C’è un convitato di pietra nella commentatissima sentenza della corte di Giustizia dell’Unione Europea sulla causa C‑413/23[1] che ha visto contrapposti il Garante europeo della protezione dei dati e il Comitato di risoluzione unico (SRB o CRU) sulla natura personale o anonima dei dati che quest’ultimo soggetto trasferiva a una società di consulenza per lo svolgimento di alcune analisi. Questo convitato di pietra è il concetto di dato pseudonimizzato, una nozione che ricorre molto spesso nella sentenza (17 volte!) ma che non è mai presente nel GDPR.
Tutti abbiamo capito dalla lettura della sentenza che questo oggetto esiste, che esso ha specifiche proprietà e che queste proprietà sono decisive. In particolare, tutti abbiamo capito che questo dato pseudonimizzato è (breviter) personale presso il soggetto che invia il dato e che può diventare non personale presso il soggetto ricevente. Dovremmo, in tutta onestà, fermarci qui nell’analisi della sentenza, perché essa non va oltre: non indica quali siano gli interventi da realizzare, né le condizioni per ottenere un dato pseudonimizzato che diventi non personale nelle mani del soggetto ricevente e non indica neppure se nel caso di specie il Comitato di risoluzione unico abbia trasferito al suo consulente un dato pseudonimizzato con queste caratteristiche. Il Giudice rinvia queste considerazioni di merito al Tribunale dell’Unione europea.
Indice degli argomenti
La sentenza non è uno spartiacque conflittuale
Può in questo scenario configurarsi (come si è letto) un “conflitto” tra istituzioni dell’Unione Europea? C’è qualcosa di dirompentemente nuovo nel testo della sentenza? Può qualcuno dire: “lo avevo sempre detto!”?
Proviamo a fornire un umile contributo tecnico in vista dei passi interpretativi nuovi (quelli sì), ma anche operativi, che la sentenza induce. Perché, alla fine, questi interventi sul dato personale che lo trasformino in un dato pseudonimizzato che abbia le caratteristiche delineate dalla sentenza dovranno essere concretamente individuati e trasformarsi in metodologia ripetibile.
Pseudonimizzazione come processo, non come dato
Innanzitutto, credo sia opportuno osservare come il GDPR, all’art. 4, non definisca un tipo di dato, bensì un’operazione di trattamento – la pseudonimizzazione – che consiste nel trasformare i dati personali in modo tale che il risultato di tale operazione non possa più essere attribuito a un interessato specifico senza l’utilizzo di informazioni aggiuntive conservate separatamente e in modo sicuro. Questa è, appunto, la definizione di un processo: un meccanismo nel quale occorre considerare almeno due elementi, il risultato della trasformazione (che seguendo l’impostazione della sentenza potremmo chiamare dato pseudonimizzato) e l’informazione aggiuntiva. L’identificazione – ossia l’attribuzione di un dato a una persona – è certamente possibile quando i due elementi vengono ricongiunti. Il solo risultato della trasformazione, isolatamente, non deve poter essere utilizzato per identificare una persona. Questa è una condizione necessaria per poter parlare di pseudonimizzazione, e discende direttamente dall’art. 4 del GDPR. Potremmo dire che si tratta di un vero e proprio “test di conformità” normativo che non discende dalla sentenza (e neppure dalle Linee Guida dell’EDPB[2]).
I due requisiti fondamentali del test di conformità
Dalla semplice lettura della norma si traggono due considerazioni immediate per il superamento di questo test di conformità: l’informazione aggiuntiva deve essere considerata “indisponibile” presso il soggetto ricevente (tamquam non esset) e il solo dato trasformato (rectius, pseudonimizzato) ricevuto non deve essere attribuibile a un interessato.
Ora, in astratto, esistono infinite varianti concettuali di questo processo, e se ne immaginiamo e realizziamo una versione semplice, o persino semplicistica, è probabile che essa non rispetti pienamente i requisiti della definizione di pseudonimizzazione presente nel Regolamento e che non superi questo test di conformità (ancor prima di leggere le motivazioni della sentenza).
L’esempio di Leonardo da Vinci
Su queste pagine si è avuto modo di riflettere su un esempio che si vuole oggi riproporre[3]. Immaginiamo un record come quello in tabella che contenga alcuni dati: luogo di nascita, data di nascita e professione a cui è associato un codice non intellegibile ricavato matematicamente dal nome di un certo interessato, attraverso una funzione unidirezionale (ad esempio, un hash a stato dell’arte) di modo che sia (ammettiamo) impossibile risalire all’identità partendo dal (solo) codice. Supponiamo inoltre che l’associazione tra nome e codice sia custodita nel caveau più sicuro del mondo, e che addirittura esista una legge che vieta di aprirlo. Possiamo pure ipotizzare che questa cassaforte inviolabile in fondo sia persino vuota e che l’associazione nome-codice sia del tutto assente in quanto distrutta. In un caso del genere, ogni tentativo di ripristinare il nome aprendo la cassaforte sarebbe certamente irragionevole o addirittura inutile.
| Codice individuale | Luogo di nascita | Data di nascita | Professione |
| xyz | Anchiano | 15 aprile 1452 | Scienziato e artista |
E tuttavia, se prendiamo solo le altre componenti del nostro record “Anchiano, 15 aprile 1452, Scienziato e artista” e le cerchiamo su Google, non è difficile riconoscere Leonardo da Vinci come il soggetto a cui il dato appartiene (è il primo risultato di ricerca).
Oltre la sicurezza dell’informazione
Questo esempio dimostra che l’efficacia della pseudonimizzazione, ai fini del superamento del test di conformità dell’art. 4 del GDPR, non dipende soltanto da quanto sia difficile o matematicamente irreversibile il collegamento tra codice e nome, oppure inviolabile la custodia della regola di trasformazione. In altri termini: non è solo un problema di sicurezza dell’informazione.
I due interventi ingegneristici necessari
Una trasformazione semplicistica – come nel caso del nostro Leonardo da Vinci – non soddisfa i requisiti della definizione dell’articolo 4 del GDPR e il record dell’esempio, seguendo il ragionamento del Giudice, non dovrebbe essere considerato una forma di dato pseudonimizzato, perché la porzione del dato “in chiaro” (Anchiano, 15 aprile 1452, Scienziato e artista) permette l’attribuzione all’interessato senza necessità di accedere alla regola di trasformazione nome-codice. Da qui il secondo messaggio chiave, utile anche per interpretare la sentenza SRB. Per evitare questo “effetto Leonardo da Vinci”, la pseudonimizzazione richiede almeno due interventi ingegneristici distinti sul dato: il primo riguarda certamente la sicurezza del processo di generazione del codice (sperabilmente) non intellegibile in cui alcuni attributi della persona sono trasformati e la unidirezionalità di questa trasformazione; il secondo concerne la parte di dato condivisa e intellegibile che deve subire un diverso processo di trasformazione per non essere attribuita a una persona senza l’informazione aggiuntiva.
Verso una nuova fase operativa
Qualsiasi realizzazione di questa trasformazione che non affronti e risolva questi due obiettivi ingegneristici non può dirsi un compiuto processo di pesudonimizzazione ai sensi dell’art. 4 del GDPR. È qualcos’altro e si fa fatica ad assimilare questo diverso tipo di trasformazioni al concetto di dato pseudonimizzato su cui la Corte si è espressa.
Il futuro della protezione dati
Siamo dunque, all’esito della sentenza, in una fase nuova in cui occorrerà fare chiarezza su questi concetti – in primis i concetti di dato pseudonimizzato e di informazione aggiuntiva – sulle loro caratteristiche e sulle modalità realizzative di questa trasformazione di dati personali di modo che il test di conformità dell’art 4 del GDPR sia efficacemente superato. L’EDPB, che ha già fornito linee guida interpretative sul concetto di pseudonimizzazione, è al lavoro per assistere i titolari in questo esercizio, che è sempre più essenziale per promuovere sviluppo economico e ricerca scientifica in un quadro di tutele, e ha annunciato uno Stakeholder Event in cui si confronterà con accademia, industria e società civile per giungere a una soluzione condivisa e funzionale[4].
La sentenza SRB è stata letta da molti come uno spartiacque. Chi scrive non lo crede, semmai auspica che essa possa aprire una nuova stagione per la protezione dei dati, nella quale si superi la vaghezza apodittica con cui alcuni concetti sono affrontati e davanti a ogni affermazione sulla natura personale o anonima dei dati, da qualsiasi parte formulata, sia sempre offerta una dettagliata spiegazione e non uno slogan. Hic Rhodus, hic salta sembra dire oggi a noi tutti il Giudice.
[1]https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=16452947
[2] https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en
[3] https://www.agendadigitale.eu/sicurezza/privacy/pseudonimizzazione-come-proteggere-innovazione-e-privacy-le-linee-guida-edpb/
[4] https://www.edpb.europa.eu/news/news/2025/anonymisation-and-pseudonymisation-take-part-stakeholder-event_en
