridico tra il sig. Breyer e detto titolare del trattamento, far scattare gli obblighi di conservazione a carico di quest’ultimo, sebbene gli elementi di identificazione del sig. Breyer fossero nella disponibilità di un soggetto diverso dal titolare del trattamento. In definitiva, si è stabilito che il titolare del trattamento, benché non detenesse tali informazioni aggiuntive di identificazione, poteva ragionevolmente avervi accesso e, di conseguenza, l’indirizzo IP dinamico è stato qualificato come «dato personale».

72.

Nella fattispecie, come già osservato ( 32 ), l’obbligo di informazione si inserisce nell’ambito del rapporto tra gli interessati (i reclamanti) e il titolare del trattamento (il SRB): è nel momento in cui vengono raccolti i dati in questione da parte del SRB e, per quanto riguarda in particolare l’informazione relativa al destinatario, al più tardi allorché esso è noto, che sorge l’obbligo di informazione. Orbene, quando tale momento si concretizza, i dati di cui trattasi sono dati personali in possesso del SRB, che detiene i dati identificativi aggiuntivi. In considerazione dell’obbligo di informazione in questione e del momento in cui esso si concretizza, tali dati costituiscono quindi dati personali, indipendentemente dalla loro identificabilità da parte della Deloitte, che non è coinvolta né nel rapporto giuridico tra i reclamanti e il SRB, il solo ad essere rilevante, né in tale obbligo di informazione incombente al SRB.

73.

È sotto questo profilo che ritengo che, nel caso in esame, il parallelismo con la sentenza Breyer debba essere relativizzato.

74.

Ne consegue che l’obbligo di fornire informazioni incombeva al SRB in qualità di titolare del trattamento dei dati e in virtù del suo rapporto con i reclamanti, presso i quali aveva raccolto i dati in questione, e ciò a prescindere dalla natura personale o non personale dei dati trasferiti alla Deloitte.

75.

L’argomento del SRB, reiterato nel corso dell’udienza, secondo cui il punto di vista del destinatario sarebbe pertinente in quanto è importante verificare se si tratti di un «destinatario di dati personali» o meno, deve, in tale ottica, essere respinto.

76.

A tal proposito, è vero che il testo dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 che richiama i «destinatari (...) dei dati personali» può ingenerare confusione. Tuttavia, l’effetto utile di tale disposizione esige che l’informazione sia trasmessa agli interessati il più presto possibile e prima che i dati siano trasferiti ( 33 ). Nel caso di specie, pur se il SRB non aveva intenzione, al momento della raccolta iniziale delle osservazioni, di chiedere il parere della Deloitte al fine di stabilire se tali osservazioni modificassero la Valutazione 3, dalla decisione controversa dinanzi al Tribunale emerge che la Deloitte ha assistito il SRB nell’ambito della procedura relativa al diritto di essere ascoltato ( 34 ). Inoltre, è possibile ritenere che l’intenzione del SRB di comunicare i dati pseudonimizzati alla Deloitte sia sorta al più tardi allorché è stato deciso di trattare le osservazioni in questione al fine specifico di pseudonimizzarle ( 35 ), altrimenti la pseudonimizzazione non avrebbe alcuna giustificazione.

77.

Sono pertanto del parere che il controllo dell’osservanza dell’obbligo di informazione all’atto del trasferimento dei dati dal SRB alla Deloitte, adottando il suo punto di vista di destinatario al fine di classificare i dati in questione come personali o meno, comporti lo slittamento temporale del suddetto controllo. Tale controllo sarebbe quindi erroneamente differito in quanto sarebbe effettuato su dati già trasferiti al destinatario, mentre la finalità dell’obbligo di informazione riguarda il rapporto tra il SRB e i reclamanti e mira a consentire a questi ultimi di prestare il proprio consenso informato prima del trasferimento.

78.

Inoltre, per quanto riguarda il consenso dei reclamanti, la loro partecipazione alla procedura relativa al diritto di essere ascoltato può senz’altro essere interpretata quale consenso implicito alla condivisione dei dati personali con il titolare del trattamento affinché le loro osservazioni siano prese in considerazione. Tuttavia, a mio avviso, ciò non è sufficiente a costituire un consenso informato alla pseudonimizzazione dei dati e al loro trasferimento alla Deloitte in mancanza di una previa informazione a tal riguardo da parte del SRB ( 36 ).

79.

Di conseguenza, a mio avviso, l’obbligo di informazione incombente al SRB si applicava nella fattispecie a monte del trasferimento dei dati di cui trattasi e a prescindere dal fatto che essi fossero o meno dati personali per la Deloitte.

80.

Pertanto, il fatto che la pseudonimizzazione sia o meno sufficientemente solida ed efficace, affinché i dati nella disponibilità della Deloitte possano essere considerati o meno dati personali, non sembra in ultima istanza operante in relazione all’obbligo di informazione imposto al SRB.

81.

Ne consegue che l’obbligo di informazione incombente al SRB, in qualità di titolare del trattamento dei dati, nel caso di specie doveva essere osservato e, per tale motivo, la sentenza impugnata deve essere annullata per errore di diritto.

82.

Poiché il punto di vista del destinatario dei dati in questione non è pertinente sotto il profilo dell’obbligo di informazione di cui all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, gli argomenti delle parti relativi alla possibilità per la Deloitte di identificare gli interessati, con mezzi leciti e concretamente realizzabili, si rivelano inoperanti e non è quindi necessario esaminarli.

83.

Qualora la Corte non fosse di tale avviso, rilevo in subordine che il GEPD contesta, a tal riguardo, la constatazione del Tribunale secondo cui la Deloitte non aveva accesso ai dati identificativi. Esso si basa in particolare sul rapporto contrattuale di subappalto che esisterebbe tra il SRB e la Deloitte. Il SRB e la Commissione sostengono che, in tal modo, il GEPD solleva nuove allegazioni fattuali che sono irricevibili in fase di impugnazione. Condivido tale parere. Infatti, l’esistenza di un rapporto contrattuale tra il SRB e la Deloitte, che proverebbe la possibilità per la Deloitte di chiedere al SRB di identificare i reclamanti, rappresenta un argomento nuovo, in ordine al quale il Tribunale non si è pronunciato. Pertanto, tale argomento dovrà, se del caso, essere respinto in quanto irricevibile ai sensi dell’articolo 170, paragrafo 1, seconda frase, del regolamento di procedura della Corte, ai sensi del quale l’impugnazione non può modificare l’oggetto del giudizio svoltosi dinanzi al Tribunale ( 37 ).

84.

Con il suo secondo motivo, vertente sulla violazione del principio di responsabilità di cui all’articolo 4, paragrafo 2, e all’articolo 26, paragrafo 1, del regolamento 2018/1725, il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, deduce che il Tribunale ha erroneamente ritenuto che esso fosse tenuto a dimostrare che le informazioni trasmesse alla Deloitte costituivano dati personali, in violazione del principio di responsabilità del SRB.

85.

Alla luce di quanto precede e in particolare dei paragrafi 81 e 82 di cui sopra, ritengo che non occorra esaminare il secondo motivo.

86.

È quindi solo a titolo subordinato che procederò ad un breve excursus.

87.

In ordine alla ricevibilità, contestata dal SRB, del presente motivo non sollevato dinanzi al Tribunale, rammento che un ricorrente è legittimato a proporre un’impugnazione in cui fa valere motivi derivanti dalla stessa sentenza impugnata e diretti a contestarne, in diritto, la fondatezza ( 38 ). Mi sembra che si tratti del caso del presente motivo, che è quindi ricevibile.

88.

Per quanto riguarda il merito, occorre ricordare che il Tribunale ha dichiarato che, poiché il GEPD non ha verificato se la Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle ulteriori informazioni aggiuntive necessarie per la reidentificazione dei reclamanti, il GEPD non poteva concludere nel senso che le informazioni trasmesse alla Deloitte costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

89.

Il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, sostiene in sostanza che il Tribunale avrebbe dovuto verificare se il SRB, titolare del trattamento, avesse dimostrato di aver anonimizzato i dati controversi nei confronti della Deloitte.

90.

Il SRB contesta tale argomento, deducendo che il principio di responsabilità si applica solo in presenza di dati personali e che, nel caso di specie, i dati pervenuti alla Deloitte erano stati anonimizzati.

91.

Dal canto proprio, la Commissione sostiene, in primo luogo, che il GEPD sopporta il ragionevole onere di dimostrare, sulla base degli elementi di prova disponibili, l’esistenza di dati personali. In secondo luogo, spetterebbe al titolare del trattamento interessato confutare tale conclusione presentando ulteriori elementi.

92.

Ricordo che, ai sensi dell’articolo 4, paragrafo 1, lettera a), del regolamento 2018/1725, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. L’articolo 4, paragrafo 2, di tale regolamento prevede che «[i]l titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo». Risulta così dal principio di responsabilizzazione di cui all’articolo 4, paragrafo 2, precisato all’articolo 26, paragrafo 1, del regolamento in parola, che il titolare del trattamento deve essere in grado di comprovare di aver rispettato i principi applicabili al trattamento dei dati personali di cui al paragrafo 1 dell’articolo 4 ( 39 ).

93.

Qualora il titolare del trattamento produca prove sufficienti in tal senso, si può ritenere che abbia adempiuto l’onere della prova ad esso incombente ( 40 ).

94.

Nel caso di specie, mi pare che il SRB abbia addotto diversi elementi di fatto (segnatamente i processi di filtraggio, classificazione e aggregazione delle osservazioni, descritti nella decisione controversa e nella sentenza impugnata) al fine di dimostrare, in conformità al principio di responsabilità ad esso incombente, che l’identificazione degli interessati da parte della Deloitte era impossibile.

95.

Dinanzi al Tribunale, il GEPD ha assunto a tal riguardo una posizione di principio, ponendosi dal punto di vista del SRB e non della Deloitte e, pertanto, qualificando le osservazioni trasmesse alla Deloitte come «dati personali».

96.

Ove si ammetta, ai fini dell’esame, svolto in subordine, alternativo del presente motivo, che il punto di vista della Deloitte era pertinente nella fattispecie ( 41 ), si potrebbe ritenere che, come ha dichiarato il Tribunale, incombesse al GEPD dimostrare ( 42 ) per quale ragione, giuridica o tecnica, il processo di pseudonimizzazione attuato dal SRB nel caso di specie non era sufficiente e doveva condurre a ritenere che la Deloitte trattasse dati personali.

97.

Riterrei pertanto che, se del caso, occorrerebbe confermare la sentenza impugnata per quanto riguarda tale secondo motivo d’impugnazione.

98.

In virtù dell’articolo 61, primo comma, dello Statuto della Corte di giustizia dell’Unione europea, quando l’impugnazione è accolta, la Corte di giustizia annulla la decisione del Tribunale. In tal caso, essa può statuire definitivamente sulla controversia qualora lo stato degli atti lo consenta, oppure rinviare la causa al Tribunale affinché sia decisa da quest’ultimo.

99.

Il primo motivo di ricorso proposto dal SRB avverso la decisione controversa dinanzi al Tribunale riguarda la violazione dell’articolo 3, punto 1, del regolamento 2018/1725. Dai paragrafi da 63 a 82 delle presenti conclusioni si evince che, poiché il SRB non ha rispettato l’obbligo di informazione ad esso incombente in forza dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, la decisione controversa deve pertanto, a mio avviso, essere confermata.

100.

Per contro, ritengo che lo stato degli atti non consenta di statuire sul secondo motivo di ricorso, vertente sulla violazione da parte del GEPD del diritto ad una buona amministrazione nell’ambito del procedimento che ha portato all’adozione della decisione controversa.

101.

Infatti, il SRB sostiene in particolare che, nell’ambito della procedura amministrativa che ha preceduto l’adozione della decisione controversa, il GEPD ha violato il suo diritto di accesso al fascicolo, il suo diritto di essere ascoltato, nonché il principio della parità delle armi, negandogli l’accesso al fascicolo, da un lato, e non comunicandogli le osservazioni dei reclamanti o il loro contenuto, dall’altro.

102.

Orbene, il Tribunale ha ritenuto che, essendo stato accolto il primo motivo di ricorso, non occorresse prendere in esame il secondo motivo sollevato dinanzi ad esso. Pertanto, lo stato degli atti non consente di statuire su tale motivo, il quale richiede, tra l’altro, valutazioni di fatto. Ritengo quindi che occorra rinviare la causa al Tribunale affinché si pronunci a tal proposito, riservando le spese.

103.

Alla luce di quanto precede suggerisco alla Corte di: