Con la decisione del 4 settembre 2025, resa nella causa C-413/23 P, la Corte di Giustizia dell’Unione europea ha fornito chiarimenti sul rapporto tra dato personale, pseudonimizzazione e obbligo di informazione.

Se ritorniamo sul caso, oggetto di numerosi commenti per aver approfondito un aspetto importante, essenziale per la circolazione dei dati ovvero quello della contestuale connotazione di un dato come pseudonimizzato (in senso proprio) e anonimizzato (in senso relativo).

Dopo una sintesi della questione, si approfondiranno gli aspetti della sentenza che necessiterebbero di ulteriori interventi chiarificatori.

L’intervento del Garante europeo

Il caso riguarda la risoluzione di Banco Popular Español: il Single Resolution Board (SRB) aveva raccolto osservazioni da azionisti e creditori, pseudonimizzandole e trasmettendole a Deloitte senza informare gli interessati.

Il Garante europeo ha ritenuto ciò una violazione dell’art. 15 (sugli oneri informativi) Reg. UE 1725/2018 (l’analogo del GDPR per le Istituzioni Europee). Il Tribunale UE ha in parte accolto il ricorso del SRB, sostenendo che, non potendo Deloitte reidentificare i soggetti, i dati non fossero personali dal suo punto di vista.

Cosa stabilisce la Corte di Giustizia

Infine, la Corte di Giustizia ha corretto questa lettura, chiarendo che:

• I commenti e le opinioni degli interessati sono sempre dati personali, perché costituiscono un’espressione diretta della loro individualità. Non occorre quindi verificare, caso per caso, contenuto, finalità o conseguenze: il fatto stesso di essere opinioni basta a qualificarle come personali. Si tratta di un chiarimento giuridico rilevante: rafforza la tutela della persona, evitando che i Titolari del trattamento possano eludere gli obblighi del GDPR (o del Regolamento 1725/2018) sostenendo che un’opinione non sia rilevante o identificativa.
• La natura personale dei dati pseudonimizzati è relativa: per il titolare restano sempre personali; per il destinatario dipende dalla concreta possibilità di reidentificazione. Per il destinatario (Deloitte), la qualifica dipende dalla sua concreta capacità di reidentificare gli interessati. Quindi: la natura del dato non è assoluta, ma contestuale, legata alle capacità e alle risorse di chi lo tratta. Questo è un passo verso una maggiore flessibilità nella circolazione dei dati, pur mantenendo la tutela;
• L’obbligo di informazione si valuta dal lato del titolare al momento della raccolta: il SRB avrebbe dovuto indicare Deloitte come destinatario già nell’informativa iniziale. Tale previsione rafforza il principio di trasparenza e il diritto alla prevedibilità del trattamento da parte dell’interessato.

Una tale sentenza, come osservato da alcuni commentatori, consente di ampliare la possibilità di circolazione dei dati personali comportando una connotazione mista per il medesimo dato personale ovvero quella che potremmo definire dato pseudo-anonimizzato (categoria/metafora qui usata a fini esplicativi ma non prevista dai due Regolamenti europei sulla privacy).

Ecco in che termini.

Sentenza Deloitte della CGUE: gli aspetti da chiarire

Quanto delineato nella sentenza della CGUE – che andrebbe letta assieme alle Guidelines 01/2025 on Pseudonymisation dell’EDPB – non sembra però esaustivo per dirimere ogni dubbio per le organizzazione chiamate a trattare i dati.

Ecco alcuni aspetti che paiono meritevoli di chiarimento:

• la questione dell’indicazione nell’informativa del destinatario dei dati;
• qualificazione del dato come personale o meno, dal punto di vista del destinatario;
• l’obbligo per il ricevente;
• l’iter indicato dalla CGUE;
• la questione dei destinatari dei dati.

Vediamo i vari punti nel dettaglio.

L’indicazione nell’informativa del destinatario dei dati

La questione dell’indicazione nell’informativa del destinatario dei dati si pone ovviamente anche nel caso questi fosse Responsabile del trattamento (come forse è in questo caso) ma, e su questo la CGUE non formula indicazioni, nell’informativa dovrebbero essere delineate anche le finalità aggiuntive del destinatario (se le finalità fossero le medesime ricadremmo nella coppia Titolare-Responsabile, salvo che quest’ultimo non ne abbia di ulteriori che pure andrebbero citate) e i termini di conservazione se diversi.

Qualificazione del dato per il destinatario

La qualificazione del dato come personale o meno, dal punto di vista del destinatario, dipende dalla concreta possibilità di identificare gli interessati: se le misure tecniche e organizzative adottate impediscono in modo effettivo la reidentificazione, i dati possono non avere più natura personale dal suo punto di vista.

Ne risulta una concezione “relativa” della pseudonimizzazione, che non si confonde con l’anonimizzazione, ma che produce effetti diversi a seconda del contesto in cui i dati sono trattati.

Il punto che andrebbe chiarito è: in sede di messa a disposizione dei dati, il titolare deve richiedere un impegno giuridicamente fondato al destinatario (anche se non Responsabile del trattamento) di trattare tali dati come anonimi evitando, laddove il progresso delle tecniche di trattamento e/o di altre basi dati di cui vengano in possesso consentisse di ricondurli agli interessati, di farlo? Ma se tale obbligo venisse richiesto o comunque è implicito nella fornitura dei dati, il ricevente è tenuto a osservare le previsioni privacy (Registro, DPIA, informativa)?

Questo appare il cuore della questione. La sentenza crea una “zona grigia”. Se il dato non è personale per il destinatario, tecnicamente il GDPR non si applica a lui.

Tuttavia, lasciare questa situazione priva di un quadro contrattuale o di garanzie tecniche sarebbe rischioso. La proposta di un “impegno giuridicamente fondato” è essenziale per evitare abusi e per mantenere la fiducia nel sistema.

L’obbligo per il ricevente

La domanda da porsi è se deve essere previsto un obbligo per il ricevente di astenersi dal conferimento dei dati pseudoanonimizzati a terzi.

Se il destinatario non può (e non deve) reidentificare i dati, è comunque tenuto a rispettare obblighi come il registro del trattamento o la DPIA? Deve sottoscrivere un impegno formale a non tentare la reidentificazione?

Un punto merita riflessione: la catena di trattamento potrebbe allungarsi indefinitamente, aumentando esponenzialmente il rischio di reidentificazione accidentale o dolosa, vanificando la logica della “relatività”.

L’iter indicato dalla CGUE

Se il titolare procedesse non a pseudonimizzare ma a ad anonimizzare i dati, non per scadenza dei termini di conservazione dichiarato o per previsione di legge, ma per metterli a disposizione di terzi (trattenendone quindi la base dati in forma nominativa), dovrebbe seguire il medesimo iter indicato dalla CGUE per quelli pseudonimizzati?

Ovviamente parliamo di anonimizzazione in senso proprio e – in sintesi – non mera crittografia o applicazione di algoritmi “semplici” tali da generare sempre il medesimo output.

Una prima risposta su questo punto potrebbe desumersi dalla recente disegno di legge sull’intelligenza artificiale definitivamente approvato dal Senato il 17 settembre di quest’anno e che all’art. 9 comma 3 recita che “è sempre consentito, previa informativa all’interessato ai sensi dell’articolo 13 del regolamento (UE) 2016/679, il trattamento per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati personali, anche appartenenti alle categorie particolari di cui all’articolo 9, paragrafo 1, del medesimo regolamento (UE) 2016/679”: si amplia così la possibilità di trarre valore aggiunto dai dati personali nel rispetto delle garanzie per gli interessati.

Peraltro, pur non apparendo la forma migliore – anonimizzazione, pseudonimizzazione e (benvenuti finalmente in un testo di legge) dati sintetici non dovrebbero costituire di per sé una finalità – se ne desume che anche la “cessione” via anonimizzazione dovrebbe essere menzionata nelle informative.
(Se invece la base dati originaria viene anonimizzata in senso proprio dovrebbe cessare l’onere di osservanza del GDPR).

La cessione via anonimizzazione

Questo è un punto di rottura concettuale. L’anonimizzazione, se effettiva, fa uscire i dati dal perimetro del GDPR. Tuttavia, se il titolare mantiene la chiave di identificazione, il rischio residuo esiste.

L’ipotesi di considerare la “cessione via anonimizzazione” come un evento che richiede informativa è un tentativo di bilanciare innovazione e tutela, ma rischia di creare confusione concettuale tra anonimizzazione (definitiva) e pseudonimizzazione (reversibile).

La questione dei destinatari dei dati

Infine, un’ultima notazione, su cui la consulenza del RPD può essere utile per i titolari, è la questione che i destinatari dei dati (quale che sia la relativa classificazione) siano sin dall’origine indicati nell’informativa: sia il GDPR sia il Regolamento UE 1725/2018 prevedono che vengano indicati “gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali”.

Il punto di equilibrio che la sentenza Deloitte non contraddice

Quindi, in occasioni analoghe non necessiterebbe indicare espressamente Deloitte, ma potrebbe anche supplire l’indicazione di una categoria come per esempio “società di consulenza” che consente maggiore elasticità nel trattamento dei dati, fatta salva la liceità per ogni interessato (in base al diritto di accesso art. 15 GDPR e 16 del Regolamento UE 1725/2018) di poter conoscere i soggetti/categorie a cui in concreto i dati vengono conferiti.

Questo è un punto di equilibrio ben gestito dalla normativa esistente, che la sentenza Deloitte non contraddice. È un buon esempio di come il diritto possa essere sia preciso che flessibile.

Come evitare l’incertezza operativa

La sentenza Deloitte è un passo avanti fondamentale per l’evoluzione del diritto alla protezione dei dati nell’era dei big data. Introduce un concetto dinamico e contestuale di dato personale, che si adatta meglio alla complessità dei molteplici e complessi flussi informativi.

Tuttavia la sentenza porta con sé delle ulteriori questioni che andrebbero definite per evitare che si generi incertezza operativa.

Upgrade delle Linee guida dell’EDPB

Una possibilità potrebbe consistere in un upgrade delle menzionate Linee guida dell’EDPB, nelle sue linee guida e/o, anche, in un intervento del legislatore (europeo) che definiscano un quadro contrattuale standard per la trasmissione di dati pseudo-anonimizzati a terzi.

Tale quadro dovrebbe includere:

• l’obbligo per il destinatario di non tentare la reidentificazione;
• il divieto di ulteriore comunicazione a terzi senza autorizzazione;
• l’obbligo di notificare al titolare casi di violazione o di acquisizione di nuove capacità di reidentificazione;
• la qualificazione del destinatario come “terzo autorizzato” con obblighi limitati ma precisi, anche se i dati non sono (per lui) personali.

In sintesi, la sentenza Deloitte non è un punto di arrivo, ma una tappa ulteriore per pervenire a una nuova stagione del diritto alla protezione dei dati, che concili la protezione della persona con la necessità di una circolazione sicura e responsabile dei dati nell’economia digitale.