La sentenza Deloitte (C-413/23 P, pronunciata dalla Corte di Giustizia dell’Unione europea in data 4 settembre 2025) ha suscitato forte interesse nel settore privacy, soprattutto per il tema dell’anonimizzazione e pseudonimizzazione dei dati.

Alcuni la dipingono come rivoluzionaria, ma un’analisi approfondita mostra che si tratta piuttosto di una conferma di principi già consolidati sia nella prassi che nella giurisprudenza UE, piuttosto che una pronuncia, di per sé, realmente innovativa.

Sentenza Deloitte, contesto e fatti

Come noto, la vicenda nasce da una consultazione del Single Resolution Board sul caso Banco Popular Español, per la quale Deloitte analizzò i dati raccolti dagli stakeholder in forma pseudonimizzata.

L’Edps ritenne che quelle informazioni fossero comunque dati personali, imponendo di inserire Deloitte nell’informativa privacy.

Il Tribunale UE (T-557/20), ribaltando questa posizione, chiariva che la qualificazione come dato personale va fatta dal punto di vista del destinatario: in poche parole, non basta sapere che altri soggetti (come il CRU) dispongono di dati identificativi, ma occorre verificare se il destinatario abbia mezzi concreti e legittimi per re-identificare i soggetti.

La Corte di Giustizia UE ha quindi confermato che i dati pseudonimizzati possono essere considerati anonimi quando il rischio di re-identificazione è solo teorico, sancendo un approccio basato sul rischio concreto, in continuità con la sentenza Breyer (C-582/14)2, che la stessa Corte ha richiamato quale precedente diretto, proprio per ribadire il principio di valutazione concreta del rischio di identificazione.

I riferimenti normativi principali

• Art. 4 GDPR: definisce i dati personali come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
• Art. 5 e 24 GDPR – Accountability: obbligo per titolari e responsabili di adottare misure strutturate, proattive, proporzionate ai rischi e documentate, con approccio “privacy by design and by default”.
• Art. 32 GDPR: necessità di misure tecniche e organizzative adeguate.

Perché la sentenza Deloitte non è innovativa per la privacy

Quantomeno, non in senso rivoluzionario:

• continuità con la sentenza Breyer: si conferma l’approccio già consolidato secondo cui non basta l’esistenza di dati identificativi in mano a terzi: occorre valutare la possibilità concreta, per il destinatario, di accedervi;
• autonomia nell’analisi: spetta all’autorità competente (il Garante) verificare se Deloitte disponga di mezzi pratici per re-identificare;
• approccio orientato al rischio: la sentenza introduce l’obbligo di considerare lo sforzo necessario (tempo, costi, manodopera) come misura della significatività del rischio di re-identificazione, già delineato dalla sentenza Breyer.

Impatti pratici per aziende e professionisti: l’accountability

Alla luce del quadro normativo vigente, i principali impatti pratici sono i seguenti:

• valutazione del rischio: è obbligatorio analizzare e documentare la possibilità di re-identificare dati pseudonimizzati da parte di destinatari esterni;
• DPIA potenziata: quando si condividono dati pseudonimizzati, va valutata la reale “anonimizzabilità” alla luce del rischio concreto;
• informative trasparenti: la necessità o meno di includere il destinatario nell’informativa dipende dall’esito dell’analisi di re-identificazione;
• approccio proattivo (accountability): le aziende devono dimostrare, tramite documentazione formale, di aver valutato i rischi e applicato misure coerenti. L’approccio privacy by design e based on risk diventa imperativo nel data sharing.

Il ruolo rivoluzionario del principio di accountability

Ciò dimostra che serve rigore nell’analisi documentale, nel tracciamento delle decisioni e nella collaborazione di tutte le funzioni aziendali coinvolte (privacy, legale, IT).

Infatti, se c’è un elemento che ha davvero cambiato il paradigma della protezione dei dati, non è tanto questa o quella sentenza, ma il principio di accountability.

Il GDPR ha trasformato la privacy da un sistema di regole prescrittive a una responsabilizzazione proattiva: ogni organizzazione deve scegliere, giustificare e dimostrare le misure adottate, calibrandole sul contesto e sul rischio reale.

Questo è davvero rivoluzionario perché:

• ogni decisione deve basarsi su analisi approfondite di contesto, dati trattati e possibili minacce (centralità del rischio);
• non esistono più regole “taglia unica”, ma processi su misura e costantemente aggiornati (compliance dinamica);
• l’organizzazione deve dimostrare la propria diligenza tramite DPIA, registri, contratti e procedure (inversione dell’onere della prova).

La sentenza Deloitte non fa che rafforzare questo approccio: ribadisce che il rischio di re-identificazione va valutato in modo concreto, documentabile, e che le autorità devono motivare le proprie decisioni.

Il GDPR, quindi, resta innovativo non per continue rivoluzioni giurisprudenziali, ma perché responsabilizza le imprese a diventare architetti della propria compliance, trasformando la privacy in cultura organizzativa.

L’hype mediatico sulla privacy: perché ogni sentenza sembra “epocale”

A nove anni dall’entrata in vigore del GDPR (2016), nonostante i numerosi provvedimenti chiarificatori da parte del Garante Privacy, Edpb e Corte di Giustizia UE e l’integrazione nei processi aziendali (attraverso DPIA, data mapping, figure DPO), ogni sentenza o provvedimento in materia di protezione dati viene ancora spesso presentato dai media (e anche dai professionisti del settore) come “storico” o “rivoluzionario”.

Il GDPR rappresenta probabilmente uno dei regolamenti più discussi e più citati della storia europea e continua a essere narrato come un perenne cantiere normativo.
Questa dinamica è peculiare del settore privacy ed è dovuta anche ai seguenti fattori:

• la portata trasversale del GDPR lo differenzia dai regolamenti settoriali, perché, diversamente da questi, impatta ogni settore, dalla sanità alla moda, dall’industria al gaming, prolungando la percezione di novità.
• La complessità tecnica della materia rende difficile la comprensione per il grande pubblico, costringendo i media a semplificare con titoli sensazionalistici.
• Le imprese faticano a percepire la privacy come leva strategica di business e continuano a vederla come onere e mera compliance, aumentando l’effetto “shock” a ogni intervento normativo.
• La costante evoluzione digitale (AI, IoT, Big Data, blockchain, cloud computing) amplifica il senso di “urgenza” legato alla protezione dei dati, mettendo costantemente alla prova la tenuta dei principi e facendo apparire il Gdpr sempre “inadeguato” o “da aggiornare”;
• la narrativa mediatica fa sì che ogni multa milionaria o sentenza faccia notizia e venga trattata come un evento straordinario.

Ne consegue che il GDPR, pur essendo un regolamento ormai strutturale e consolidato, continua a essere percepito come “nuovo”.

Questa dinamica dell’hype ha però implicazioni importanti, in quanto rende difficile una discussione tecnica e matura tra professionisti e aziende. Porta, inoltre, a investimenti “a scatti”, sull’onda di sentenze o sanzioni, invece di una governance continua.

Riduce infine la fiducia dei cittadini, che percepiscono il tema come astratto e burocratico, anziché come garanzia concreta dei propri diritti.

In realtà, la stabilità normativa che emerge dalla sentenza Deloitte dimostra l’opposto: la privacy è ormai un sistema giuridico maturo.

Servirebbe una comunicazione più sobria, orientata a diffondere consapevolezza e cultura, piuttosto che allarmismo.

Un confronto con altre normative “normalizzate”

Per contestualizzare il fenomeno, è interessante guardare ad altre riforme europee o italiane entrate a pieno regime negli ultimi anni, che oggi non vengono più percepite come “nuove”.

Queste normative, sebbene inizialmente accolte con timore, oggi fanno parte della quotidianità dei settori di riferimento. Il GDPR, invece, resta “brandizzato” come novità, anche per chi lo applica da anni.

La privacy tra maturità normativa e percezione sociale

La “sentenza Deloitte” conferma una traiettoria normativa coerente. Il GDPR richiede un approccio concreto, documentato e orientato al rischio, senza automatismi. La vera novità sta in un ulteriore chiarimento di questo principio, non in una rivoluzione giuridica.

A prescindere dai titoli sensazionalistici, l’innovazione è nella solidità dell’approccio, non nella rottura delle regole.

Il confronto con altre normative europee dimostra che la persistenza dell’etichetta “nuova normativa privacy” è più culturale che giuridica.

Il vero salto di qualità sarà uscire dalla logica emergenziale, consolidare la privacy come valore aziendale e standard di governance, e, soprattutto raccontare la privacy come elemento di fiducia e competitività, smettendola con lo storytelling della normativa avvolta dal “mistero”.