La sentenza della Corte di Giustizia dell’Unione Europea del 4 settembre 2025 (causa C-413/23 P) affronta una questione cruciale in materia di standard avanzati per la protezione dei dati personali e cioè le condizioni affinché i dati oggetto di pseudonimizzazione debbano essere considerati dati personali oggetto di tutela di cui al GDPR e del Regolamento UE 2018/1725.
In particolare la Prima Sezione del Tribunale dell’ Unione, con precipuo riferimento al trasferimento dei dati verso i data processor :
- specifica il criterio per distinguere i dati pseudonimizzati individuandolo nel rischio di re-identificazione ed escludendo che la pseudonimizzazione possa equivalere all’ anonimizzazione
- conseguentemente, ribadisce, l’obbligo per i Titolari del trattamento di informare gli interessati sulla trasmissione dei dati pseudonimizzati a terzi e le .
Concetto normativo di dati pseudonimizzati
I dati c.d. “pseudonimizzati” non sono menzionati nella definizione legale della nozione di «dati personali», di cui all’articolo 3, punto 1, del regolamento 2018/1725, ma le loro caratteristiche risultano dall’articolo 3, punto 6, di tale regolamento.
Quest’ultima disposizione definisce la nozione di «pseudonimizzazione» come «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
La pseudonimizzazione è quindi una procedura tecnica di sicurezza e protezione dei dati che, quindi, non elimina la possibilità di identificare il soggetto, ma solo la riduce e che perciò non garantisce l’anonimizzazione del dato, condizione che determina l’impossibilità assoluta di identificazione.
Troviamo riferimenti alla procedura di p. nelle seguenti norme:
- l’articolo 4(5) del GDPR (Regolamento UE 2016/679), che definisce la pseudonimizzazione come “il trattamento dei dati personali in modo tale che non possano più essere attribuiti a una persona specifica senza l’uso di informazioni aggiuntive” mantenute separatamente.
- Il considerando 26 e 29 del GDPR che enfatizzano che la pseudonimizzazione riduce i rischi legati al trattamento dei dati personali ma non elimina la loro natura di dato personale.
- le linee guida specifiche (2024) adottate dall’EDPB (Comitato Europeo per la Protezione dei Dati) per l’applicazione della pseudonimizzazione, sottolineandone il ruolo nel mitigare i rischi e sostenere basi giuridiche come l’interesse legittimo (art. 6 GDPR).
- Il Regolamento UE 2018/1725, che regola il trattamento dei dati da parte delle istituzioni europee, incorpora principi analoghi riguardo la pseudonimizzazione del soggetto interessato.
Contributi rilevanti sono offerti dai report tecnici dell’ENISA e precisamente “Introduction to the hash function as a personal data pseudonymisation technique” del 2019 disponibile anche nella traduzione italiana , l’analisi del 2018 “Recommendations on shaping technology according to GDPR provisions An overview on data pseudonymisation, il “Data Pseudonymisation: Advanced Techniques and Use Cases” del 2021, “ed infine il “Deploying Pseudonymisation Techniques” del 2022 [1].
È solo nel corso di questo anno che, in occasione della riunione plenaria del gennaio 2025, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato orientamenti ufficiali sulla pseudonimizzazione [2] in consultazione pubblica, all’esito della quale sono state pubblicate le Linee Guida Linee Guida 1/2025 in tema di pseudonimizzazione (Gennaio 2025) che tuttavia non approfondiscono le specificità di quelle tecniche che rendono impossibili la individuazione degli interessati atteso che i dati anonimizzati escono dall’ambito di applicazione del Regolamento GDPR.
Parimenti, per il dato anonimizzato – concetto comprensibilmente derivato – il Regolamento Privacy non offre una nozione autonoma ma fornisce elementi per una qualificazione a contrario al Considerando 26 del GDPR nel passaggio in cui si stabilisce che “per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” lasciando intendere
Ancora sul dato ormai anonimo è opportuno ricordare la Opinion 05/2014 on Anonymisation Techniques del Working Party art.29 che, al par. 2.1.1, afferma che “… l’anonimizzazione è una tecnica che si applica ai dati personali al fine di ottenere una de-identificazione irreversibile”.
Un buona definizione di “anonimizzazione” e’ quella tecnica resa dallo standard in materia di Health Informatics ISO/TS 25237:20 secondo cui “L’anonimizzazione è un processo mediante il quale i dati personali vengono modificati in modo irreversibile così che il titolare del trattamento, da solo o in collaborazione con altre parti, non possa più identificare direttamente o indirettamente l’interessato”.
La sentenza della Corte di Giustizia dell’Unione Europea (Causa C-413/23 P, 4 settembre 2025) si inserisce quindi in un solco normativo e definitoria che già aveva affrontato il tema della distinzione tra dati oggetto di pseudonimizzazione e dati definibili “anonimizzati” ma che non era stato oggetto di un consolidato e univoco processo ermeneutico ribadendo, come era avvenuto in un precedente del 2023 [3] (ma senza condanna) l’adozione di un’interpretazione applicativa più garantista, anche rispetto alle posizioni dello stesso Garante europeo della protezione dei dati (GEPD)
Anonimizzazione e Big Data
Le procedure di anonimizzazione sono misure cruciali nel contesto dei Big Data perché consentono ai Responsabili del Trattamento (cd. Data Processor) di trattare e analizzare grandi volumi di dati personali mantenendo un congruo livello di protezione della privacy degli interessati neutralizzando la possibilità di individuazione.
Se infatti la pseudonimizzazione permette di sostituire gli identificativi diretti con codici o altri identificatori che richiedono informazioni aggiuntive per risalire all’identità dell’individuo, riducendo così i rischi di esposizione in caso di violazione, per rendere “anonimo” un dato sono necessarie tecniche più elaborate di alterazione dei dati per impedire del tutto il tracciamento di individui specifici che mantengano l’integrità del dataset e possono che includere operazioni quali:
- la generalizzazione (es. raggruppamento dei dati in intervalli o categorie);
- la soppressione (es. rimozione delle sole informazioni sensibili /dati particolari);
- la randomizzazione (es. introduzione di un elemento di casualità nei dati per confonderne la tracciabilità.)
Nel mondo dei Big Data, dove la raccolta e l’incrocio di dati da molteplici fonti possono favorire l’identificazione indiretta, l’anonimizzazione consente di mantenere l’utilità analitica dei dati (ad esempio per scopi statistici, di ricerca o di innovazione tecnologica come l’intelligenza artificiale), limitando al contempo l’impatto sulla privacy.
Questa tecnica è fondamentale per bilanciare l’esigenza di sfruttare i dati ai fini economici o scientifici con il rispetto dei diritti fondamentali delle persone.
Non è un caso che gli Stati Uniti, tradizionalmente favorevoli al libero flusso di dati e leader nella gestione dei data center, incoraggiano avanzate procedure di gestione del rischio specifiche in materia di anonimizzazione.
Al riguardo sono ben note agli esperti di cybersicurezza – nella versione 2.0 NIST CSF, il framework di cybersecurity volontario e basato su best practice sviluppato dal National Institute of Standards and Technology (NIST) per aiutare le organizzazioni di ogni dimensione e settore pubblico e privato- specifiche forme di analisi del rischio di re-identificazione. (cd. R.I.A. Risk Identification and Analysis) utilizzabili prima dell’anonimizzazione per determinare una strategia di anonimizzazione efficace o dopo l’anonimizzazione per monitorare eventuali modifiche o valori anomali.
La Sentenza Deloitte
Esame della decisione controversa e analisi della pronuncia
La questione sottoposta alla Corte è relativa al trattamento dei dati degli azionisti e creditori del Banco Popular Español, SA, eseguito nel programma di risoluzione del detto Istituto di credito operato dal Comitato di Risoluzione Unico (SRB) e, più precisamente, di dati personali estrapolati da documenti documento di identità e certificazioni comprovanti la proprietà di strumenti di capitale acquisiti dal Titolare trasmessi al Data Processor società di consulenza Deloitte, nel procedimento relativo al diritto degli interessati di essere ascoltati.
Oggetto dell’impugnazione è in particolare la natura dei dati pseudonimizzati trasmessi dal Titolare dei dati Single Resolution Board (SRB) e cioè se gli stessi, per come minimizzati attraverso pseudonimizzazione, potessero essere considerati dati personali.
La Corte ha valutato che, poiché il Titolare dei dati ha conservato le informazioni per il collegamento, i dati sarebbero in ogni caso rimasti identificabili e quindi personali, anche se il data processor (Deloitte) non ha avuto materiale accesso diretto ai dati identificativi.
Di conseguenza il Board (Titolare) e la Società di Consulenza dei dati (Responsabile) sarebbero soggetti agli obblighi di protezione e alle responsabilità imposte dal GDPR e dalla disciplina europea in materia di data processing.
A fondamento della propria motivazione la Corte ha indicato la quinta e dalla sesta frase del considerando 16 del regolamento 2018/1725, in base alle quali non rientrano nella definizione della nozione di «dati personali» le «informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile», né i «dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (citando per analogia, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 57).
La Corte, ribaltando l’interpretazione meno restrittiva del Garante Europeo, ha quindi stabilito che i dati pseudonimizzati, in presenza di un possibile rischio di re- individuazione- devono essere considerati dati personali se esiste la possibile gli interessati con modalità ragionevoli.
La pseudonimizzazione, dunque, non fa venir meno gli obblighi normativi di protezione e trasparenza nonché di tutti gli adempimenti relativi alle misure di sicurezza e al rischio informatico.
La decisione impone una valutazione della natura dei dati nel contesto concreto del trattamento, enfatizzando la responsabilità dei titolari e responsabili del trattamento di garantire adeguata trasparenza e protezione, senza poter fare affidamento sulla sola pseudonimizzazione per escludere l’applicabilità del GDPR.
Precedenti rilevanti
Un precedente importante è rappresentato dalla sentenza di Vilniaus (Caso C-413/23 del Tribunale UE) In quella sentenza si era fatto grande affidamento sulla definizione normativa di pseudonimizzazione e sull’esistenza o meno di informazioni aggiuntive che collegano i dati all’identità di una persona fisica, con un focus sulla capacità effettiva del destinatario di identificare l’interessato quali il possesso di informazioni aggiuntive che, sebbene soggette a rigide misure di sicurezza e tenute separatamente, potessero comunque determinare circostanze idonee alla l’identificabilità, lasciando i dati pseudonimizzati in ogni caso dati personali
La sentenza Deloitte della CGUE del 2025, sulla linea della detta pronuncia, ha appunto ribaltato l’interpretazione del GEPD (Garante Europeo Protezione dei Dati) ponendo nuovamente l’enfasi sul contesto concreto e sulle circostanze del trattamento, con un’analisi più puntuale delle modalità di accesso alle informazioni identificative.
La Corte ha ritenuto che la qualificazione di dati pseudonimizzati o personali non possa limitarsi alla presenza o meno di identificatori diretti da parte del destinatario, ma debba considerare se, in concreto, esistano strumenti o condizioni che rendano possibile, anche indirettamente, l’identificazione della persona, prevedendo la condanna alle spese
Inoltre, la Corte ha sottolineato che la pseudonimizzazione non modifica la natura del dato e non esclude in sé l’applicazione del GDPR; essa rappresenta invece una misura di mitigazione del rischio. La nozione di dato personale deve essere valutata in modo dinamico alla luce delle circostanze specifiche, non in modo assoluto.
Ciò rappresenta un distacco rispetto alla precedente impostazione che sembrava incentrarsi in via principale sull’assenza di strumenti di identificazione nel soggetto ricevente.
Osservazioni conclusive
In sintesi è possibile ritenere che la cd. sentenza “Deloitte” (con riferimento alla Società di consulenza Responsabile esterno) ribadendo la riconduzione di tutti i dati sottoposti a avanzate tecniche di pseudonimizzazione – e tuttavia non idonee ad una forma di anonimizzazione definitiva- alla categoria dei dati personali e quindi all’ambio di applicabilità della disciplina in materia di protezione e trasparenza funge da ammonimento dell’Unione ai Titolari in tema di trasmissione di banche dati in ambito commerciale.
Come dichiarato dal Dott. Zdravko Vukíc, vicepresidente dell’EDPB,: “”Con l ‘evolversi dei modelli aziendali, la necessità di proteggere i dati personali sta diventando sempre più centrale. L’EDPB promuove la coerenza tra ambiti normativi separati ma interagenti, al fine di garantire la migliore protezione possibile delle persone”[4].
Ci si aspetta che gli Organismi di consulenza della Commissione Europea Board Europeo in materia di Protezione dei dati (EDPB) e Cybersicurezza (ENISA) intervengano con delle Linee Guida integrative specificamente alla tecniche di anonimizzazione (obiettivo costantemente presente negli EDPB Work Programmes ormai dal 2021) per la selezione di metodologie e modelli di progettazione specifici gia’ presenti nel mondo tecnologico che possano essere proposte quali misure standard o privilegiate di Privacy by Design, al fine di individuare applicazioni verificate e conformi al GDPR.
Il Board Europeo non a caso, nelle ipotesi più complesse che, come visto, sono assai frequenti nella pratica, ha confermato come sia indispensabile ricorrere all’uso di tecniche più avanzate (e salde), come quelle provenienti dal settore dell’anonimizzazione.
Il Cominato, in materia di pseudonimizzazione aveva da tempo sottolineato come “la nozione stessa di anonimizzazione dovrebbe essere rivisitata, in quanto i modelli sono in continua evoluzione (e, quindi, l’anonimizzazione diventa, nei casi reali, sempre più impegnativa).
La comunità scientifica dovrebbe lavorare per sviluppare le attuali tecniche di pseudonimizzazione in modo che diventino soluzioni più avanzate in grado di affrontare efficacemente le particolari sfide sorte nell’era dei big data. La Commissione europea e le istituzioni europee competenti dovrebbero sostenere e diffondere tali sforzi”[5].
Lo sviluppo di nuove modalità di minimizzazione dei dati, quale strumento di protezione dei dati, rappresenta peraltro un contributo decisivo alla cybersicurezza anche nel settore pubblico, potendo costituire una misura chiave dei Sistemi di Gestione della Privacy (PIMS di cui agli standard internazionali ISO 27701) nonché una delle politiche dell’approccio multirischio di cui alla NIS2, atteso che la riduzione del rischio di re-identificazione di individui da un set di dati ha come valoroso e necessario effetto quello di limitare l’esposizione di informazioni sensibili in caso di violazione mitigando l’impatto di attacchi informatici.
Inoltre l’utilizzo di tecniche di anonimizzazione efficace in fase di progettazione dei processi produrrebbe per le Organizzazioni decisivi incrementi della sicurezza delle analisi permettendo la condivisione di set di dati anonimizzati per scopi di ricerca e sviluppo ottimizzando e riducendo i costi di compliance per l’adeguamento alla disciplina privacy.
Si pensi, ad esempio al data management nell’ assistenza, ricerca e governance sanitaria (di cui al Decreto sull’Ecosistema Dati Sanitari (EDS) e il Regolamento europeo sullo Spazio Europeo dei Dati Sanitari EHDS) e più in generale alle catene di approvvigionamento digitali dei servizi ai cittadini (eGovernment, Smart Cities, Internet of Things) gestite da aziende e amministrazioni pubbliche, oggi peraltro oggetto del Digital Europe Programme (Programma Europa Digitale, cd.DEP, finanziamento europeo, interno al bilancio a lungo termine dell’Ue e del quadro finanziario pluriennale 2021-2027) finalizzato all’’introduzione di tecnologia digitale per il potenziamento delle vulnerabilità.
In conclusione l’annullamento della sentenza CRU/GEPD (cd. sentenza Deloitte) e’ l’occasione di riflessione sul tema della anonimizzazione irreversibile o dell’individuazione di misure avanzate di pseudonimizzazione, quale aspetto cruciale per la strategia europea sulla catena del valore dei dati e l’affermazione del ruolo dell’Europa quale leader nella societa’ dei dati (cd. data-driven society)[6].
A cura di Avv. Chiara De Angelis
[1] Tutti i detti contenuti sono rinvenibili alla Sezione del Sito del Garante Italiano https://www.garanteprivacy.it/temi/pseudonimizzazione.
[2] Si tratta della consultazione indetta dal Board europeo – unitamente alla pubblicazione di una dichiarazione sull’interazione tra il diritto della concorrenza e la protezione dei dati, a seguito della Sentenza a sentenza della CGUE Meta contro Bundeskartellamt del 4 luglio 2023 in cui “ le autorità garanti della protezione dei dati e della concorrenza sono tenute a collaborare, in alcuni casi, per conseguire un’applicazione efficace e coordinata del diritto in materia di protezione dei dati e concorrenza. Sebbene si tratti di ambiti giuridici distinti che perseguono obiettivi diversi in contesti diversi, in alcuni casi possono applicarsi alle stesse entità. È quindi importante valutare le situazioni in cui le leggi possono intersecarsi”.
[3] Sentenza della Corte (Grande Sezione) C/2024/914 del 5 dicembre 2023 (domanda di pronuncia pregiudiziale proposta dal Vilniaus apygardos administracinis teismas — Lituania) — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija.
[4] Comunicato Stampa Bruxelles, 17 gennaio – Durante la riunione plenaria del gennaio 2025, il comitato europeo per la protezione dei dati (EDPB) rinvenibile al link https://www.edpb.europa.eu/news/news/2025/edpb-adopts-pseudonymisation-guidelines-and-paves-way-improve-cooperation_it.
[6] Sul punto si rimanda ai documenti ufficiali della Commissione Europea nell’ambito del progetto “ Making the EU a role model for a society empowered by data “rinvenibili al link https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en.
