Se leggiamo il testo della proposta di modifica del GDPR (Digital Omnibus) attualmente in discussione in sede di trilogo [1], non è difficile accorgersi di un cambio di paradigma per la protezione dei dati che potrebbe essere tanto profondo quanto rapido. Tra le modifiche proposte, quella di maggiore rilievo per l’impatto che ne potrebbe derivare è la revisione della definizione di dato personale da cui discende l’applicazione stessa della disciplina.
La proposta, infatti, afferma che un’informazione non assume natura personale in senso universale, ma solo in relazione alla concreta capacità identificativa di cui, per il suo tramite, dispone il soggetto che la detiene, tenuto conto dei mezzi di cui questi può ragionevolmente avvalersi. Né tale qualificazione da riconoscersi a tale soggetto muta per il solo fatto che un eventuale ulteriore detentore in una catena di passaggi successivi del dato disponga, invece, di strumenti idonei all’identificazione.
Indice degli argomenti
Il dato personale relativo nel nuovo impianto normativo
Si tratta del cosiddetto approccio “relativo” alla nozione di dato personale, che si pone in contrapposizione rispetto all’impostazione tradizionalmente seguita – di matrice sostanzialmente “assoluta” – entro cui si è sviluppata l’applicazione del diritto della protezione dei dati negli ultimi due decenni. In base a quest’ultima, la mera esistenza di un percorso plausibile di identificazione per un singolo soggetto è stata di norma ritenuta sufficiente per qualificare un’informazione come dato personale erga omnes, in modo pressoché indipendente dal contesto soggettivo e tecnologico di riferimento.
Questo approccio assoluto all’interpretazione del concetto di dato personale, se da un lato ha ridotto le ambiguità interpretative e massimizzato le garanzie per gli interessati, dall’altro è stato oggetto di crescenti critiche in ragione dell’ampliamento dell’ambito applicativo della disciplina, che avrebbe determinato significativi oneri di conformità per i soggetti economici e una certa rigidità nell’uso dei dati individuata in ultima istanza come un fattore di svantaggio competitivo a livello continentale, in particolare con riguardo allo sviluppo e all’addestramento di sistemi di intelligenza artificiale.
In questo quadro, riassunto in modo il più possibile oggettivo e neutrale, si sono rafforzate le istanze di semplificazione e di ricalibrazione dell’approccio regolatorio, nella prospettiva di coniugare un elevato livello di tutela dei diritti fondamentali con l’esigenza di non ostacolare lo sviluppo tecnologico e scientifico [2]. La nozione di dato personale è naturalmente emersa come leva strategica centrale: poiché da essa dipende l’applicabilità del GDPR, una revisione dei criteri di identificabilità incide direttamente sull’ambito oggettivo della disciplina.
L’obiettivo della revisione
L’obiettivo legislativo dichiarato è dunque mitigare gli oneri di compliance senza tuttavia ridurre le tutele né la fiducia nello sviluppo tecnologico.
Ciò avviene attraverso un approccio più chiaramente relativo nel quale la qualificazione di un’informazione come personale non dipende più dalla mera esistenza, anche solo potenziale o ipotetica, di mezzi di identificazione nella disponibilità di qualsiasi soggetto, ma dalla loro concreta e ragionevole disponibilità per il soggetto che tratta i dati. Se tali mezzi non sono disponibili, i dati possono essere considerati non personali per quel soggetto, con conseguente esclusione del trattamento dall’ambito di applicazione del GDPR.
È dunque opportuno avviare sin da subito una riflessione critica su questo mutamento di paradigma, al fine di orientarne gli sviluppi piuttosto che subirli. Affrontare il tema senza pregiudizi consente di coglierne tempestivamente le implicazioni sistematiche, individuando lo spazio effettivo e i limiti della tutela. Solo attraverso tale esercizio sarà possibile verificare se e in che misura il passaggio a una nozione relativa di dato personale sia effettivamente in grado di semplificare gli adempimenti mantenendo invariato il livello di garanzie e di generare fiducia nello sviluppo tecnologico.
Il problema dell’identificazione
Per qualificare un dato come personale è necessario che esso consenta l’identificazione di una persona fisica. Tale operazione non coincide necessariamente con la conoscenza o la scoperta del nome e cognome dell’interessato. Da tempo, infatti, tanto le corti europee – dalle giurisdizioni nazionali alla Corte di giustizia [3] – quanto le autorità di protezione dei dati [4] [5], sia a livello nazionale sia attraverso il Comitato europeo per la protezione dei dati (EDPB) [6] [7], concordano nel ritenere che un individuo possa considerarsi identificato quando l’uso di un’informazione consenta di indirizzare verso di lui una decisione o un’azione mirata, anche in assenza di identificatori nominativi o di altre specifiche categorie di identificatori.
Occorre dunque chiedersi se il passaggio da una nozione assoluta a una nozione relativa di dato personale agevoli o renda più complessa l’operazione di identificazione, ovvero se relativizzazione e identificazione costituiscano concetti tra loro indipendenti.
In questa prospettiva, può essere utile adottare una formalizzazione minima del problema dell’identificazione. In assenza di un riferimento formale condiviso, il dibattito rischia infatti di scivolare su un piano meramente ideologico. La formalizzazione qui proposta non pretende di essere esaustiva rispetto a tutte le possibili modalità di identificazione [8], ma mira più limitatamente a fornire un terreno di confronto tecnico oggettivo, utile per comprendere come l’identificazione si manifesti in concreto e quali rimedi possano essere ragionevolmente ipotizzati.
La forma classica dell’identificazione
La prima situazione di identificazione, che potremmo definire classica, si manifesta come un’operazione di scoperta dell’identità, che si realizza attraverso la ricomposizione di informazioni precedentemente disaccoppiate. In termini formali minimi, essa può essere rappresentata come la concatenazione tra due relazioni (nome, pseudonimo) e (pseudonimo, attributo), in modo da “assorbire” il termine intermedio e ricondurre attraverso la relazione (nome, attributo) un determinato attributo a una persona identificata. Si tratta, evidentemente, di un modello stilizzato, che non esaurisce la varietà delle possibili forme di identificazione, ma che risulta utile come punto di partenza.
Il collegamento tra attributi
Tuttavia, l’identificazione non si esaurisce in questa forma diretta di ricomposizione. Un secondo caso riguarda l’ipotesi in cui un soggetto disponga di più relazioni riferite al medesimo pseudonimo, per esempio (pseudonimo, attributo₁) e (pseudonimo, attributo₂). In tale situazione è possibile effettuare un’operazione di collegamento e “assorbimento” dello pseudonimo, ottenendo una nuova relazione (attributo₁, attributo₂). Anche in assenza del nome, questa combinazione può risultare altamente rivelatrice.
Si pensi al caso in cui attributo₁ consista in un insieme di caratteristiche facilmente osservabili (genere, età, altezza, localizzazione, rete di contatti), mentre attributo₂ riguardi informazioni più sensibili o non immediatamente accessibili (stato di salute, situazione giudiziaria o finanziaria, dati genetici). Se il primo insieme di attributi è sufficientemente ricco e distintivo, esso può rendere di fatto accessibile anche il secondo, esponendo l’individuo. Detto diversamente, un attributo originariamente non accessibile diviene conoscibile per effetto del collegamento con attributi più facilmente osservabili.
L’identificazione probabilistica
Infine, può configurarsi una terza forma di identificazione, di natura probabilistica. Si immagini che un soggetto disponga delle relazioni (pseudonimo₁, attributo₁) e (pseudonimo₂, attributo₂). Pur in assenza di una perfetta coincidenza tra pseudonimo₁ e pseudonimo₂, il detentore del dato potrebbe rilevare una somiglianza tra i due – non ci riferiamo a una somiglianza percepibile dallo sguardo umano, ma a una somiglianza misurabile attraverso indicatori numerici (ad esempio, forme di cosine similarity tra c.d. vettori di embedding [9]) – e inferire, con un certo grado di probabilità, che le due coppie si riferiscano alla medesima persona.
Si tratta di un’inferenza intrinsecamente azzardata, ma non per questo irrilevante: in taluni casi l’assorbimento tra pseudonimo₁ e pseudonimo₂ può rivelarsi sufficientemente verosimile da consentire l’associazione tra attributi diversi (attributo₁, attributo₂) – l’uno facilmente osservabile, l’altro inaccessibile – e, conseguentemente, la rivelazione di caratteri o stati nascosti dell’interessato.
Queste ulteriori forme di identificazione mostrano come la riferibilità di un’informazione a una persona non dipenda esclusivamente dalla disponibilità della relazione (nome, pseudonimo), ma possa emergere anche attraverso operazioni di collegamento tra dati e inferenza, senza che sia necessario conoscere il nome (o simili identificatori anagrafici), le quali, in ragione del contesto, possono determinare una sovraesposizione dell’individuo rispetto alle sue aspettative.
La disponibilità dei mezzi per l’identificazione
Questa formalizzazione minima del problema dell’identificazione ci consente di affrontare un ulteriore aspetto concettuale decisivo: quello dei “mezzi” di identificazione. Si tratta di una nozione tanto centrale quanto frequentemente fraintesa.
È bene aver presente che non esiste alcun “mezzo” in grado di aumentare, di per sé, l’informazione contenuta in un dato. Rappresentare il “mezzo” come un processo input-output (come un algoritmo di intelligenza artificiale, un programma, un software) che, a partire da un dato in ingresso, generi nuova informazione rispetto a quella originariamente contenuta è un’ipotesi fuorviante e, sotto il profilo teorico, insostenibile. L’identificazione – che spesso intendiamo come una forma di accrescimento della conoscenza relativa a una persona – può avvenire esclusivamente attraverso la combinazione di informazioni parziali riferibili a quella persona, dalla cui integrazione emerge un contenuto informativo più dettagliato rispetto a quello posseduto da ciascun elemento considerato isolatamente.
In questa prospettiva, deve considerarsi “mezzo” di identificazione non uno strumento generico o indeterminato, bensì l’ulteriore porzione di informazione utilizzata per arricchire quella originaria. Riprendendo l’esempio già introdotto, nella struttura (nome, pseudonimo) e (pseudonimo, attributo), la prima coppia costituisce mezzo di identificazione rispetto alla seconda (e viceversa): è infatti attraverso l’assorbimento dello pseudonimo che diviene possibile collegare l’attributo a un soggetto nominativamente determinato, realizzando così un incremento informativo.
Questa lettura consente di ancorare il concetto di “mezzi ragionevolmente utilizzabili” a una dimensione oggettiva e verificabile, coerente con i principi della teoria dell’informazione. Al contrario, interpretazioni più vaghe o indeterminate della nozione di mezzo rischiano di spostare il dibattito su un piano ancora una volta meramente ideologico, privo di adeguati riferimenti analitici e quindi poco utile ai fini di una corretta delimitazione dell’ambito applicativo della disciplina.
Quando il dato può dirsi relativamente non personale
Dunque, se un soggetto dispone esclusivamente della relazione (pseudonimo, attributo), ma non ha accesso – né può ragionevolmente ottenerlo – alla relazione (nome, pseudonimo), possiamo anche accettare che egli non sia in grado di ricondurre l’attributo a una persona fisica identificata o identificabile e che l’informazione di cui egli dispone sia qualificata come dato relativamente non personale. Affinché questa conclusione sia sostenibile, è tuttavia necessario assumere che l’accesso alla coppia (nome, pseudonimo) sia irragionevole in senso forte, o perché tecnicamente impedito da misure di sicurezza estremamente efficaci, o giuridicamente precluso, perché per esempio proibito per legge [10], e che la coppia (pseudonimo, attributo) non sia di per sé identificativa anche senza accesso alla coppia (nome, pseudonimo).
Si tratta, bisogna rimarcarlo, di una condizione tutt’altro che generale. Per esempio, la semplicissima relazione (id_Garante_abc, ingegnere nato a Palermo) si riferisce a un’unica persona tra gli abitanti del pianeta: chi sta scrivendo questo articolo, e si fa estrema fatica a voler considerare questa relazione come un dato relativamente non personale nelle mani di voi lettori, anche senza che abbiate accesso alla ipotetica coppia (id_Garante_abc, Giuseppe D’Acquisto).
Il limite delle misure di sicurezza
Occorre inoltre osservare che ricondurre il problema dell’identificazione a un tema di sicurezza implica anche rimettere la tenuta della soluzione a fattori eminentemente comportamentali: la scelta e l’effettiva applicazione delle misure di sicurezza, il rispetto della confidenzialità, il grado di fiducia riposto nei soggetti coinvolti. Si tratta, come noto, di un anello intrinsecamente debole, in quanto il comportamento umano è esposto a errori, negligenze e forme di manipolazione. Ne deriva che una soluzione a una questione di protezione dei dati fondata esclusivamente su presidi di sicurezza si presenta, sotto questo profilo, strutturalmente fragile [11].
Tale criticità emerge con particolare evidenza negli altri casi di identificazione considerati. Quando l’identificazione deriva dalla combinazione – certa o probabilistica – di più attributi associati al medesimo pseudonimo o a pseudonimi simili, le misure di sicurezza poste a protezione della relazione (nome, pseudonimo) risultano insufficienti – se non del tutto irrilevanti – ai fini della prevenzione del rischio di identificazione. Questa, infatti, non passa più attraverso la ricostruzione diretta dell’identità nominativa, ma attraverso operazioni di correlazione che prescindono da essa.
In queste ipotesi, la soluzione non può essere affidata a strumenti meramente organizzativi o comportamentali, ma richiede più propriamente interventi di data protection engineering, ossia soluzioni tecniche integrate nel trattamento stesso, che non intervengono sulla coppia (nome, pseudonimo) ma agiscono direttamente sulla struttura dell’informazione (pseudonimo, attributo), indebolendone significativamente la possibilità di combinazioni e assorbimenti indipendentemente da fattori umani, incidendo in tal modo più efficacemente e oggettivamente sul rischio di identificazione.
I punti di irresponsabilità del dato personale relativo
La relativizzazione della nozione di dato personale introduce, sul piano sistemico, due potenziali “punti di irresponsabilità”: uno in capo al titolare del trattamento, l’altro in capo ai soggetti che, a vario titolo, ricevono e riutilizzano i dati.
Il rischio in capo al titolare
Dal lato del titolare del trattamento, il rischio è quello di un affidamento eccessivo sulla sicurezza della relazione (nome, pseudonimo) quale principale – se non esclusivo – strumento di protezione, che potrebbe generare situazioni di incauto oversharing di dati relativamente non personali. La convinzione che una custodia “impenetrabile” di tale coppia, unita alla sottovalutazione delle dinamiche di collegamento tra attributi, consenta di distribuire liberamente e lecitamente una molteplicità di relazioni (pseudonimo, attributo) riferibili in modo certo o verosimile alla medesima persona, costituisce un tipico caso in cui una sicurezza malintesa genera un paradosso da eccesso di controllo.
Considerato l’atteso incremento del volume di dati in circolazione, aumenterà verosimilmente anche la quantità di ricombinazioni informative idonee a rivelare – in modo certo o inferenziale – caratteristiche dei singoli interessati originariamente non accessibili o non destinate alla conoscibilità.
Il rischio in capo ai destinatari
Dal lato dei destinatari, il problema si manifesta in forma speculare. La constatazione che un’informazione qualificata come relativamente non personale non muta la propria natura giuridica per il solo fatto che un soggetto successivo nella catena disponga di strumenti idonei all’identificazione potrebbe innescare una naturale attitudine a una condivisione incontrollata; ciò potrebbe dare luogo, come visto, a fenomeni di identificazione “per assorbimento”, che non mirano necessariamente al disvelamento di una identità, ma all’accesso a stati o caratteristiche non immediatamente osservabili attraverso la loro combinazione – certa o inferenziale – con attributi più facilmente disponibili.
La conclusione sulla tutela
Non è possibile prevedere se e in quale misura tali punti di irresponsabilità sistemici saranno sfruttati in modo opportunistico o deliberato. Ciò che rileva è che la relativizzazione del concetto di dato personale rende possibile tale sfruttamento, con scarsa possibilità di enforcement ex-post. Se l’obiettivo dichiarato del nuovo approccio è quello di alleggerire gli oneri di compliance senza però ridurre il livello di tutela, occorre intervenire ex-ante sul dato in circolazione e “ingegnerizzarlo” affinché le relazioni (pseudonimo, attributo) non siano, per loro natura, facilmente riconducibili alla medesima persona.
La tollerabilità, accettata in modo fatalista, di tali ricongiunzioni finirebbe per contraddire l’obiettivo strategico di mantenere invariato il livello di tutela.
Le soluzioni tecniche idonee a evitare un abbassamento complessivo del livello di protezione rispetto all’approccio “assoluto” esistono e consentono un moderato grado di fiducia nella possibilità di coniugare alleggerimento degli oneri e salvaguardia dei diritti, anche in un quadro di relativizzazione del concetto di dato personale. Tuttavia, ciò richiede un investimento significativo e diffuso in competenze, in particolare nel campo dell’anonimizzazione. Il rischio più grave, in questa fase di transizione, è la banalizzazione del problema: trattare la relativizzazione del concetto di dato personale come una mera semplificazione o un tema di sicurezza, senza coglierne le implicazioni strutturali.
Non è necessario reinventare strumenti già noti. Le modalità concrete di attuazione possono evolversi e specializzarsi con il progresso tecnologico e la varietà dei casi di condivisione dei dati. La responsabilità della loro efficace implementazione resta affidata, in ultima analisi, all’accountability dei titolari. Riecheggiano in tal senso, ancora con piena attualità, le indicazioni formulate nel 2014 dal Gruppo di lavoro “Articolo 29” nel parere sulle tecniche di anonimizzazione: evitare singolarità, prevenire la possibilità di collegamenti tra dati, limitare facili inferenze [12].
Bibliografia
[1] Proposta di Regolamento del Parlamento Europeo e del Consiglio che modifica i Regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 e (UE) 2023/2854 e le Direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo nel settore digitale e che abroga i Regolamenti (UE) 2018/1807, (UE) 2019/1150 e (UE) 2022/868 e la direttiva (UE) 2019/1024 (omnibus digitale), https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52025PC0837
[2] The Draghi report on EU competitiveness, https://commission.europa.eu/topics/competitiveness/draghi-report_en
[3] Sentenza della Corte (Seconda Sezione), 20 dicembre 2017, «Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46/CE – Articolo 2, lettera a) – Nozione di “dati personali” – Risposte scritte fornite da un candidato durante un esame professionale – Annotazioni dell’esaminatore relative a tali risposte – Articolo 12, lettere a) e b) – Portata dei diritti di accesso e di rettifica della persona interessata», causa C-434/16, par. 35, https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62016CJ0434
[4] Garante per la protezione dei dati personali, Provvedimento del 1° giugno 2023 [doc. web n. 9913795], https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9913795
[5] Délibération SAN-2024-013 du 5 septembre 2024, https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759
[6] EDPB Guidelines 01/2025 on Pseudonymisation, https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_it
[7] Gruppo di lavoro Articolo 29, Parere 4/2007 sul concetto di dati personali – WP 136 – 20 giugno 2007, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1487717
[8] G. D’Acquisto, A. Cohen, M. Naldi and K. Nissim (2024), From Isolation to Identification. Privacy in Statistical Databases (PSD 2024): 3-17, https://drive.google.com/file/d/1dkpeV0y7Q9CiTuy7hKhsUDKj6RFiVGZt/view
[9] S. Lermen, D. Paleka, J.P. Swanson, M. Aerni, N. Carlini and F. Tramèr (2026), Large-scale online deanonymization with LLMs, https://arxiv.org/abs/2602.16800
[10] Sentenza della Corte (Seconda Sezione) del 19 ottobre 2016, Patrick Breyer contro Bundesrepublik Deutschland. Domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof. Rinvio pregiudiziale – Trattamento dei dati personali – Direttiva 95/46/CE – Articolo 2, lettera a) – Articolo 7, lettera f) – Nozione di “dati personali” – Indirizzi di protocollo Internet – Conservazione da parte di un fornitore di servizi di media online – Normativa nazionale che non consente di prendere in considerazione l’interesse legittimo perseguito dal responsabile del trattamento. Causa C-582/14. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62014CJ0582
[11] R. Anderson and T. Moore (2006). The Economics of Information Security, Science (27 October 2006) 314: 610
[12] Gruppo di lavoro Articolo 29, Parere 5/2014 sulle tecniche di anonimizzazione, WP 216 del 10 aprile 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf
