Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

dati pseudonimizzati

Dati sanitari: cosa cambia per l’innovazione Ue dopo la sentenza Deloitte

Home Sanità digitale
Partecipa al dibattito
Indirizzo copiato

La Corte di Giustizia UE ha stabilito nuovi criteri per qualificare i dati pseudonimizzati, con impatti significativi sull’innovazione sanitaria. La sentenza introduce un approccio relativo alla valutazione della re-identificabilità, aprendo opportunità per Real World Evidence e Digital Medicine

Pubblicato il 5 gen 2026
Diego Fulco

Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati

pseudonimizzazione dei dati Data Act e PMI governance algoritmica dati pseudonimizzati in sanità

Il comparto dell’innovazione sanitaria ha accolto con interesse la sentenza della Corte di Giustizia dell’UE del 4 settembre 2025 relativa alla messa a disposizione di Deloitte, da parte del SRB (Single Resolution Board), agenzia europea responsabile della gestione delle crisi bancarie, di dati pseudonimizzati di azionisti e creditori di una banca in crisi.

Dati pseudonimizzati, cosa cambia davvero dopo la sentenza della Corte Ue

La sentenza che cambia l’interpretazione del GDPR

Infatti, nel dire quando un dato non può più essere qualificato come “dato personale“, la Corte è arrivata a conclusioni diverse da quelle del Garante Europeo (EDPS) e del Comitato Europeo (EDPB). Più precisamente, ha affermato che uno stesso dato pseudonimizzato può essere considerato o meno come “dato personale” relativamente al singolo soggetto che lo tratta, con ricadute diverse a seconda che tale soggetto abbia o no le informazioni che permetterebbero di ricondurre quel dato a una specifica persona.

Dall’approccio assoluto a quello relativo nella valutazione dei dati

Nonostante l’apparente continuità con la sua precedente giurisprudenza, la Corte di Giustizia dell’UE ha dato del GDPR una lettura inedita. Infatti, fino a questa sentenza, si è ritenuto che i dati pseudonimizzati siano “dati personali” non solo per chi dispone delle informazioni che permetterebbero di ricondurli a persone, ma anche per terzi che ricevono questi dati ma che non hanno la possibilità di decodificarli. Si è detto che la pseudonimizzazione rende, sì, adeguato il livello di sicurezza dei dati personali, ma non può sgravare dagli adempimenti del GDPR né il soggetto che dispone delle informazioni che permetterebbero di re-identificare le persone, né l’eventuale terzo che – per usarli in autonomia – riceve da quel soggetto i dati pseudonimizzati, senza però avere le informazioni che gli permetterebbero di re-identificare le persone.

Responsabilità e accountability nella gestione dei dati pseudonimizzati

L’approccio seguito finora dalle Autorità di controllo è stato “assoluto”: i dati pseudonimizzati sono stati considerati “dati personali” ogni volta che c’è qualcuno – interno o esterno all’ente che li usa – che potrebbe re-identificare le persone cui si riferiscono. La sentenza segue un approccio “relativo”: la natura personale o meno dei dati deve essere valutata in base alle concrete modalità di re-identificazione del soggetto che li usa.

Nessun automatismo: resta centrale la valutazione del rischio

È importante chiarire che questa sentenza della Corte di Giustizia dell’UE non crea nessun automatismo, nessuna soluzione semplice per problemi complessi. La valutazione dell’assenza di un rischio di re-identificazione resta un esercizio di accountability a carico di chi manda e/o di chi riceve i dati pseudominizzati; l’Autorità (da noi, il Garante per la protezione dei dati personali) può non condividere l’esito di questa valutazione e contestarla, adottando provvedimenti di natura coercitiva, inibitoria o sanzionatoria.

Il considerando 26 del GDPR come punto di riferimento

Punto di riferimento rimane il considerando (26) del GDPR, secondo cui «per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato».

Efficacia immediata e possibilità di impugnazione dei provvedimenti

Detto ciò, come ogni sentenza della Corte di Giustizia dell’UE, anche questa è inappellabile, ha operatività immediata negli ordinamenti degli Stati dell’UE e vincola alla loro interpretazione i giudici degli Stati dell’UE. Adesso, chi è in grado di escludere in modo robusto il rischio di re-identificazione ha chance di impugnare vittoriosamente davanti a un giudice un eventuale provvedimento dell’Autorità con cui gli si contesta di avere considerato e/o fatto considerare al soggetto terzo come “anonimi” dei dati che invece erano “personali”.

La proposta di revisione normativa e il Digital Omnibus

Peraltro, nella recente proposta di revisione organica delle normative europee sui dati (“Digital Omnibus“), la Commissione UE chiede di assorbire quest’interpretazione della Corte di Giustizia dell’UE nel testo del GDPR.

Opportunità per l’innovazione sanitaria con i Big Data

Spostiamoci, allora, al comparto dell’innovazione in sanità, quella che lavora coi Big Data. In essa, può accadere che un soggetto (che li ha) condivida con un terzo (che li utilizzerà in autonomia) dati pseudonimizzati. Come intuibile considerato il contesto di questa ricerca, si tratta di dati sanitari, che sono utilissimi, ad esempio, per addestrare sistemi di AI, anche se non riconducibili a persone.

Talora, il terzo non è in grado di risalire all’identità delle persone cui tali dati si riferiscono e tuttavia – laddove questi dati siano considerati anche nel suo caso come “dati personali” – deve affrontare, con uno sforzo sproporzionato, tutti gli adempimenti prescritti dal GDPR. Sottolineiamo “talora”: nella ricerca sanitaria l’analisi e l’elaborazione di dati pseudonimizzati sono la regola, ma l’ambito che a nostro avviso può trarre vantaggio dalla sentenza della Corte di Giustizia dell’UE è limitato; coincide, cioè, esclusivamente con situazioni nelle quali un soggetto mette dati pseudonimizzati a disposizione di un altro soggetto da lui autonomo e che non lavora per lui.

Ambiti esclusi: quando la sentenza non si applica

Dopo la sentenza non cambia nulla né per chi tratta dati pseudonimizzati per sé e da solo, né per chi esternalizza a un terzo suo fornitore di servizi il trattamento di dati pseudonimizzati. Inoltre, escludiamo radicalmente che la sentenza della Corte di Giustizia UE semplifichi l’applicazione del GDPR nella sperimentazione clinica del farmaco.

Infatti, nel monitoraggio, svolto i proprio oppure esternalizzato a CRO, lo Sponsor può – sia pure in casi rari e indirettamente – trovarsi nelle condizioni di identificare i partecipanti al progetto di ricerca. Inoltre, per garantire la qualità della ricerca, lo Sponsor deve poter chiedere al Centro verifiche nella cartella clinica di singoli partecipanti, che aumentano il rischio di re-identificazione.

Real World Evidence: i soggetti che possono beneficiare

A nostro avviso, due ambiti nei quali un’applicazione prudente del criterio introdotto dalla sentenza della Corte di Giustizia dell’UE potrebbe portare cambiamenti sono la Real World Evidence e la Digital Medicine.

Nella Real World Evidence, potrebbero beneficiare della sentenza soggetti come:

  • aziende di servizi IT che – per fornire soluzioni di ingegneria clinica o di gestione dati a strutture sanitarie – raccolgono Real World Data e li trattano in autonomia;
  • aziende di servizi per la salute che – per fornire ad aziende farmaceutiche analisi e insight utili ad accelerare la ricerca, a supportare decisioni cliniche e commerciali – raccolgono Real World Data e li trattano in autonomia;
  • aziende farmaceutiche che nel contesto del market access – per fornire agli enti regolatori prove aggiuntive su efficacia, sicurezza e impatto dei farmaci – integrano i dati della sperimentazione clinica del farmaco con Real World Data;
  • enti non profit che fanno ricerca diversa dai trial clinici randomizzati e controllati (RCT).

Digital Medicine: player tecnologici e farmaceutici coinvolti

Nella Digital Medicine, potrebbero beneficiare della sentenza soggetti come:

  • grandi aziende tecnologiche come Apple, Google, Microsoft che sviluppano terapie digitali (DTX), soluzioni di intelligenza artificiale per la diagnostica e sistemi di gestione dei dati sanitari;
  • aziende farmaceutiche che si sono attrezzate a utilizzare le innovazioni digitali come l’intelligenza artificiale per migliorare i risultati per i pazienti e per semplificare la pratica clinica.

I Real World Data necessari per modelli e servizi innovativi

Per mettere a punto i loro modelli e servizi, i player attivi in entrambi contesti hanno l’esigenza di raccogliere e di trattare su larga scala (con modalità non identificative degli interessati) Real World Data come:

  • dati contenuti nelle SDO;
  • dati di Pronto Soccorso;
  • dati su farmacia e dispensazione;
  • dati provenienti da RX, TAC e risonanze magnetiche;
  • dati sulle richieste di risarcimento;
  • dati da dispostivi indossabili e/o connessi;
  • dati da registri per patologia.

Analisi del rischio di re-identificazione: i requisiti fondamentali

In entrambi i contesti, uno qualsiasi dei soggetti sopra indicati – prima di qualificare come “non personali” i dati sanitari pseudonimizzati che riceve da altri soggetti – dovrà fare una solidissima analisi del rischio di re-identificazione che lo porti ad escluderla. Anche a beneficio di chi gli mette a disposizione i dati pseudonimizzati, dovrà documentare perché non sarà mai ragionevolmente in grado di identificare le persone cui le informazioni si riferiscono e in particolare:

1) l’inesistenza di un suo interesse economico o scientifico alla re-identificazione,

2) i motivi per cui i costi per la re-identificazione sarebbero per lui insostenibili,

3) l’assenza di altre fonti di informazioni che gli permetterebbero di identificare le persone i cui dati sono stati pseudonimizzati,

4) le tecnologie utilizzate per rendere la re-identificazione impossibile.

Il modello veneto e le metodologie di anonimizzazione

Finora, in Italia, la fonte di riferimento sul “come” svolgere quest’attività – per quanto non vincolante – è stato l’Allegato tecnico al Codice di condotta della Regione Veneto per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica. In estrema sintesi, dall’Allegato tecnico si ricava che la re-identificazione è ragionevolmente impossibile se si ricorre ad un’applicazione combinata specifica di varie metodologie, quali l’eliminazione di alcuni parametri, la randomizzazione mediante aggiunta di rumore statistico, la generalizzazione mediante aggregazione e k-anonimato.

In aggiunta, l’Allegato tecnico prescrive alle strutture ospedaliere ed universitarie della Regione Veneto che vogliono anonimizzare dati sanitari per i fini sopra indicati di tenere traccia di eccezioni/casi particolari e si ripete la valutazione del rischio di re-identificazione al raggiungimento dell’1% di eccezioni/casi particolari sul totale di record inclusi nella banca dati.

La valutazione della Corte: evidenze fattuali senza vincoli metodologici

È importante notare che – nella sentenza – la Corte di Giustizia dell’UE non ha valutato se Deloitte (soggetto destinatario dei dati pseudonimizzati) avesse seguito un’applicazione combinata delle metodologie sopra descritte; al contrario, ha ritenuto che per Deloitte i dati non fossero «personali» sulla base di mere evidenze fattuali, senza nessuna verifica di come tutto ciò fosse stato analizzato e documentato.

Tecnologie avanzate: il confidential computing come soluzione

Ferma restando l’utilità dell’Allegato tecnico al Codice di condotta citato, a noi pare che dopo la sentenza della Corte di Giustizia dell’UE sia il soggetto che mette a disposizione i dati pseudonimizzati sia il soggetto che li riceve e che vuole considerarli (per sé) anonimi dovranno chiedersi: “ci sono mezzi concretamente impiegabili per ottenere la reidentificazione?”.

Se le tecnologie utilizzate impediscono concretamente al soggetto destinatario dei dati pseudonimizzati una re-identificazione, per lui quei dati non sono personali. Per escludere la re-identificabilità, si potrebbe investire su architetture basate sulla combinazione di tre tecniche di cifratura dei dati: quella dei dati a riposo (cifratura dell’archiviazione), quella dei dati in transito (cifratura della trasmissione) e quella dei dati in uso (confidential computing o elaborazione in ambiente isolato).

Come funziona il confidential computing per impedire la re-identificazione

Il confidential computing si caratterizza perché isola una porzione dell’hardware e della memoria, creando un ambiente sicuro per il trattamento (definito “ambiente di esecuzione fiduciaria” o “TEE“). Il trattamento avviene all’interno di enclave dove:

a) i dati rimangono cifrati anche durante l’elaborazione;

b) la memoria è isolata dal sistema operativo e dal virtual machine monitor;

c) i tentativi di accesso attivano meccanismi di protezione a livello hardware.

Quando si ricorre al confidential computing, la probabilità di impedire la re-identificazione aumenta molto grazie alle seguenti circostanze:

i) gli amministratori di sistema non possono accedere alla memoria dell’enclave;

ii) i cloud provider non possono controllare il trattamento;

iii) la soluzione stessa non ha visibilità sui dati;

iv) il destinatario dei dati riceve output aggregati;

v) c’è pieno controllo del codice all’interno dell’enclave;

vi) l’architettura tecnica impedisce l’accesso tramite limiti crittografici;

vii) prima di elaborare i dati, l’enclave dimostra la sua integrità attraverso un’attestazione crittografica.

Verso un uso più ampio dei dati sanitari per l’innovazione

Nel febbraio 2022, il Report on secondary use of health data through European case studies redatto nell’ambito del Progetto TEHDAS, evidenziava – fra gli ostacoli interpretativi all’uso secondario dei dati sanitari – l’assenza di un’interpretazione comune a livello europeo di ciò che costituisce una “anonimizzazione sufficiente” per trasformare i dati personali in dati non personali. La sentenza della Corte di Giustizia dell’UE del settembre 2025 è una risposta. Naturalmente, quella che abbiamo suggerito è una fra le possibili strade.

L’importante è incrementare l’uso su larga scala di quei Real World Data che possono dare un contributo inestimabile alla prevenzione delle malattie, alla qualità e sicurezza delle cure, alla programmazione sanitaria, al miglioramento dei servizi sanitari, alla medicina personalizzata, allo sviluppo di nuovi prodotti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

F
Diego Fulco
Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • intelligentizzazione dell'ia multitasking digitale ia e debito cognitivo

  • innovazione in medicina

    Progetto SPARC: mappare il nervo vago con l'IA per terapie avanzate

    14 Mar 2025

    di Pietro Veglianese

    Condividi
  • Telemedicina che cos'è

  • assistenza e monitoraggio

    Telemedicina, cos'è e come farla in Italia: tecnologie e finalità, un modello possibile

    23 Ott 2025

    di Domenico Marino, Antonio Miceli, Demetrio Naccari Carlizzi e Giuseppe Quattrone

    Condividi
  • digitalizzazione sanità Calabria Legge di Bilancio sanità 2026; Aziende Ict in sanità: le ricette per migliorare la qualità delle cure e rendere più sostenibile il sistema sanitario IA nei sensori medici

  • sanità digitale

    Dalla diagnosi al monitoraggio: l’AI entra nei sensori medici

    28 Nov 2025

    di Rosario Farina

    Condividi
0
Lascia un commento, la tua opinione conta.x