L’equivoco riguardante i “dati anonimi” è frequente e cela una realtà normativa assai più complessa, specialmente nel contesto dei dati pseudonimizzati. La distinzione tra dati anonimi e dati ancora riconducibili a una persona fisica risulta complessa, come evidenziato dalle definizioni rigide del GDPR e dalle recenti pronunce giurisprudenziali.
Dati pseudonimizzati, dati anonimi e identificabilità dell’interessato
Spesso, nel corso di discussioni, emerge la frase: “non ti preoccupare, tanto sono dati anonimi”. Tuttavia, il tema è più complicato, poiché la linea di demarcazione tra dati personali, dati pseudonimizzati e dati anonimi può risultare sfuggente.
Dal punto di vista giuridico, il concetto di dato personale è definito nel GDPR, il quale offre anche una definizione di pseudonimizzazione al considerando 26, e accenna a una pseudo-definizione di dato anonimo.
Molteplici fonti, tra cui le Linee Guida dell’EDPB (European Data Protection Board) e le sentenze della Corte di giustizia dell’Unione Europea, forniscono spunti per approfondire il concetto di identificabilità dell’interessato.
La questione primordiale da analizzare è: un dato pseudonimizzato è un dato personale o un dato anonimo?
Secondo il significato lessicale, un “dato anonimo” è un’informazione non riconducibile a una persona fisica. Con i dati pseudonimizzati, invece, si fa riferimento a dati personali che sono stati trattati attraverso un particolare procedimento che agisce come misura di sicurezza tecnica.
La selezione dell’EDPB nel Summary 2025 chiarisce che la pseudonimizzazione è il metodo tramite il quale le organizzazioni proteggono i dati personali, rendendo più difficile il loro collegamento agli individui. Ciò rende chiaro che la pseudonimizzazione è una misura di sicurezza per la protezione dei dati personali.
Il concetto di dato personale
Partendo dalle definizioni, ai sensi dell’art. 4, punto 1, del Reg. UE 2016/679 (GDPR), per dato personale si intende: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”.
L’uso della terminologia “persona fisica identificata o identificabile” amplia la portata del concetto di dato personale, poiché non è necessario che la persona sia identificata, ma deve essere almeno potenzialmente identificabile.
Un esempio in tal senso è fornito dalle “Guidelines 01/2025 on Pseudonymisation”, che chiariscono che attribuire dati a una persona specifica significa verificare che i dati si riferiscano a quella persona, mentre l’attribuzione a una persona identificabile implica collegare i dati ad altre informazioni tramite le quali l’individuo potrebbe essere identificato.
È qui che si introduce il concetto di pseudonimizzazione. L’art. 4, punto 5, del GDPR definisce la pseudonimizzazione come: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive”.
Per un dato essere considerato pseudonimizzato, oltre alla presenza di informazioni aggiuntive, è necessario che queste siano protette da misure tecniche e organizzative affinché i dati non possano essere riconducibili a una persona fisica. L’art. 32 del GDPR stabilisce che il titolare del trattamento adotta misure adeguate per garantire un livello di sicurezza appropriato al rischio, inclusa la pseudonimizzazione.
L’affermazione che un dato pseudonimizzato sia un dato personale è ampiamente accettata. Tuttavia, ci si è chiesto se tale dato possa essere considerato personale da un soggetto che non ha la possibilità di identificare l’interessato. In merito, il considerando 26 del GDPR stabilisce che i dati pseudonimizzati devono essere considerati informazioni su una persona identificabile.
È fondamentale condurre un’analisi degli strumenti adottati per identificare la persona, considerando fattori come costi e tempo necessari per tale identificazione. Questa valutazione deve essere effettuata nel contesto specifico e non in modo generico.
La sentenza della Corte di Giustizia Europea
Recentemente, l’interpretazione tradizionale è stata messa in discussione dalla Corte di Giustizia dell’Unione Europea con la sentenza del 4 settembre 2025 nella causa C-412/23. La Corte ha esaminato se i dati pseudonimizzati, trasmessi da una società a una società di consulenza, fossero considerati dati personali in ragione della presenza di informazioni identificative.
I dati pseudonimizzati sono dati personali. Ma è sempre vero?
La Corte ha chiarito che, sebbene la definizione di dato personale sia ampia, sia necessario verificare l’effettiva riconoscibilità dell’individuo a cui si riferiscono i dati. Sebbene i dati pseudonimizzati siano trattati in modo da ridurre il rischio di identificazione, potrebbero non essere considerati dati personali se adeguate misure tecniche prevengono l’identificazione.
In sintesi, la Corte ha affermato che i dati pseudonimizzati potrebbero non essere considerati dati personali nel caso in cui, per terze parti, l’individuo non possa essere identificato.
Il carattere identificabile o meno dell’interessato: prospettive diverse
Emergono interrogativi riguardo alla possibilità di non menzionare il destinatario dei dati pseudonimizzati nelle informative fornite agli interessati. La Corte afferma che il titolare del trattamento deve fornire oppurtune informazioni riguardanti i destinatari dei dati personali al momento della raccolta.
Tale obbligo assicura che l’interessato sia consapevole del trattamento dei propri dati e evita la raccolta contro la volontà dell’individuo. Pertanto, l’obbligo di informazione sussiste a prescindere dalla qualificazione giuridica dei dati come personali.
