L’equivoco sui “dati anonimi” è molto frequente e nasconde una realtà normativa decisamente più sfaccettata, in particolare quando si parla di dati pseudonimizzati. Il confine tra ciò che è anonimo e ciò che è ancora riconducibile a una persona fisica è complesso, come dimostrano le definizioni del GDPR e le recenti pronunce giurisprudenziali.
Indice degli argomenti
Dati pseudonimizzati, dati anonimi e identificabilità dell’interessato
Sono tante, forse troppo, le volte in cui nel corso di una riunione ci si sente dire: “non ti preoccupare, tanto sono dati anonimi”.
Ecco, diciamo che la questione è un pochettino più complessa, poiché il confine tra dati personali, dati pseudonimizzati e dati anonimi può risultare, alla prova dei fatti, alquanto sfuggente.
Da un punto di vista giuridico il concetto di dato personale è chiaramente definito nel GDPR, che definisce anche il concetto di pseudonimizzazione e, al considerando 26, fornisce una pseudo-definizione di dato anonimo.
Oltre al GDPR, sono varie le fonti su cui basarsi per approfondire il concetto di identificabilità dell’interessato, in particolare le linee Guida dell’EDPB (European Data Protection Board) e le sentenze della Corte di giustizia dell’Unione europea sul tema.
Quindi la prima domanda da porsi è la seguente: un dato pseudonimizzato è un dato personale o un dato anonimo?
Anche ritornando al significato lessicale del termine, con “dato anonimo”, si intende qualcosa di non riconducibile in alcun modo ad una persona fisica. Il dato pseudonimizzato, invece, è stato tradizionalmente ricondotto al concetto di dato personale, che poi attraversa un particolare procedimento, che vedremo tra poco, che a tutti gli effetti è una misura di sicurezza tecnica.
Che cosa significa? Come riportato in modo chiaro dall’EDPB nel Summary 2025 (“pseudonymisation, when and how to apply it[1]”), la pseudonimizzazione altro non è che un modo per le organizzazioni di proteggere i dati personali rendendo più difficile ricollegarli alle persone: “Pseudonymisation is a way for organisations to protect personal data by making it more difficult to link it back to individuals”.
Il concetto di dato personale
Prima di tutto, partiamo dalle definizioni. Infatti ai sensi dell’art. 4, punto 1, del Reg. UE 2016/679 (“GDPR”) per dato personale si intende: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”
L’uso della terminologia “persona fisica identificata o identificabile” estende il perimetro di applicabilità del concetto di dato personale in quanto la persona fisica a cui le informazioni si riferiscono non deve essere per forza identificata,ma basta che sia anche solo potenzialmente identificabile.
Persona identificata o identificabile? Un esempio di distinzione tra i due termini la si può trovare nelle “Guidelines 01/2025 on Pseudonymisation”[2], adottate il 16 gennaio 2025, che chiariscono tale concetto: “17. To attribute data to a specific (identified) person means to establish that the data relate to that person. To attribute data to an identifiable person means to link the data to other information with reference to which the natural person could be identified. Such a link could be established on the basis of one or several identifiers or identifying attributes”.
Sostanzialmente l’EDPB (European Data Protection Board) chiarisce che, mentre l’attribuzione di dati a una persona specifica identificata significa stabilire che i dati si riferiscono a quella persona, invece attribuire dati a una persona identificabile significa collegare i dati ad altre informazioni in riferimento alle quali la persona fisica potrebbe essere identificata (insomma un collegamento tra i dati e altre informazioni tramite uno o più identificatori o attributi identificativi indiretti).
Ed è qui che entra in scena il concetto di pseudonimizzazione.
Infatti, l’art. 4, punto 5, del GDPR, definisce la pseudonimizzazione come: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
Sempre le sopra menzionate Linee Guida chiariscono che per “informazioni aggiuntive” devono intendersi informazioni il cui utilizzo consente il collegamento del dato ad una persona identificata o identificabile (“19. Additional information is information whose use enables the attribution of pseudonymised data to identified or identifiable persons. The generation, or use of additional information is an inherent part of the pseudonymising transformation.”).
Dunque, per essere in presenza di un dato pseudonimizzato non solo vi deve essere la presenza di informazioni aggiuntive ma che le stesse siano soggette a misure tecniche e organizzative in grado di assicurare che tali dati non siano attribuibili ad una persona fisica[3]. Infatti, in merito alla sicurezza del trattamento, l’art. 32 del GDPR al primo paragrafo disciplina “[…] il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; […]”.
Se da un lato è sempre sembrato corretto affermare che un dato pseudonimizzato fosse un dato personale a cui, quindi, si applica la normativa applicabile in materia di protezione dei dati personali, dall’altro lato, ci si è domandati se lo stesso dato avesse natura di dato personale per un soggetto che non abbia in alcun modo la possibilità di identificare l’interessato.
È utile in tal senso riportare il già menzionato Considerando 26 del GDPR che prevede come “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”
Sostanzialmente l’esercizio da fare per stabilire se una persona sia identificabile o meno dovrebbe passare da un’analisi dei mezzi adottati per identificare la persona fisica (es. costi e tempo) e dalla ragionevole probabilità che gli stessi vengano utilizzati per l’identificazione.
Esercizio questo, come ben noto agli addetti ai lavori, che non può essere fatto genericamente ma solo ed esclusivamente caso per caso. Ossia nel concreto.
La sentenza della Corte di Giustizia Europea
L’interpretazione tradizionale, recentemente, è stata tuttavia fortemente scossa dalla Corte di Giustizia dell’Unione Europea (di seguito anche la “Corte”) che è intervenuta sul tema con la sentenza del 4 settembre 2025 nella causa C-412/23[4]. È bene precisare da subito che la causa e la relativa decisione è fondata sull’applicazione del Reg. UE n. 2018/1725 (anche se i principi e rilievi emersi sono comunque applicabili anche ai trattamenti sottoposti al Reg. UE n. 2016/679).
Senza voler riportare per filo e per segno i fatti di causa, la Corte si è interrogata sul fatto se dati pseudonimizzati – trasmessi dalla Committente ad una società di consulenza – costituissero, in ogni caso, dati personali in ragione della sola esistenza di informazioni che consentono di identificare l’interessato (un codice alfanumerico).
In questo caso il tema centrale della vicenda riguarda se dati pseudonimizzati siano da considerarsi dati personali oppure sia possibile ricondurli a dati anonimi.
I dati pseudonimizzati sono dati personali. Ma è sempre vero?
Come chiarito dalla Corte, sebbene “l’uso dell’espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», che figura in tale disposizione e all’articolo 4, punto 1, del RGPD, riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata (sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 23 e giurisprudenza citata; del 7 marzo 2024, OC/Commissione, C‑479/22 P, EU:C:2024:215, punto 45 nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 130). […]”, tuttavia, affinché una informazione possa essere qualificata come dato personale, deve riguardare “una persona fisica identificata o identificabile”.
In sostanza: “[…] un esame vertente sul carattere identificato o identificabile della persona interessata dall’informazione di cui si tratta. […]”
Infatti, come sopra richiamato, il considerando 26 del GDPR specifica che “[…] i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. [..]”.
Appurato che la pseudonimizzazione non è altro che quel trattamento sottoposto a misure tecniche ed organizzative in grado di ridurre il rischio di mettere in correlazione un insieme di dati con l’identità degli interessati, sembrerebbe pacifico affermare un dato pseudonimizzato, ossia un dato personale che presuppone l’esistenza di informazioni che consentono di identificare l’interessato, non può essere considerato come dato anonimo.
E invece no. Ma perché?
Continua la Corte affermando che “74 Ciò non toglie che, in terzo luogo, il requisito di una conservazione separata delle informazioni identificative nonché di misure tecniche e organizzative «intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile», previsto all’articolo 3, punto 6, di detto regolamento, indica che la pseudonimizzazione ha segnatamente l’obiettivo di evitare che l’interessato possa essere identificato mediante i soli dati pseudonimizzati. 75 Infatti, a condizione che siffatte misure tecniche e organizzative siano effettivamente attuate e siano idonee a prevenire un’attribuzione dei dati di cui trattasi all’interessato, in modo tale che quest’ultimo non sia o non sia più identificabile, la pseudonimizzazione può incidere sul carattere personale di tali dati ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725. […] 77 Per quanto riguarda Deloitte, a cui il SRB ha trasmesso osservazioni pseudonimizzate, le misure tecniche e organizzative di cui all’articolo 3, punto 6, del regolamento 2018/1725 possono, come afferma in sostanza il SRB, avere l’effetto che, per tale società, le osservazioni in parola non presentino carattere personale. Ciò presuppone tuttavia, da un lato, che Deloitte non sia in grado di revocare tali misure in occasione di qualsiasi trattamento di dette osservazioni effettuato sotto il suo controllo. Dall’altro lato, dette misure devono effettivamente essere tali da impedire a Deloitte di attribuire le stesse osservazioni all’interessato anche mediante il ricorso ad altri mezzi di identificazione, quali una sovrapposizione con altri elementi, in modo tale che, per tale società, l’interessato non sia o non sia più identificabile”.
In sostanza, solo in presenza delle specifiche valutazioni e circostanze appena esposte, si potrebbe ammettere di essere in presenza di dati che non possono essere considerati come informazioni su una persona fisica identificabile. Sul punto si riporta due passaggi di rilievo della sentenza della Corte: “86 Ne consegue che, contrariamente a quanto sostiene il GEPD, non si deve ritenere che i dati pseudonimizzati costituiscano, in ogni caso e per qualsiasi persona, dati personali ai fini dell’applicazione del regolamento 2018/1725, in quanto la pseudonimizzazione può, a seconda delle circostanze del caso di specie, effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile. 88 Per quanto riguarda l’argomento del GEPD vertente sull’obiettivo di garantire un livello elevato di protezione dei dati personali, sebbene i termini dell’articolo 3, punto 1, del regolamento 2018/1725 riflettano l’obiettivo del legislatore dell’Unione di attribuire un significato ampio alla nozione di «dati personali», tale nozione non è illimitata, dal momento che la disposizione citata richiede segnatamente che l’interessato sia identificato o identificabile.”
Dunque, preso atto che la nozione di dato personale non può avere un significato illimitato anzi richiede come requisito “che l’interessato sia identificato o identificabile”, prosegue la Corte affermando che “In particolare, come rilevato dall’avvocato generale al paragrafo 58 delle sue conclusioni, il regolamento 2018/1725 contiene obblighi, quali l’obbligo di fornire informazioni all’interessato previsto all’articolo 15 di tale regolamento, il cui rispetto presuppone l’identificazione dell’interessato. Orbene, obblighi del genere non possono essere imposti a un soggetto che non sia affatto in grado di procedere a tale identificazione.”
Il carattere identificabile o meno dell’interessato: prospettive diverse
Il fatto che tali osservazioni pseudonimizzate, dal punto di vista del terzo (ossia della società di consulenza), non fossero riconducibili alla nozione di dato personale, legittimerebbe il titolare del trattamento a non menzionare tale destinatario nell’informativa rilasciata all’interessato?
La Corte spiega che la normativa applicabile stabilisce “le informazioni che il titolare del trattamento deve fornire all’interessato, qualora i dati personali siano raccolti presso quest’ultimo, precisando nel contempo che tali informazioni devono essere fornite a tale persona «nel momento in cui i dati personali sono ottenuti». […] 103 Per quanto riguarda, più in particolare, l’informazione relativa agli eventuali destinatari dei dati personali, di cui all’articolo 15, paragrafo 1, lettera d), di detto regolamento, si tratta di un’informazione da fornire, tra le altre, al momento della raccolta dei dati presso l’interessato.”
Infatti, il titolare del trattamento, in virtù dei principi di correttezza e trasparenza, deve informare l’interessato del trattamento effettuato, delle finalità che lo stesso intende perseguire nonché dell’eventuale obbligo di fornire i dati personali e delle conseguenze in caso di mancato conferimento, oltre a tutti gli obblighi di legge previsti sull’informativa privacy.
Ciò assicura all’interessato la consapevolezza di quello che sta fornendo, evitando quindi che i dati personali siano raccolti dal titolare contro la sua volontà “o addirittura trasferiti a terzi contro la sua volontà. […] 110 Ne consegue che, come rilevato dall’avvocato generale al paragrafo 69 delle sue conclusioni, l’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 si inserisce nel rapporto giuridico esistente tra l’interessato e il titolare del trattamento e, pertanto, ha ad oggetto le informazioni relative a tale persona quali trasmesse a detto titolare, quindi prima di qualsiasi eventuale trasferimento a un terzo. 111 Pertanto, si deve ritenere che, ai fini dell’applicazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, l’identificabilità dell’interessato debba essere valutata al momento della raccolta dei dati e dal punto di vista del titolare del trattamento. 112 Ne deriva che, come rilevato, in sostanza, dall’avvocato generale al paragrafo 79 delle sue conclusioni, l’obbligo di informazione incombente al SRB si applicava nella fattispecie a monte del trasferimento delle osservazioni in questione e a prescindere dal fatto che fossero o meno dati personali, dal punto di vista di Deloitte, dopo la loro eventuale pseudonimizzazione.”
In conclusione, un dato pseduonimizzato è un dato personale o un dato anonimo? Ai posteri l’ardua sentenza. Nell’attesa però il Comitato europeo per la protezione dei dati, con comunicato del 9 ottobre 2025[5], ha convocato un evento entro la fine dell’anno per ottenere contributi in merito ai temi di anonimizzazione e pseudonimizzazione, dopo il chiarimento fornito dalla CGUE sul concetto (e interpretazione) di dati personali. Rimangono invece fermi i dubbi relativi alle potenziali conseguenze per le aziende derivanti dalla sentenza della Corte.
Note
[1] https://www.edpb.europa.eu/system/files/2025-02/edpb_summary_202501_pseudonymisation_en.pdf
[2] https://www.edpb.europa.eu/system/files/2025-01/edpb_guidelines_202501_pseudonymisation_en.pdf
[3] Linee Guida 01/2025: “[…] 48 Pseudonymisation can also be used as an appropriate measure for the implementation of the data minimisation, confidentiality, and possibly also purpose limitation principles if data are to be transmitted to and processed by an external recipient, be it a processor or a controller. A typical objective is to prevent the recipient and the persons acting under its authority from learning identifying information they do not need for the data processing at hand. Additionally, the aim may be to ensure that the data subjects are not treated differently outside the context of the planned processing on the basis of the data received. Another objective might be to prevent that data is transmitted and then processed by the recipient for some incompatible purposes (like personalised advertisement) that would involve a data linkage in the recipient’s hands that is forestalled by pseudonymisation. For this, the pseudonymising controller sets up the pseudonymisation domain to include all intended recipients of the pseudonymised data. […]”
[4]https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=16795348
[5] https://www.edpb.europa.eu/news/news/2025/anonymisation-and-pseudonymisation-take-part-stakeholder-event_en
