Cosa ha detto la Corte di Giustizia sulla nozione di dato personale?

  • Categorie News
  • Data 8 Settembre 2025

Ha fatto molto discutere, come era inevitabile, la sentenza della Corte di Giustizia dell’Unione europea  del 4 settembre 2025 nella causa EDPS v SRB. Si tratta di una decisione significativa e innovativa, che affronta un tema centrale nel diritto europeo della protezione dei dati: quando un’informazione cessa di essere considerata “dato personale” ai sensi del GDPR?

Il nucleo della decisione

La Corte stabilisce, per la prima volta in modo chiaro ed esplicito, che se:

  1. un dataset originariamente contiene dati personali;

  2. tali dati vengono pseudonimizzati;

  3. il dataset pseudonimizzato viene condiviso con un destinatario esterno;

ebbene, il destinatario non è obbligato a trattare tali informazioni come “dati personali”, a condizione che siano soddisfatte due condizioni fondamentali:

  • Condizione soggettiva: il destinatario non dispone di mezzi ragionevolmente accessibili per re-identificare gli interessati. In altre parole, non ha accesso né ai codici di ricostruzione né a dati supplementari che consentirebbero di ricondurre le informazioni a persone identificabili.

  • Condizione oggettiva: la possibilità di re-identificazione non è realistica né probabile per il destinatario, considerate le circostanze concrete e i costi, tempi, risorse e conoscenze richiesti.

In tal modo, la CGUE sancisce che la qualificazione di “dato personale” non dipende in maniera assoluta dalla natura originaria del dataset, ma dal punto di vista concreto del soggetto che lo riceve e dalla sua capacità di identificare gli individui.

Pseudonimizzazione vs anonimizzazione

Il GDPR, all’art. 4, definisce chiaramente la pseudonimizzazione come un processo che riduce ma non elimina il rischio di identificazione. Pertanto, in teoria, i dati pseudonimizzati restano “personali” per chiunque sia in grado, direttamente o indirettamente, di re-identificarli.

La novità introdotta dalla Corte sta nel riconoscere che il carattere personale del dato è relativo:

  • Per l’organizzazione che detiene i codici di re-identificazione, i dati rimangono personali.

  • Per un destinatario privo di tali chiavi o di conoscenze utili, i dati possono invece essere trattati come non personali, assimilabili a dati anonimizzati.

Questa distinzione introduce una visione “relazionale” del concetto di dato personale, che non dipende più solo dalle caratteristiche intrinseche dell’informazione ma dalla posizione di chi la utilizza.

Implicazioni pratiche

Questa decisione ha ricadute notevoli su diversi fronti:

  1. Condivisione di dati
    Le istituzioni, le imprese e le autorità pubbliche avranno maggior margine di manovra per condividere dataset pseudonimizzati, senza dover gravare i destinatari con tutti gli obblighi del GDPR. Questo può facilitare ricerca, cooperazione interistituzionale, open data e sviluppo tecnologico.

  2. Responsabilità differenziata
    La responsabilità di applicare il GDPR si sposta sul soggetto che conserva la capacità di re-identificazione. Chi invia i dati pseudonimizzati dovrà garantire che la separazione delle informazioni sia effettiva, ma chi li riceve — se non ha alcun accesso agli elementi identificativi — non sarà soggetto agli stessi vincoli.

  3. Nuovi criteri di valutazione
    Si rende necessario sviluppare criteri pratici per determinare quando un destinatario “ragionevolmente” non può re-identificare i dati. Questo richiede valutazioni caso per caso, considerando fattori tecnici (crittografia, gestione delle chiavi), giuridici (obblighi di non accesso), ed economici (costi e risorse necessarie per tentare la re-identificazione).

  4. Allineamento con altre giurisdizioni
    La decisione avvicina il diritto europeo a una prospettiva più pragmatica, simile a quella adottata in altri ordinamenti che distinguono tra titolari e terzi nella valutazione dell’anonimato. Potrebbe anche influenzare i dibattiti internazionali sulla portabilità e condivisione dei dati.

Critiche e cautele

Alcuni osservatori ritengono che questa lettura possa indebolire la protezione dei dati personali, aprendo la strada a pratiche che sfruttano pseudonimizzazione “formale” per aggirare il GDPR.

I rischi principali evidenziati sono:

  • Ridentificazione indiretta: in un mondo di big data, anche dataset pseudonimizzati possono essere incrociati con altre fonti pubbliche o private, generando possibilità di identificazione non previste.

  • Differenze di percezione: ciò che oggi appare “non ragionevolmente identificabile” potrebbe diventare facilmente re-identificabile domani, grazie a nuove tecniche di analisi o intelligenza artificiale.

  • Eccessiva frammentazione: una valutazione troppo relativa potrebbe creare incertezza giuridica, perché lo stesso dataset sarebbe “personale” per alcuni soggetti e “non personale” per altri.

Craddock, tuttavia, insiste che la sentenza rappresenta un passo avanti verso una maggiore chiarezza e una gestione più equilibrata dei dati. La protezione degli interessati resta garantita dal fatto che chi conserva la capacità di re-identificazione rimane pienamente soggetto al GDPR.

Implicazioni di policy e regolazione futura

La pronuncia della CGUE avrà verosimilmente effetti anche sulla politica europea dei dati:

  • Si collega con il Data Governance Act e il Data Act, che incentivano la condivisione dei dati non personali per stimolare innovazione e mercato unico digitale.

  • Potrebbe influenzare le linee guida del Comitato europeo per la protezione dei dati (EDPB), che finora aveva mantenuto una linea più restrittiva sul concetto di pseudonimizzazione.

  • Può stimolare un dibattito sulle tecniche di privacy by design, che dovranno garantire pseudonimizzazione robusta e realmente efficace per consentire questa nuova libertà operativa.

Tag:, , , , , , , , , , , , , , , , , , , , , , , , , ,

author avatar
Giovanni Maria Riccio

Potrebbe interessarti

68a6d1f411b0f
“Mia moglie”: come difendersi e quali sono i rimedi
28 Agosto, 2025
anthropic-header
Anthropic previene una class action per violazione del copyright?
28 Agosto, 2025
Владимир_Путин_(08-03-2024)_(cropped)_(higher_res)
Putin cerca di controllare la messaggistica istantanea?
10 Agosto, 2025

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Istituto per le Politiche dell'Innovazione