Delineare i confini del concetto di “dato personale” è fondamentale per individuare a quali attività di trattamento si applicano le prescrizioni contenute nel GDPR. A tal fine è necessario fare riferimento a due fondamentali nozioni: anonimizzazione e pseudonimizzazione. I due termini, seppure caratterizzati da una certa assonanza, non devono essere confusi. Infatti, laddove l’anonimizzazione consiste nel trasformare i dati personali in dati anonimi, in modo tale che l’interessato non sia più identificabile con alcun mezzo ragionevole, la pseudonimizzazione consiste in una misura di sicurezza, ovverosia, nell’adozione di accorgimenti tali per cui i dati oggetto del processo non possano più essere ricondotti a una persona fisica senza l’utilizzo di informazioni aggiuntive.
Se il GDPR non trova applicazione in caso di trattamento dei dati anonimizzati, poiché non possono essere considerati dati personali (considerando 26), la giurisprudenza e la dottrina si sono a lungo interrogate invece sull’applicabilità del Reg. 2016/679 ai dati pseudonimizzati. Storicamente – in ossequio ad una concezione “assolutistica” del concetto di dato personale – si riteneva che i dati, seppur pseudonimizzati, rimanessero personali per il solo fatto che esistevano informazioni aggiuntive in grado di collegarli a una persona fisica. Tuttavia, tale interpretazione è destinata a mutare in seguito alla c.d. “sentenza Deloitte” della Corte di Giustizia (sentenza C-413/23 P del 4 settembre 2025, EDPS c. SRB) la quale ha adottato una concezione “relativistica” del concetto di dato personale, con la conseguenza che i dati pseudonimizzati possono essere, al contempo, personali per alcuni soggetti ma non per altri.
Prima di passare all’analisi della sentenza è doveroso specificare che, sebbene il provvedimento in esame abbia ad oggetto l’interpretazione del Regolamento UE 2018/1725 (del 23 ottobre 2018 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati), i principi affermati dalla Corte possono essere ritenuti applicabili anche alle norme del GDPR. A tal proposito si ricorda come il suo considerando 5 preveda che, quando le disposizioni del Regolamento seguano gli stessi principi delle disposizioni del GDPR, le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo. Infine, si tiene a precisare che, nel presente testo, ogni qualvolta si farà riferimento a un articolo di legge senza ulteriore indicazione della fonte, esso dovrà intendersi riferito al Regolamento (UE) 2018/1725.
Per comprendere al meglio la decisione della Corte è necessario ricostruire brevemente il contesto fattuale. La controversia si inserisce nel procedimento di risoluzione della crisi del Banco Popular Español. Il Single Resolution Board (autorità dell’Unione Europea incaricata di gestire le procedure di risoluzione delle crisi) ha provveduto a nominare Deloitte per valutare se gli azionisti e i creditori del Banco avrebbero ricevuto un trattamento migliore qualora la banca avesse avviato una normale procedura di insolvenza. Al fine di garantire il diritto d’ascolto, l’SRB predisponeva in un primo momento un modulo online nel quale era possibile inserire un documento d’identità e una prova della proprietà di uno strumento di capitale. In un secondo momento, gli stessi azionisti ricevevano un link, personale ed unico, che consentiva loro l’accesso ad un ulteriore modulo online in cui potevano effettuare le proprie osservazioni. Le singole osservazioni raccolte venivano identificate individualmente attraverso un codice alfanumerico a 33 cifre che rappresentava l’unico modo per collegarle con i dati dell’autore: operazione impossibile per chiunque ad esclusione dello stesso SRB. Elaborate le 23 mila osservazioni iniziali, l’SRB ne inviava a Deloitte solamente 1104 assieme al relativo codice alfanumerico. In seguito alla presentazione di cinque reclami da parte degli azionisti, il Garante europeo della protezione dei dati personali (il GEPD) – organo incaricato di vigilare sulla corretta applicazione delle norme a tutela dei dati personali parte dell’UE - ravvisava delle carenze nell’informativa predisposta dall’SRB, con particolare riferimento alla destinazione dei dati pseudonimizzati (le suddette osservazioni) a Deloitte. Raccomandava quindi all’SRB di garantire che l’informativa sulla protezione dei dati, nei futuri processi, includesse tutti i potenziali destinatari delle informazioni raccolte, al fine di rispettare pienamente l’obbligo di informare gli interessati ai sensi dell'articolo 15.
In particolar modo, il GEPD denunciava l’erronea interpretazione da parte del Tribunale della condizione (prevista all’articolo 3, punto 1), secondo la quale, in virtù del combinato disposto tra l’art. 3 par. 6 e del considerando 16, l’informazione che concerne una persona fisica “identificabile” sebbene pseudonimizzata costituirebbe un dato personale per la semplice esistenza d’informazioni supplementari che consentono di attribuirla a una determinata persona. Al contempo si rilevava, con tesi sostenuta dal Comitato Europeo per la Protezione dei Dati (il c.d. EDPB), che qualora i dati personali cambiassero natura, quando trasmessi a un soggetto esterno al responsabile del trattamento, sarebbe possibile sottrarre indebitamente gli stessi dall’ambito di applicazione del diritto dell’UE.
Tuttavia, la Corte, muovendosi dalle medesime disposizioni, respinge la tesi del Garante Europeo sostenendo che la definizione di dati personali, ex art. 3 par. 1, non ricomprendesse il concetto di pseudonimizzazione le cui caratteristiche emergerebbero, invece, dall’art. 3 par. 6. essendo quest’ultima una misura di sicurezza. A tal proposito la Corte ha osservato come il concetto di pseudonimizzazione faccia riferimento “all'adozione di misure tecniche e organizzative per ridurre il rischio di correlazione di un insieme di dati con l’identità degli interessati” e come “la pseudonimizzazione può avere un impatto sul fatto che tali dati siano o meno personali” con la conseguenza che, qualora le misure che hanno permesso la pseudonimizzazione non siano revocabili da un soggetto, per quest’ultimo le informazioni non potranno essere considerate dati personali.
In particolar modo la Corte ha ritenute decisive la terza frase del considerando 16 (la quale specifica che per determinare se una persona fisica sia identificabile occorre tenere in considerazione di “tutti i mezzi ragionevolmente probabili” utilizzabili dal responsabile o da “un’altra persona”) e la quarta frase (la quale precisa che per verificare se sia ragionevolmente probabile che vengano utilizzati mezzi per identificare la persona fisica, occorre tenere conto di “tutti i fattori oggettivi, quali i costi e il tempo necessari per l'identificazione tenendo conto della tecnologia disponibile al momento del trattamento e degli sviluppi tecnologici”). A conferma di tale interpretazione, l’Avvocato Generale argomentava che considerare i dati pseudonimizzati dati personali, in ogni caso e per ogni persona, svuoterebbe di significato il Considerando 16. Alla luce di ciò, la Corte ha affermato che i dati personali non possono essere ritenuti in tutti i casi e per tutti i soggetti dati personali qualora le misure di sicurezza non siano revocabili con mezzi ragionevolmente suscettibili di essere utilizzati: la cui sussistenza è da escludersi quando il rischio di identificazione appaia insignificante, poiché l’identificazione sia vietata dalla legge o impossibile nella pratica.
In conclusione, la portata innovativa della sentenza risiede nella considerazione che i dati pseudonimizzati non possano essere sempre ricompresi nella categoria dei dati personali per il solo fatto che esistono informazioni in grado di collegarli all’interessato. Dunque, sarà necessario verificare in concreto la possibilità, da parte del soggetto, che utilizza quelle informazioni, di revocare le misure adottare per pseudonimizzarle, e qualora egli non ne fosse in grado le informazioni trattate non potranno considerarsi, dal suo punto di vista, dati personali, escludendo così l’applicazione del diritto unionale.
Da ultimo la sentenza apre a nuovi scenari e prospettive interessanti. Come affermato da parte della dottrina, l’adozione di un concetto relativistico di dato personale impatterà i settori (quali ad esempio il marketing, la ricerca o l’addestramento di sistemi di intelligenza artificiale) dove la condivisione di dati risulta fondamentale, facilitandone l’utilizzo da parte dei destinatari. Certamente, così come evidenziato dalle voci più critiche, un approccio “risk based” pone in capo al Titolare e alle autorità competenti valutare l’effettiva possibilità di revocare le misure di sicurezza adottate, con il rischio di esporre i dati personali ad attacchi esterni nel caso in cui vi siano errori nella valutazione.