La sentenza della Corte di Giustizia del 4 settembre 2025, nota come “sentenza Deloitte“, segna un passaggio cruciale nel dibattito sulla pseudonimizzazione dei dati personali. La decisione non solo ridefinisce gli obblighi di trasparenza, ma apre nuovi scenari interpretativi che incidono sull’equilibrio tra titolari, destinatari e interessati.
Indice degli argomenti
Il caso Banco Popular e la controversia sui destinatari
La decisione del 4 settembre 2025 (C-413/23 P, EDPS c. SRB) è stata celebrata come l’atto che consacra, una volta per tutte, la relatività del dato pseudonimizzato, distinguendo a seconda che chi tratta i dati disponga o meno delle informazioni per re-identificare l’interessato. Ma il vero scarto della Corte di Giustizia dell’Unione Europea non si trova nella definizione di pseudonimizzazione: si annida nella parte finale, quella che riguarda la trasparenza e gli obblighi informativi. È qui che la sentenza rompe con la decisione emessa dal Tribunale e apre un terreno inedito, ancora poco discusso.
Per capire la portata del ribaltamento occorre fare un passo indietro. La controversia nasceva dalla gestione, da parte del Comitato di risoluzione unico (SRB), dei dati degli azionisti e dei creditori del Banco Popular nell’ambito della procedura di risoluzione. Deloitte, incaricata delle valutazioni, aveva ricevuto dal SRB dati pseudonimizzati. Alcuni interessati lamentarono davanti al GEPD che le informative non indicavano correttamente tali destinatari. Il GEPD diede loro ragione, ma il Tribunale, nel 2023, annullò la decisione ritenendo che il concetto di “destinatario” dovesse essere interpretato in modo letterale e restrittivo.
Il Tribunale aveva adottato, infatti, una lettura strettamente letterale. Poiché l’art. 3, par. 13, del Reg. 2018/1725 (in linea con l’art. 4, n. 9, GDPR) definisce “destinatario” esclusivamente chi riceve dati personali, ne aveva tratto la conseguenza che un soggetto che riceve soltanto dati pseudonimizzati, senza disporre di mezzi ragionevoli per re-identificare l’interessato, non debba essere menzionato nell’informativa. In altri termini: se per il destinatario quei dati non hanno la qualità di personali, non vi sarebbe obbligo di indicarlo tra i destinatari di dati personali.
La logica del Tribunale e la coerenza interpretativa
Un’impostazione che, a ben vedere, risultava del tutto coerente con la prima parte della stessa sentenza: se il destinatario non dispone di mezzi ragionevoli per re-identificare l’interessato, la pseudonimizzazione produce per lui gli stessi effetti di un’anonimizzazione. In questa prospettiva, l’esclusione dall’informativa sembrava una naturale conseguenza.
La rottura della Corte di giustizia con il tribunale
La Corte, limitatamente a questo aspetto, ha ribaltato l’impostazione. Per i giudici di Lussemburgo, l’informativa va valutata dal punto di vista del titolare e al momento della raccolta. Se per il titolare i dati restano personali, la comunicazione verso terzi non cambia natura: resta una comunicazione di dati personali. Di conseguenza, il titolare è tenuto a elencare i destinatari nell’informativa, anche se per questi ultimi i dati ricevuti non hanno più la qualità giuridica di “personali”. Una scelta che genera un cortocircuito concettuale: l’interessato viene informato che i suoi dati personali sono comunicati a soggetti che, giuridicamente, non trattano dati personali. La trasparenza si traduce così in una sovra-informazione, potenzialmente fuorviante.
Le implicazioni sui rapporti contrattuali
È qui che si apre la vera tensione. Perché, se si adotta il punto di vista del titolare, allora la domanda è inevitabile: perché fermarsi all’informativa? Se per il titolare i dati restano personali, lo sono sempre. Non solo quando informa l’interessato, ma anche quando affida quei dati pseudonimizzati a un fornitore per attività di analisi o elaborazione. Da questa logica discenderebbe che il fornitore non è un semplice utilizzatore di dati “anonimi”, bensì un responsabile del trattamento a pieno titolo.
Questo trascinamento logico la Corte non lo ha tematizzato, ma è la sua conseguenza naturale. E qui si insinua il rischio di un approccio a geometria variabile: il “punto di vista del titolare” diventa un criterio elastico, valido per la trasparenza ma non per la qualificazione dei rapporti contrattuali. Un doppio standard che, se non risolto, rischia di moltiplicare incertezze anziché risolverle.
I principi consolidati sulla pseudonimizzazione
Tutto il resto della sentenza appare, in confronto, quasi scontato.
La Corte, in realtà, non introduce alcun elemento innovativo. Si limita a riaffermare che i dati pseudonimizzati restano dati personali per il titolare che conserva le informazioni aggiuntive necessarie alla re-identificazione, mentre possono perdere tale qualificazione per i destinatari terzi che non hanno accesso, né potrebbero ragionevolmente procurarsi, quelle stesse informazioni. Questo “doppio binario” non nasce oggi: il considerando 26 del GDPR già dal 2016 stabilisce che l’identificabilità va valutata alla luce dei mezzi “ragionevolmente utilizzabili” dal titolare o da un’altra persona. La congiunzione disgiuntiva è inequivoca: la natura personale del dato non è assoluta, ma dipende dalla prospettiva concreta di chi lo tratta e dagli strumenti di cui dispone.
Il Parere WP136 del Gruppo Articolo 29 (2007) aveva già chiarito che l’identificabilità non è una categoria teorica, bensì relativa alla posizione effettiva del soggetto che tratta i dati. Le Linee guida EDPB 01/2025 hanno consolidato questa impostazione, introducendo il concetto di “pseudonymisation domain”: un perimetro che circoscrive i soggetti rispetto ai quali la re-identificazione è realisticamente possibile. Anche sul piano giurisprudenziale, la sentenza Breyer (C-582/14) aveva già posto le basi, riconoscendo, seppur in modo meno esplicito, questi stessi principi.
La sintesi giurisprudenziale e i suoi limiti
Sul punto, la Corte non fa che ricucire fili tessuti da tempo, offrendo una formula di sintesi comoda e ordinata, e confermando in larga parte quanto già riconosciuto dal Tribunale. Il vero pregio di questa parte della decisione è aver cristallizzato in un unico documento, in maniera esplicita, un principio che era già sedimentato nella normativa, nei pareri e nella giurisprudenza.
Resta, però, l’ombra della trasparenza spinta fino all’estremo. Una trasparenza che vince sulla coerenza, e che rischia di trasformarsi in un esercizio formale, più utile a cautelare il titolare che a informare davvero l’interessato. Perché un’informazione ridondante non è automaticamente più chiara: può anzi produrre l’effetto opposto, oscurando il quadro con un eccesso di dettagli. Insomma: bene, ma non benissimo.
