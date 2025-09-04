Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

Pseudonimizzazione dati: storica "sentenza Deloitte" della CGUE che cambia le regole compliance

Con la sentenza C-413/23 P (EDPS c. SRB), la Corte di Giustizia UE riafferma i principi sul concetto di dato personale, sulla pseudonimizzazione e sull’obbligo di informazione in capo ai titolari del trattamento. Un pronunciamento destinato ad avere un impatto rilevante sulla prassi di imprese e istituzioni europee

Pubblicato il 4 set 2025
Rosario Palumbo

Giurista d'impresa, Data protection specialist

Sentenza Deloitte pseudonimizzazione dati

Attesissima, è arrivata la cosiddetta “sentenza Deloitte” con cui la Corte di Giustizia europea ha riaffermato i principi sul concetto di dato personale, sulla pseudonimizzazione e sull’obbligo di informazione in capo ai titolari del trattamento.

Una sentenza destinata a fare storia perché stabilisce che, qualora il soggetto terzo non sia concretamente in grado di collegare le informazioni pseudonimizzate con eventuali identificatori personali, allora i dati possono essere considerati anonimi.

Facciamo chiarezza.

Come si è arrivati alla sentenza Deloitte

La controversia nasce dalla risoluzione di Banco Popular Español del 2017, gestita dal Single Resolution Board (SRB). Per decidere sull’eventuale compensazione degli ex azionisti e creditori, il SRB avviò una procedura in due fasi: una fase di registrazione, con raccolta di dati identificativi e documentali, e una fase di consultazione, in cui oltre 2.800 soggetti presentarono osservazioni tramite un form online.

Parte di questi commenti, associati a un codice alfanumerico ma non direttamente nominativi, furono trasmessi a Deloitte, incaricata della valutazione tecnica.

Alcuni interessati reclamarono all’EDPS, sostenendo di non essere stati informati del trasferimento a terzi. L’EDPS confermò l’infrazione e rimproverò il SRB per la violazione dell’art. 15(1)(d) del Regolamento (UE) 2018/1725. Il SRB impugnò la decisione davanti al Tribunale UE, che accolse in parte il ricorso, sostenendo che i dati trasmessi non costituissero “dati personali” per Deloitte.

Da qui l’appello dell’EDPS dinanzi alla Corte di Giustizia.

La decisione della Corte di Giustizia

Un aspetto centrale della sentenza riguarda la distinzione tra il titolare del trattamento e i terzi destinatari dei dati pseudonimizzati.

La Corte conferma la logica del Tribunale UE: se un terzo destinatario non dispone dei mezzi o delle informazioni necessarie per identificare concretamente l’interessati i dati possono essere considerati anonimi e quindi non personali.

Questo punto smentisce la posizione dell’EDPS, secondo cui i dati pseudonimizzati sarebbero automaticamente personali per tutti. Con la sentenza del 4 settembre 2025, la Corte di Giustizia ha fissato, in estrema sintesi, tre principi di diritto fondamentali.

Opinioni e punti di vista sono dati personali

Secondo la Corte, le opinioni e valutazioni individuali sono sempre un’espressione del pensiero della persona che le formula e quindi sono intrinsecamente collegate al suo autore.

Non occorre, quindi, analizzarne contenuto, scopo o effetti: si tratta comunque di dati personali.

Pseudonimizzazione: non equivale ad anonimizzazione

Come anticipato, la pseudonimizzazione riduce i rischi, ma non rende automaticamente i dati anonimi.

La Corte chiarisce la distinzione tra titolare del trattamento e terzo destinatario.

Per il titolare (SRB), che conserva la possibilità di re-identificazione tramite i codici, i dati restano personali. Per il destinatario terzo (Deloitte), invece, se le misure tecniche impediscono concretamente l’identificazione, i dati possono non essere qualificati come personali.

Ne consegue che, contrariamente a quanto sosteneva l’EDPS, i dati pseudonimizzati non devono essere considerati dati personali in ogni caso e per ogni persona, ai fini dell’applicazione del Regolamento 2018/1725, nella misura in cui la pseudonimizzazione può, a seconda delle circostanze, impedire effettivamente a persone diverse dal titolare di identificare l’interessato in modo tale che, per loro, l’interessato non sia o non sia più identificabile.

La qualificazione dei dati dipende quindi da una valutazione caso per caso, basata sui mezzi “ragionevolmente utilizzabili” per risalire all’identità.

Obbligo di informazione: valutazione dal punto di vista del titolare

Un punto centrale della decisione riguarda l’obbligo di informazione previsto dall’art. 15, par. 1, lett. d) del Regolamento (UE) 2018/1725. La Corte di Giustizia ha chiarito che tale obbligo va valutato al momento della raccolta dei dati e dal punto di vista del titolare del trattamento, non da quello del destinatario terzo che riceverà successivamente i dati.

In concreto, lo SRB avrebbe dovuto menzionare Deloitte tra i possibili destinatari già nell’informativa resa agli interessati al momento della raccolta delle osservazioni. Non rileva, infatti, se per Deloitte i dati pseudonimizzati non fossero direttamente riconducibili agli autori: ciò che conta è la relazione giuridica tra titolare e interessato.

Secondo la Corte, questa impostazione garantisce che l’interessato possa decidere consapevolmente se fornire o meno i propri dati, sapendo fin dall’inizio a chi potranno essere trasmessi, e possa difendere i propri diritti nei confronti di tali destinatari.

Spostare la valutazione sul punto di vista del destinatario, come aveva fatto il Tribunale, significherebbe svuotare di contenuto l’obbligo di trasparenza e alterarne la funzione di tutela preventiva.

Implicazioni pratiche per imprese e istituzioni

La pronuncia rafforza tre direttrici fondamentali nella compliance privacy.

Innanzitutto, il concetto di dato personale comprende anche contributi e opinioni, indipendentemente dal loro contenuto, perché riflettono il pensiero dell’interessato.

In secondo luogo, la pseudonimizzazione non esclude l’applicazione della normativa: essa rappresenta una misura di sicurezza che, a seconda delle circostanze e dell’efficacia delle misure adottate, può rendere i dati non identificabili per terzi, ma non per il titolare.

Infine, l’obbligo di trasparenza grava sul titolare fin dalla raccolta e richiede di indicare tutti i potenziali destinatari dei dati, anche quando la pseudonimizzazione riduce la possibilità di identificazione da parte di tali destinatari.

Conclusioni

La Corte di Giustizia ribadisce un approccio rigoroso e sostanziale: qualsiasi informazione che riflette il pensiero individuale è sempre dato personale, e l’informativa agli interessati non può dipendere da tecnicismi di pseudonimizzazione.

Allo stesso tempo, la sentenza chiarisce che i dati pseudonimizzati non sono automaticamente personali per tutti i soggetti: la loro qualificazione dipende dai mezzi concretamente disponibili per identificare l’interessato.

Per il titolare del trattamento, che possiede le informazioni necessarie per la re-identificazione, i dati restano personali. Per un terzo destinatario che non dispone di tali mezzi, i dati pseudonimizzati possono essere trattati come anonimi, purché siano rispettate le misure tecniche e organizzative volte a impedire l’identificazione.

Questo principio è particolarmente rilevante anche per il settore sanitario e della ricerca, dove dati pseudonimizzati sono spesso condivisi tra enti, laboratori e partner esterni per studi clinici, registri sanitari o progetti di intelligenza artificiale.

La sentenza consente di proteggere l’identità dei soggetti, garantire la compliance normativa e favorire la condivisione sicura dei dati in contesti multilivello.

In sintesi, la pronuncia definisce chiaramente i confini della pseudonimizzazione, ribadisce l’obbligo di trasparenza del titolare e rappresenta un punto di riferimento storico per la gestione dei dati personali in Europa.

Rosario Palumbo
Giurista d'impresa, Data protection specialist

