Home

La CGUE ridefinisce pseudonimizzazione e dati personali

La Redazione
08 Settembre 2025

Con la sentenza C-413/23 (c.d. “Deloitte”) la Corte di giustizia UE ridefinisce il rapporto tra pseudonimizzazione e dati personali, affermando che, se il soggetto che tratta i dati ha la possibilità (materiale e legale) di identificare gli interessati dovrà trattare i dati a propria disposizione come personali. In assenza di tale facoltà, o nel caso in cui il rischio debba essere considerato “insignificante”, i dati dovranno essere considerati anonimi.

La sentenza circoscrive l'interpretazione della nozione di “dati personali”, con particolare riferimento al trasferimento di dati pseudonimizzati, da parte di un ente dell'UE a un soggetto terzo che non dispone delle chiavi per la re-identificazione.

La vicenda trae origine dal piano di risoluzione adottato dal Comitato di risoluzione unico europeo (SRB) a favore di Banco Popular Español S.A., a seguito del quale SRB incaricava Deloitte di effettuare una valutazione sulla convenienza per azionisti e creditori di accedere a procedura di insolvenza ordinaria.  

SRB pubblicava sul proprio sito web una decisione preliminare e una versione non riservata della valutazione, dando la possibilità agli interessati di esprimere i propri commenti tramite un modulo online e trasferendo questi ultimi a Deloitte in forma anonima, dal momento che SRB era l'unico soggetto in grado di collegare ciascun commento al suo autore.

Alcuni azionisti e creditori presentavano reclamo al Garante europeo della protezione dei dati (GEPD), lamentando il trasferimento dei propri dati a terzi senza esserne stati previamente informati.  

IL GEPD accoglieva il reclamo, ma SRB presentava ricorso innanzi al Tribunale UE, sostenendo che i dati trasmessi a Deloitte, in quanto anonimi, non potevano essere considerati personali.

Il Tribunale UE ha annullato la decisione del GEPD, proprio alla luce dell'impossibilità per Deloitte di ricollegare le informazioni ai propri autori. GEPD ha impugnato innanzi alla Corte di giustizia UE.  

La Corte, interpretando il Regolamento UE 2018/1725, ha affermato che i dati pseudonimizzati non mantengono sempre e automaticamente la loro natura nel momento in cui sono trasferiti a terzi, ma devono essere valutati in rapporto alle misure tecniche e organizzative messe concretamente in atto per impedire l'identificazione dell'interessato.

I dati pseudonimizzati trasmessi a un terzo potranno essere considerati anonimi nel caso in cui il soggetto che li ha ricevuti non sia più in grado di re-identificare l'interessato.

Alla luce della sentenza 7 marzo 2024, OC/Commissione, C-479/22, tali dati non dovranno essere considerati personali non solo nel caso in cui l'identificazione non sia più possibile per ragioni materiali, ma anche nel caso in cui sia vietata dalla legge o troppo dispendiosa in termini di costi ed energie.

Ciò che deve essere analizzato è la possibilità concreta per il terzo di accedere alle informazioni supplementari per identificare l'interessato: se avrà tale possibilità, i dati dovranno essere trattati come personali; qualora non ne abbia la facoltà giuridica o materiale, o il rischio che ciò avvenga possa essere considerato di così scarso rilievo da essere insignificante, i dati potranno essere trattati come anonimi.