24 Set Pseudonimizzazione e relativizzazione del concetto di dato personale: riflessioni sulla sentenza “Deloitte”

Autori: Carmine Perri, Laura Senatore, Lorenzo Covello

Abstract

La Corte di Giustizia dell’Unione europea (“CGUE”) chiarisce: i dati pseudonimizzati possono essere considerati – per il soggetto terzo che li riceve – come dati “non personali”, qualora in base allo specifico contesto, il terzo non possa risalire all’individuo a cui tali dati si riferiscono. La sentenza “Deloitte” introduce così una lettura “relativa” di dato personale, consentendo al titolare di sostenere che un’informazione non debba più essere qualificata come “dato personale” rispetto al destinatario che la riceve.

Background

Il tema dell’individuazione della linea di confine tra dati anonimizzati e dati pseudonimizzati è da tempo al centro del dibattito europeo, soprattutto per le ricadute pratiche in termini di compliance per le società. La recente sentenza della CGUE del 4 settembre 2025 (C-413/23 P)[1] offre un chiarimento atteso da tempo sul punto, stabilendo alcuni importanti criteri di riferimento.

Per capire la portata della sentenza è utile ricordare che, secondo il Regolamento UE 2016/679 (“GDPR”)[2], sono dati personali tutte le informazioni che consentono di identificare un individuo, anche indirettamente. Semplificando molto: la pseudonimizzazione è una misura di sicurezza che riduce il rischio di identificazione dell’interessato senza eliminarlo; cioè, ai dati pseudonimizzati si applica senz’altro il GDPR; mentre l’anonimizzazione è un processo irreversibile che non consente di ricollegare – neanche indirettamente – le informazioni ai soggetti interessati, e i dati così anonimizzati escono dall’ambito di applicazione del GDPR.

Sebbene, in questo caso, le considerazioni della CGUE in ordine al trattamento dei dati siano riferite al Regolamento (UE) 2018/1725[3], che riprendono le definizioni di dati personali, di pseudonimizzazione e di anonimizzazioni finora riconosciute, la CGUE condivide alcune rilevanti considerazioni sulla possibilità di relativizzare il concetto di dato personale per il terzo che lo riceve.

Brevi cenni sull’iter processuale e analisi della sentenza “Deloitte”

La vicenda prende avvio nel 2017 con la risoluzione del Banco Popular Español. In tale contesto, il Single Resolution Board (“SRB”) apre una consultazione online, invitando azionisti e creditori a esprimere osservazioni sulla gestione della crisi. I contributi vengono prima raccolti tramite un modulo elettronico, poi filtrati, categorizzati e aggregati, e infine contrassegnati da codici alfanumerici per le sole finalità di audit da parte di SRB, così da risultare pseudonimizzati e privi di dati identificativi diretti.

Le osservazioni così raccolte vengono trasmesse a Deloitte, incaricata di effettuare una valutazione sulla convenienza per azionisti e creditori di optare per la procedura ordinaria di insolvenza. Deloitte riceve dunque soltanto contributi pseudonimizzati, senza ulteriori dati personali immediatamente riconducibili agli autori; cioè non è in grado di riconciliare i codici alfanumerici con i soggetti interessati. Alcuni interessati, tuttavia, sostengono di non essere stati informati in maniera chiara della comunicazione dei propri dati a quest’ultima. Da qui nasce un reclamo al Garante europeo per la protezione dei dati (“GEPD” o in inglese “EDPS”), che viene chiamato a verificare la correttezza del trattamento svolto dal SRB.

Nel 2020 il GEPD accoglie tale reclamo, ritenendo che le informazioni pseudonimizzate trasmesse restino comunque dati personali, in quanto riferibili a soggetti – seppur indirettamente – identificabili. Secondo il GEPD, infatti, il SRB avrebbe violato gli obblighi di trasparenza previsti dal GDPR e dal Regolamento (UE) 2018/1725, omettendo di indicare Deloitte tra i destinatari nell’informativa privacy sottoposta agli azionisti e creditori.

Il SRB decide di impugnare la decisione davanti al Tribunale dell’Unione europea (“Tribunale”) sostenendo che i dati trasmessi fossero in realtà anonimi, poiché Deloitte non disponeva di mezzi per risalire all’identità degli autori. Nel 2023, il Tribunale accoglie il ricorso (T-557/20[4]), sostenendo che, rispetto al destinatario, tali informazioni non debbano essere qualificate come dati personali.

La controversia giunge quindi alla CGUE, su impugnazione del GEPD (supportato dal Comitato Europeo per la protezione dei dati, in inglese “EDPB”). In questa sede, da una parte, la CGUE rileva che le osservazioni degli azionisti e creditori possono costituire dati personali in quanto espressione di opinioni dei loro autori. Dall’altro, precisa che la pseudonimizzazione non esclude di per sé la natura personale dei dati, dovendosi verificare caso per caso se il destinatario disponga di mezzi ragionevolmente idonei alla re-identificazione dell’interessato[5]. Nel caso di specie, tuttavia, la CGUE esclude che – stante le misure tecniche ed organizzative in essere – Deloitte disponesse di tali mezzi e conclude che non vi sia stato alcun trattamento di dati personali[6].

Profili applicativi

La sentenza fornisce chiarimenti importanti sull’ambito di applicabilità (e sui limiti) del concetto di pseudonimizzazione.

Da un lato, la CGUE rafforza il principio secondo cui qualsiasi informazione che esprima opinioni personali è, per definizione, un dato personale, purché inevitabilmente riconducibile al suo autore[7]. In questo senso, non è sicuramente corretto ritenere che la pseudonimizzazione trasformi automaticamente il dato in anonimo. Dall’altra, la pronuncia evidenzia che la qualificazione di un’informazione come dato personale non è assoluta, ma va valutata in relazione al contesto e alle concrete possibilità di identificazione dell’interessato[8]. Pertanto, occorre verificare se, in concreto, il terzo destinatario di un’informazione – in questo caso Deloitte – al netto delle misure tecniche e organizzative e dei mezzi legali a sua disposizione, sia in grado di ricollegare questa informazione all’identità della persona a cui essa si riferisce, anche attraverso incroci con altre informazioni nella disponibilità del terzo destinatario. Solo quando tale identificazione risulti di fatto impossibile o eccessivamente onerosa, il dato può essere considerato non personale (o “impersonale”[9]). Particolarmente interessante è il punto 85 della sentenza in commento, che menziona i mezzi legali (“legal means”) utilizzabili per ricollegare l’informazione pseudonimizzata al soggetto interessato. Ad avviso degli scriventi, il concetto di legal means non va inteso solo come regole e limiti sull’utilizzo delle informazioni definite nell’alveo dell’autonomia contrattuale delle parti, ma anche come trattamenti di informazioni permessi o preclusi secondo la normativa applicabile.

La sentenza contiene, infine, un’ulteriore interessante precisazione a proposito del perimetro di applicazione del principio di trasparenza. La Corte ha chiarito, infatti, che gli obblighi di trasparenza vanno valutati al momento della raccolta dei dati e dal punto di vista del titolare, prima di qualsiasi eventuale operazione di pseudonimizzazione e trasferimento a terzi. Ciò significa che la trasparenza è un obbligo che si applica a monte e non può essere esclusa sulla base di come i dati saranno trattati in seguito.

Conclusioni e takeaways operativi per i titolari del trattamento

1. 1. La sentenza “relativizza” il concetto di dato personale e consente al titolare di poter argomentare – nel rispetto del principio di accountability – quando un dato non può più essere considerato “personale” per chi lo riceve. La CGUE chiarisce che i dati pseudonimizzati possono essere considerati – per il soggetto terzo che li riceve – alla stregua di dati “non personali”, se, considerato lo specifico contesto e le misure tecniche ed organizzative in essere, il terzo non può risalire all’individuo a cui i dati si riferiscono.
   2. Nel valutare queste circostanze del contesto concreto di cui al punto 1, occorre valutare:
      • se il terzo sia in grado tecnicamente di revocare tali misure in occasione di trattamenti che avvengono sotto la sua supervisione[10];
      • se il terzo sia in grado “legalmente” di revocare tali misure in occasione di trattamenti che avvengono sotto la sua supervisione[11] e di attribuire le informazioni pseudonimizzate ai soggetti interessati. La sentenza parla letteralmente di “legal means” per ottenere ulteriori informazioni da un’altra persona che rendano possibile l’identificazione dell’interessato. Il concetto di legal means va interpretato non solo in termini di trattamenti di informazioni contrattualmente definiti nell’alveo dell’autonomia delle parti, ma anche in termini di trattamenti preclusi o permessi dalla normativa applicabile.
   3. La sentenza stabilisce espressamente che l’obbligo di trasparenza sui terzi a cui dati sono trasferiti va valutato al momento della raccolta dei dati (cioè prima di eventuali pseudonimizzazioni o trasferimenti); ne consegue che i destinatari dei dati pseudonimizzati devono essere indicati come destinatari nell’informativa privacy rivolta agli interessati anche nel caso in cui i destinatari non dispongano di mezzi immediati per risalire all’identità di questi ultimi[12].
   4. Occorrerà valutare le implicazioni pratiche del punto 3 anche rispetto all’applicazione degli obblighi in materia di trasferimenti extra UE ai sensi degli artt. 44 e ss. del GDPR.
   5. Dal punto di vista contrattuale, parimenti, sarà molto importante valutare come regolare i limiti di utilizzo da parte del terzo delle informazioni pseudonimizzate, senza però fornire istruzioni sul trattamento dei dati personali tipiche dei contratti per il trattamento dei dati personali ai sensi dell’art 28 del GDPR.

[1] Sentenza della Corte di Giustizia europea (Prima Sezione) del 4 settembre 2025. Garante europeo della protezione dei dati contro Comitato di risoluzione unico, https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62023CJ0413 .

[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=it .

[3] Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE, https://eur-lex.europa.eu/eli/reg/2018/1725/oj?locale=it .

[4]Sentenza del Tribunale dell’Unione europea, 26/04/2023 – SRB v EDPS, case T-557/20, https://curia.europa.eu/juris/liste.jsf?language=en&td=ALL&num=T-557/20

[5] Su questo punto la CGUE richiama il concetto di pseudonimizzazione così come delineato nel considerando 26 del GDPR, innestandosi su un filone giurisprudenziale ormai consolidato (ex multis, si vedano le sentenze Breyer, C-582/14, e Nowak, C-434/16).

[6] Cfr. punto 77 e ss. della sentenza in commento.

[7]Cfr. punto 55 e ss. della sentenza in commento.

[8] Cfr. punti 75,76, 77 della sentenza in commento.

[9] Cfr. punti 83 e 84 della sentenza in commento, nei quali la CGUE, citando rispettivamente le pronunce C-582/14, EU:C:2016:779 e C-604/22, EU:C:2024:214, ha sottolineato che “(…) che i dati che sono intrinsecamente impersonali e sono stati raccolti e conservati dal titolare del trattamento erano comunque collegati a una persona identificabile, poiché il titolare del trattamento disponeva di mezzi legali per ottenere ulteriori informazioni da un’altra persona, rendendo possibile l’identificazione dell’interessato. In tali circostanze, il fatto che le informazioni che consentivano l’identificazione dell’interessato fossero in possesso di altre persone non impediva di fatto che l’interessato fosse identificato in modo tale da non essere identificabile per il titolare del trattamento” e che “i dati che sono di per sé impersonali possono diventare “personali” quando il titolare del trattamento li mette a disposizione di altre persone che dispongono di mezzi ragionevolmente idonei a consentire l’identificazione dell’interessato (…)” (riprendendo i paragrafi 46 e 49 della sentenza C-319/22, EU:C:2023:837).

[10] Cfr. Punto 77 della sentenza in commento dove la CGUE chiarisce che “(…) Tuttavia, ciò presuppone, in primo luogo, che Deloitte non sia in grado di revocare tali misure durante l’elaborazione dei commenti effettuata sotto il suo controllo. In secondo luogo, tali misure devono essere effettivamente tali da impedire a Deloitte di attribuire tali commenti all’interessato, anche ricorrendo ad altri mezzi di identificazione, quali il controllo incrociato con altri fattori, in modo tale che, per la società, la persona interessata non sia o non sia più identificabile (…)”.

[11] Cfr. Punto 85 della sentenza in commento.

[12] Cfr. punti 111- 114 della sentenza in commento.