La sentenza della Corte di Giustizia Europea (“CGUE“) resa il 4 settembre 2025 nella causa C‑413/23 P è particolarmente importante in quanto ha superato l’interpretazione assolutistica, quasi ‘illimitata‘, del concetto stesso di dato personale.
L’interpretazione assolutistica, finora, era quella prevalente, soprattutto presso le Autorità di controllo nazionali e presso il Garante Europeo della Protezione dei Dati (“GEPD” o “EDPS“, dall’inglese European Data Protection Supervisor), al cui fianco, nel giudizio in commento, è intervenuto, seppur invano, anche l’European Data Protection Board (“EDPB“) per sostenere tale tesi.
Vediamo dunque in che modo, e sulla base di quali argomentazioni, questa sentenza potrebbe offrire spiragli e opportunità interessanti, e in quali campi.
Indice
Gli highlights e i protagonisti del giudizio
Nel 2017 il Comitato di Risoluzione Unico (“CRU“, o Single Resolution Board, “SRB”) avviò una procedura a favore di azionisti e creditori del Banco Popular España, dichiarato in crisi e insolvente.
In tale contesto, il SRB raccolse i commenti e le osservazioni di tali interessati in merito all’operazione bancaria proposta, e incaricò la società di revisione e consulenza Deloitte di effettuare una valutazione su quanto ricevuto.
Tali osservazioni – molto opportunamente – venivano trasmesse a Deloitte in forma pseudonimizzate e dunque senza dati identificativi diretti, attraverso codici alfanumerici sviluppati «a fini di audit per consentire di verificare ed eventualmente dimostrare, in un procedimento giudiziario, che ogni osservazione era stata trattata».
Venuti a sapere di tale trasferimento, alcuni partecipanti lamentarono però che l’informativa privacy originaria di SRB non menzionava il trasferimento dei loro dati a Deloitte.
Così l’EDPS, a seguito di reclamo e conseguente istruttoria, accertò che le osservazioni e commenti inviati a Deloitte, seppur pseudonimizzati, erano pur sempre “dati personali”. Dunque SRB avrebbe dovuto informare gli interessati di tale trasferimento, anche se i dati erano pseudonimizzati.
Ciò portò l’EDPS a sanzionare la violazione dell’obbligo di informare gli interessati ma il CRU/SRB fece ricorso avverso tale condanna avanti al Tribunale UE, chiedendone l’annullamento.
Il Tribunale UE, in accoglimento del ricorso, annullò la decisione dell’EDPS, dando dunque ragione all’SRB (al cui fianco era scesa in campo persino la Commissione UE), ritenendo che Deloitte, grazie ad una efficace pseudonimizzazione, non riceveva “dati personali” e interpretando l’obbligo di informazione in senso restrittivo.
I principi di diritto affermati dalla Sentenza della CGUE
Innanzitutto partiamo col ricordare che il GDPR definisce all’art. 4 p.to 5) la pseudonimizzazione come:
«il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
In pratica, la pseudonimizzazione si attua separando gli identificatori dal resto del dataset e adottando misure tecniche e organizzative (es. key-management, access control) per impedire la ricollegabilità.
Come ricorda anche l’EDPB nelle Guidelines 1/2025, se i dati sono efficacemente pseudonimizzati, in caso di loro divulgazione non autorizzata, la gravità del rischio per gli interessati è molto minore, a condizione pero che i destinatari non possano accedere anche alle informazioni per ri-collegarli ai singoli interessati.
La pseudonimizzazione è dunque una misura di sicurezza che aiuta a limitare anche il c.d. function creep, ossia l’ulteriore ed illecito dei dati in modo incompatibile con le finalità per cui sono stati raccolti.
La qualifica di dato personale può cambiare a seconda del punto di vista concreto da cui si effettua l’analisi
La CGUE ha fatto propria una interpretazione relativistica, ragionevole e proporzionata di quando un dato pseudonimizzato può ancora definirsi personale oppure anonimo.
La sentenza ha infatti definitivamente riconosciuto che Deloitte, nel caso concreto, non ha ricevuto dati personali perché non aveva mezzi ragionevoli per risalire all’identità delle singole persone fisiche a cui quelle osservazioni facevano riferimento.
Da ciò deriva che se il terzo destinatario di dati efficacemente pseudonimizzati non sia in concreto in grado di collegare a singole persone fisiche le informazioni pseudonimizzate attraverso chiavi identificative ragionevolmente disponibili, allora quei dati per tale soggetto sono considerabili anonimi.
La decisione della CGUE pone due condizioni affinché il terzo destinatario di dati pseudonimizzati li possa considerare anonimi:
- che il destinatario sia effettivamente impossibilitato e impedito (legalmente) di risalire ai singoli interessati, e
- che non condivida tali dati pseudonimizzati con nessun altro che invece sia in grado di (ri)identificare tali persone.
Per valutare se il terzo destinatario dei dati sia effettivamente e concretamente in grado di superare la pseudonimizzazione e re-identificare l’interessato occorre applicare il criterio dello “sforzo sproporzionato” e valutare fattori oggettivi, tra cui costi, mezzi, tempo, tecnologie (attuali e prevedibili), dati pubblici (social, open data) incrociabili al fine di arricchimento database, valore e fonti dei dati, ecc..
Mentre invece, per il CRU, che deteneva le chiavi di decodifica necessarie alla re-identificazione, i commenti restavano a tutti gli effetti dati personali sin dalla loro raccolta e conseguentemente, dunque, avrebbe dovuto informare gli interessati del trasferimento a Deloitte.
Ulteriori precisazioni sull’obbligo di informativa
A tal proposito, infatti, il Tribunale UE, nella sentenza di secondo grado già approfondita in precedenza, aveva ritenuto che SRB non avesse l’obbligo di informare gli interessati del trasferimento a Deloitte, in quanto tale soggetto terzo riceveva dati (di fatto) anonimi.
La CGUE ha invece ribaltato tale pronuncia e ha ricordato che per l’applicazione dell’obbligo di informativa, l’identificabilità dell’interessato va valutata al momento della raccolta dei dati (prima del loro eventuale trasferimento a terzi) e dal punto di vista del titolare del trattamento, e non da quello dell’eventuale terzo ricevente.
L’informativa sul potenziale trasferimento anche a destinatari di dati totalmente pseudonimizzati, e dunque di fatto, per essi, anonimi, serve anche a consentire all’interessato di decidere consapevolmente se fornire o no i suoi dati personali.
Ne esce dunque confermata e ribadita la facoltà del titolare di esplicitare nell’informativa che ad un determinato destinatario i dati saranno inviati pseudonimizzati, senza alcuna possibilità per esso, almeno in linea di principio, di identificare l’interessato;
parimenti, rimane impregiudicata la facoltà di indicare i destinatari dei dati pseudonimizzati non singolarmente, ma riconducendoli e indicandoli semplicemente sotto categorie di destinatari specifiche.
Cosa cambia e cosa fare
Detto ciò occorre comunque ribadire che se un dataset pseudonimizzato viene condiviso con soggetti che invece dispongono effettivamente dei mezzi tecnici, organizzativi o legali per re-identificare gli interessati, quei dati – seppur inizialmente considerabili anonimi – possono riacquisire la qualifica di dati personali.
È esattamente questo il rischio rimarcato con forza dalla sentenza della CGUE, sulla scia di un suo precedente del 2023 (caso Scania): non conta solo se il dato è pseudonimizzato o in chiaro, ma anche chi lo detiene e quali risorse ha a disposizione.
Basti infatti pensare a quei soggetti dotati dei più grandi database esistenti, come ad esempio i c.d. GAFAM (Google, Apple, Facebook/Meta, Amazon, Microsoft) o ad altri grandi gatekeeper ex artt. 2-3 del Digital Markets Act (“DMA“, Regolamento EU 2022/1925).
Se il titolare (o anche il terzo destinatario) trasferisce o condivide loro dataset pseudonimizzati, la possibilità che essi ricostruiscano le singole identità non è affatto pura teoria, ma bensì una circostanza che può concretamente rimettere il GDPR in gioco.
La conseguenza pratica è che chi gestisce dati pseudonimizzati senza ulteriori informazioni identificative, deve essere anche in grado di dimostrare – sempre in ottica di accountability – di non poter procedere materialmente alla re-identificazione
Misure tecniche, organizzative e contrattuali prevedibili
Questo onere probatorio passa per strumenti contrattuali, misure tecniche, processi organizzativi e verifiche periodiche, quali ad esempio:
- (tecniche) tokenizzazione, hashing sicuro, crittografia delle tabelle di mapping, key-management esterno (HSM/KMS), masking e generalizzazione e, per analytics avanzati, differential privacy o dati sintetici. Queste soluzioni vanno combinate e testate con attacchi controllati (re-identification red team test).
- Per approfondire il lato tecnico, rinviamo alle linee guida di ENISA, partendo dal 2019 (in italiano), fino alle ultime, utilissime, del 2021 e 2022.
- (organizzative) separazione dei ruoli, principio del least-privilege, logging rigoroso degli accessi e procedure di escalation; documentare chi possiede le “chiavi” di re-identificazione e perché.
- (contrattuali) clausole che vietino espressamente la re-identificazione, impediscano l’ulteriore condivisione e trasferimento senza garanzie analoghe, attribuiscano responsabilità chiare e prevedano diritti di audit e obblighi di notifica di incidenti o tentativi di re-identificazione.
Inoltre il titolare del trattamento che trasferisce dati pseudonimizzati dovrà individuare una base giuridica per la raccolta e la finalità di condivisione: nel caso in esame, il SRB aveva individuato il consenso, ma la sentenza non ha affrontato il tema della correttezza o meno di tale base giuridica.
Per tale motivo, in ottica di accountability, ad es., anche una valutazione sul legittimo interesse riteniamo potrà generalmente concludersi positivamente se sono soddisfatte le condizioni previste dalla sentenza in commento affinché i dati pseudonimizzati siano considerati dal destinatario anonimi.
In the end
Concludendo, notiamo come questa sentenza offra nuovo slancio per la ricerca scientifica: importante è infatti il passaggio in cui riconosce che se la legge vieta l’identificazione (come ad es. l’obbligo di segreto professionale dei medici), un dataset adeguatamente pseudonimizzato può risultare ‘anonimo’ per il destinatario vincolato.
(In questo articolo avevamo già parlato della pseudonimizzazione nel sanitario)
Tuttavia, la sentenza della CGUE lascia anche aperta un’importante domanda: se il destinatario è un responsabile del trattamento, tale conclusione sull’anonimità rimane valida e confermata?
La Corte non ha risposto compiutamente su cosa accade nel caso in cui il terzo destinatario dei dati pseudonimizzati sia un responsabile del trattamento.
Noi però siamo disponibili ad approfondire insieme a voi il potenziale impatto di questa sentenza sul ruolo dei responsabili esterni.
Tuttavia è indubbio che questa sentenza aumenti la fiducia nella pseudonimizzazione, oltre ad avere, tra le righe, una valenza anche programmatica, tendente a facilitare la competitività digitale perseguita dall’UE, in linea anche con il Data Act.
Se grazie a questa sentenza state valutando l’implementazione della pseudonimizzazione, potete contattarci per assistenza nella progettazione di un sistema di compliance e governance specifico sull’approccio a tale misura di sicurezza.
