Dopo la sentenza della CGUE del 4 settembre 2025 (causa C-413/23 P – c.d. sentenza Deloitte) si è aperto un ampio dibattito su come anonimizzare i dati e su quali sono i punti critici ancora da affrontare.
Come noto infatti la sentenza ha stabilito tre principi fondamentali:
- le opinioni personali costituiscono dati personali per loro natura;
- la qualificazione dei dati pseudonimizzati come personali dipende dalla prospettiva del destinatario;
- l’obbligo informativo del titolare sorge al momento della raccolta, indipendentemente dalla successiva qualificazione del dato presso il ricevente.
Come ho già avuto modo di commentare su questa rivista, la pronuncia, specie sulla qualificazione dei dati pseudonimizzati trasferiti a terzi, si discosta in maniera importante dalla posizione tradizionale delle autorità di protezione dati (che hanno sempre considerato i dati pseudonomizzati come invariabilmente personali).
Il nuovo approccio della CGUE considera invece la possibilità che i dati pseudonimizzati possano essere considerati anonimi per un soggetto terzo che non disponga dei mezzi ragionevolmente utilizzabili per la re-identificazione (paragrafi 76-77): tale nuova visione chiama le Autorità a rivedere le proprie posizioni.
Ciò vale anche per l’EDPB che si trova oggi nella condizione di dover riconsiderare la propria posizione, espressa nelle Linee guida 01/2025 (16 gennaio 2025) ove si afferma che i dati pseudonimizzati restano sempre dati personali.
Già alla Global Privacy Assembly di Seoul nel settembre 2025, l’EDPB aveva annunciato l’aggiornamento delle linee guida sulla pseudonimizzazione e l’adozione di nuove linee guida sull’anonimizzazione ed il 12 dicembre 2025 poi, in coerenza con gli impegni della Dichiarazione di Helsinki sul rafforzamento del dialogo con gli stakeholder, lo stesso EDPB ha organizzato un evento da remoto con 115 partecipanti tra associazioni di categoria (61), studi legali (17), accademici (14), ONG (8), settore pubblico (7) e altre organizzazioni (8).
I partecipanti, suddivisi in quattro breakout room, hanno potuto esprimere le proprie posizioni su ciascuno dei quattro quesiti proposti dall’EDPB in un Discussion paper inviato in anticipo.
Ecco cosa è emerso dall’incontro.
Indice degli argomenti
Anonimizzazione dopo la sentenza Deloitte: contesto e nodi interpretativi
Come noto infatti la sentenza ha stabilito tre principi fondamentali: le opinioni personali costituiscono dati personali per loro natura; la qualificazione dei dati pseudonimizzati come personali dipende dalla prospettiva del destinatario; l’obbligo informativo del titolare sorge al momento della raccolta, indipendentemente dalla successiva qualificazione del dato presso il ricevente.
Come ho già avuto modo di commentare su questa rivista (Dati personali, addio dogmi: perché la sentenza Deloitte è storica), la pronuncia, specie sulla qualificazione dei dati pseudonimizzati trasferiti a terzi, si discosta in maniera importante dalla posizione tradizionale delle autorità di protezione dati (che hanno sempre considerato i dati pseudonomizzati come invariabilmente personali).
Impatti sulle posizioni delle Autorità e sulle linee guida EDPB
Il nuovo approccio della GUCE considera invece la possibilità che i dati pseudonimizzati possano essere considerati anonimi per un soggetto terzo che non disponga dei mezzi ragionevolmente utilizzabili per la re-identificazione (paragrafi 76-77): tale nuova visione chiama le Autorità a rivedere le proprie posizioni.
Ciò vale anche per l’EDPB che si trova oggi nella condizione di dover riconsiderare la propria posizione, espressa nelle Linee guida 01/2025 (16 gennaio 2025) ove si afferma che i dati pseudonimizzati restano sempre dati personali.
Già alla Global Privacy Assembly di Seoul nel settembre 2025, l’EDPB aveva annunciato l’aggiornamento delle linee guida sulla pseudonimizzazione e l’adozione di nuove linee guida sull’anonimizzazione ed il 12 dicembre 2025 poi, in coerenza con gli impegni della Dichiarazione di Helsinki sul rafforzamento del dialogo con gli stakeholder, lo stesso EDPB ha organizzato un evento da remoto con 115 partecipanti tra associazioni di categoria (61), studi legali (17), accademici (14), ONG (8), settore pubblico (7) e altre organizzazioni (8).
I partecipanti, suddivisi in quattro breakout room, hanno potuto esprimere le proprie posizioni su ciascuno dei quattro quesiti proposti dall’EDPB in un Discussion paper inviato in anticipo.
Ecco cosa è emerso dall’incontro.
La valutazione contestuale dell’identificabilità: ruoli e prospettive
Il primo quesito posto dall’EDPB parte dalla affermazione della Corte in forza della quale l’identificabilità o meno deve essere valutata caso per caso (paragrafi 100-111): l’EDPB chiede dunque quali potrebbero essere i casi d’uso per i quali potrebbero essere utili orientamenti relativi alle modalità di valutazione delle specifiche prospettive.
L’EDPB chiede inoltre se esistono disposizioni specifiche del GDPR che pongono particolari difficoltà per tale valutazione e quali questioni aperte rimangono nella pratica.
Titolare e responsabile: il terreno più accidentato
La risposta degli stakeholder è stata netta: il rapporto titolare-responsabile del trattamento rappresenta il terreno più accidentato. E le posizioni emerse riflettono una frattura profonda.
Una parte infatti significativa dei partecipanti ha sostenuto che la valutazione di identificabilità debba essere condotta dalla prospettiva del responsabile: se il titolare applica una pseudonimizzazione efficace e conclude, a seguito di un’adeguata valutazione, che quel responsabile non dispone dei mezzi per re-identificare gli interessati, i dati dovrebbero considerarsi anonimi nelle sue mani. È una posizione coerente con l’impostazione della sentenza Deloitte, che ha riconosciuto la possibilità che i dati pseudonimizzati non siano personali per il destinatario privo della chiave di re-identificazione.
Altri hanno invece obiettato che il responsabile agisce per conto del titolare ai sensi dell’art. 28 GDPR e che, pertanto, la prospettiva del titolare non può essere scorporata da quella del responsabile. Chi tratta quindi dati su istruzione altrui non può essere valutato come se fosse un soggetto autonomo.
Contratti ex art. 28 e limiti dell’affidamento contrattuale
La questione non è puramente teorica ma ha invece conseguenze operative immediate: se i dati non sono personali per il responsabile, occorre comunque stipulare un accordo ex art. 28 GDPR? Molti partecipanti hanno chiesto chiarezza su questo punto.
Sempre sui contratti, alcuni ritengono che le obbligazioni contrattuali possano fungere da presidio contro la re-identificazione, mentre altri mettono in guardia dall’eccessivo affidamento sui soli contratti, soprattutto considerando la limitata visibilità che il titolare ha sui metodi e sulle capacità effettive del responsabile.
Contitolarità, terzi e dimensione temporale del rischio
Il quadro si complica ulteriormente negli scenari di contitolarità ex art. 26 GDPR e nella condivisione di dati tra titolari autonomi o verso terzi: qui le diverse capacità di accesso ai dati e le differenti risorse di identificazione rendono la ripartizione delle responsabilità particolarmente ardua.
Un aspetto emerso con forza è la dimensione temporale della valutazione: l’identificabilità non è statica. La successiva condivisione dei dati, la combinazione con altri dataset, i cambiamenti nei ruoli di trattamento o la sopravvenienza di nuove informazioni possono alterare radicalmente il profilo di rischio.
È un punto che l’EDPB dovrà affrontare con attenzione, perché impone ai titolari un obbligo di monitoraggio continuo che rischia di risultare sproporzionato, specialmente per le organizzazioni di dimensioni ridotte.
Settori che chiedono indicazioni operative e norme più problematiche
I settori poi che reclamano indicazioni operative con maggiore urgenza, sono quelli della ricerca clinica, i consorzi di ricerca sanitaria e la pubblicità online.
Quest’ultimo ambito ha generato un confronto acceso: da una parte chi chiede all’EDPB di riconsiderare il criterio del singling out, dall’altra chi insiste sul fatto che gli identificativi online restano dati personali nella misura in cui consentono di agire sugli individui — ad esempio attraverso la pubblicità mirata.
Si è inoltre chiesto di chiarire il ruolo dei data trustee e delle terze parti fidate, nonché le regole per la condivisione infragruppo.
Sul piano normativo, le disposizioni GDPR segnalate come più problematiche sono gli artt. 6, 28, 32-34 e i Capitoli III (diritti degli interessati) e V (trasferimenti verso paesi terzi).
Merita particolare attenzione la richiesta, avanzata da diversi partecipanti, di riesaminare la posizione dell’EDPB sull’art. 11 GDPR (trattamento che non richiede l’identificazione) così come espressa nelle Linee guida 01/2025: un segnale che il mercato percepisce un disallineamento tra l’impostazione dell’EDPB e l’approccio contestuale della Corte.
Si è discusso anche se sia necessaria una base giuridica autonoma ex art. 6 GDPR per la trasmissione di dati dopo la pseudonimizzazione o per l’anonimizzazione stessa — un tema che, se risolto in senso affermativo, aggiungerebbe un ulteriore livello di complessità per gli operatori.
Infine, una nota trasversale: i partecipanti hanno chiesto con insistenza orientamenti pratici e metodologici, non mere enunciazioni di principio. La valutazione contestuale caso per caso, per quanto giuridicamente corretta, rischia di tradursi in un onere insostenibile senza una metodologia chiara e replicabile.
Alcuni hanno proposto un approccio basato su principi, proporzionalità e rischio; altri hanno ricordato che i diritti degli interessati non possono essere sacrificati sull’altare della semplificazione.
È il dilemma che l’EDPB dovrà sciogliere nelle prossime linee guida.
Il mutamento di natura del dato: trasmissioni a terzi e paesi terzi
Il secondo quesito affrontava il tema della possibilità che il dato cambi natura (da anonimo a personale) a seguito di trasmissioni tra soggetti diversi, in linea con quanto affermato dalla CGUE nel caso Scania (C-319/22, par. 49) e nella stessa sentenza Deloitte (paragrafi 84-85).
I partecipanti hanno chiarito che per “potenziali trasmissioni” si dovrebbero intendere solo quelle effettive o ragionevolmente prevedibili, non quelle meramente teoriche.
È stato sottolineato il rischio di imporre un onere eccessivo ai titolari, che non possono realisticamente conoscere tutte le capacità di identificazione dei soggetti lungo la catena di trasmissione.
Al contempo, però, altri hanno richiamato il principio di accountability: la mancata conoscenza non può costituire una scusa per ignorare i rischi.
Clausole contrattuali e limiti nelle asimmetrie informative
Un punto molto discusso ha riguardato le clausole contrattuali: molti le considerano un elemento importante della valutazione di identificabilità, ad esempio per garantire che i dati siano utilizzati conformemente alle indicazioni del trasmittente.
Altri, tuttavia, ne hanno evidenziato i limiti, specialmente in situazioni di asimmetria di potere contrattuale o informativo.
Trasferimenti extra UE e coordinamento con altre norme digitali
Sul fronte dei trasferimenti verso paesi terzi, le posizioni sono state altrettanto divergenti: alcuni ritengono che il trasferimento internazionale non incida sull’identificabilità, mentre altri insistono sull’applicazione del Capitolo V GDPR ogni volta che vengano trasferiti dati pseudonimizzati.
È significativo che diversi stakeholder abbiano sollecitato l’EDPB a considerare il coordinamento con altre normative digitali europee che fanno riferimento alla pseudonimizzazione o all’anonimizzazione: il Data Act, lo European Health Data Space (EHDS) e il Digital Markets Act (DMA).
Si tratta di un profilo cruciale, considerato che l’art. 66 del Regolamento EHDS prevede che l’accesso ai dati sanitari elettronici per uso secondario avvenga in formato anonimizzato o pseudonimizzato.
I mezzi ragionevolmente utilizzabili: misure legali, organizzative e tecniche
Il terzo quesito chiedeva quali misure il titolare possa adottare per limitare i “mezzi ragionevolmente utilizzabili” (means reasonably likely to be used – MRLTBU), concetto cardine della sentenza Deloitte (paragrafi 79-85) e del Considerando 26 GDPR.
Tre categorie di misure: legali, organizzative e tecniche
I partecipanti hanno identificato tre categorie complementari di misure: legali (incluse quelle contrattuali), organizzative e tecniche.
Tra le misure legali sono stati menzionati gli accordi di trattamento dati, i divieti contrattuali di re-identificazione, gli obblighi di notifica in caso di ulteriore condivisione e gli NDA.
Le misure organizzative comprendono il controllo degli accessi, la supervisione degli usi secondari e un robusto framework di audit, inclusi audit di terze parti con rivalutazione periodica ogni 2-3 anni.
PETs, clean room, TEE e dati sintetici
Le misure tecniche richiamate includono le Privacy Enhancing Technologies (PETs), in particolare la crittografia (omomorfa e classica), la tokenizzazione, il calcolo multi-party, gli ambienti di esecuzione sicura (trusted execution environments), le data clean room e la generazione di dati sintetici.
I partecipanti hanno concordato su un punto fondamentale: le PETs, pur essendo utili, non sono sufficienti da sole a escludere i dati dall’ambito di applicazione della normativa sulla protezione dei dati personali.
Mezzi leciti vs attacchi informatici nell’assessment
Allo stesso modo, è emerso un dibattito sulla rilevanza delle minacce ipotetiche e degli attacchi informatici: alcuni ritengono che solo i mezzi leciti, proporzionati e prevedibili debbano essere considerati, escludendo gli attacchi hacker dall’assessment; altri hanno insistito sul fatto che gli attacchi informatici non possono essere ignorati nella valutazione del rischio.
Un aspetto particolarmente rilevante poi per il settore sanitario è l’esigenza di linee guida pratiche e non meramente teoriche: gli stakeholder hanno chiesto all’EDPB di fornire esempi concreti di pratiche lecite, evitando approcci eccessivamente prescrittivi ma garantendo al contempo un livello adeguato di orientamento.
La tensione tra il principio di accountability e la fattibilità pratica è stata più volte evidenziata.
Le sfide dei dati pseudonimizzati: quando il titolare non può decidere
Il quarto quesito interrogava i partecipanti sui casi concreti in cui un titolare che tratti dati pseudonimizzati abbia difficoltà a determinare se essi siano personali per un dato destinatario.
Sono emersi due scenari principali.
Scenario 1: catene stratificate e asimmetrie di capacità
Il primo riguarda la difficoltà di identificare tutti i destinatari e valutarne i mezzi: si pensi ai responsabili che utilizzano sub-responsabili coperti da segreto commerciale, ai destinatari non noti in anticipo o che cambiano nel tempo, alle catene di trattamento molto stratificate (consorzi di ricerca, pubblicità online) e soprattutto alle situazioni di forte asimmetria tra il titolare e i destinatari finali.
Quest’ultimo punto è di particolare rilevanza nell’era dell’intelligenza artificiale: i grandi provider cloud e i fornitori di soluzioni di AI dispongono di capacità di re-identificazione enormemente superiori a quelle di un titolare sanitario o di un ente di ricerca.
Scenario 2: complessità intrinseca dei dati e rarità dei casi “pratici”
Il secondo scenario attiene alla complessità intrinseca dei dati stessi: i dati genetici, ad esempio, presentano profili di identificabilità molto diversi a seconda del destinatario.
Alcuni partecipanti hanno espresso la convinzione che il caso Deloitte apra solo la possibilità teorica che i dati pseudonimizzati siano anonimi per il destinatario, ma che nella pratica tali casi saranno estremamente rari, poiché diverse forme di identificazione (singling out, collegamento, inferenza) restano possibili finché esista una qualche forma di individuazione.
Consenso su un punto: nessun rischio zero
Il report evidenzia anche il consenso unanime su un punto: non esiste una soluzione a rischio zero.
Le situazioni “aperte” (come la pubblicazione di dati) richiedono un livello di resistenza alla re-identificazione significativamente più elevato.
Tra le misure tecniche specifiche, i partecipanti hanno menzionato la crittografia omomorfa con gestione adeguata delle chiavi, il calcolo multi-party, le API per l’accesso controllato ai dati e l’importanza della minimizzazione e della cancellazione dei dati non necessari, in piena coerenza con i principi fondamentali degli artt. 5 e 25 GDPR.
Implicazioni operative per sanità, ricerca, sperimentazioni e AI
Qualche valutazione dopo la lettura del documento.
Per gli operatori del settore sanitario, le organizzazioni di ricerca, i promotori di sperimentazioni cliniche e gli sviluppatori di sistemi di AI, che intendono procedere alla anonimizzazione dopo la Deloitte, si trovano di fronte a molteplici implicazioni pratiche e concrete.
In primo luogo, è necessario valutare le attuali pratiche di pseudonimizzazione e effettuare una analisi del rischio di re-identificazione alla luce dell’approccio contestuale della sentenza Deloitte.
Occorre in sostanza documentare la valutazione dei mezzi ragionevolmente utilizzabili per la re-identificazione, tenendo conto del contesto specifico di ciascun destinatario.
Contrattualistica: divieti, notifica, audit e approccio integrato
In secondo luogo, la contrattualistica deve essere aggiornata. I contratti con i responsabili del trattamento e con i destinatari dei dati dovrebbero includere clausole specifiche sul divieto di re-identificazione, obblighi di notifica in caso di ulteriore condivisione e diritti di audit.
Tuttavia, come emerso dal dibattito, i contratti da soli non bastano: occorre un approccio integrato che combini misure legali, organizzative e tecniche.
Misure tecnologiche e pianificazione dei flussi dati
In terzo luogo, l’attenzione alla dimensione tecnologica è imprescindibile. L’adozione di PETs adeguate, la gestione sicura delle chiavi crittografiche e la predisposizione di ambienti protetti per il trattamento dei dati (data clean room, trusted execution environments) devono entrare stabilmente nella pianificazione dei flussi di dati, specialmente nel contesto dello sviluppo di sistemi di AI medicale.
Digital Omnibus Act e possibile modifica dell’art. 4 GDPR
Aspetteremo poi il Digital Omnibus Act, proposto dalla Commissione europea nel novembre 2025, che prevede una modifica dell’art. 4, punto 1, GDPR per chiarire proprio che un’informazione relativa a una persona fisica non costituisce dato personale per un soggetto che non dispone dei mezzi ragionevolmente utilizzabili per l’identificazione.
Questa proposta legislativa si muove nella stessa direzione della sentenza Deloitte e potrebbe, se adottata, modificare sostanzialmente il quadro normativo di riferimento.
Una sfida complessa: opportunità e incertezza
In ogni caso è, indiscutibilmente una sfida complessa. In particolare nel settore sanitario e life science, dove l’anonimizzazione e la pseudonimizzazione sono strumenti essenziali per la ricerca clinica, la condivisione secondaria dei dati sanitari e lo sviluppo di sistemi di intelligenza artificiale conformi all’AI Act.
La sentenza Deloitte ha aperto una finestra di opportunità, ma ha anche generato nuova incertezza che solo linee guida chiare, pratiche e settoriali potranno contribuire a risolvere.
Nel frattempo, gli operatori farebbero bene a non attendere: la revisione dei flussi di dati, il rafforzamento delle misure tecniche e l’aggiornamento della contrattualistica sono adempimenti che possono e devono essere avviati fin da ora.
