Nel contesto normativo europeo sulla protezione dei dati personali, la recente pronuncia della Corte di Giustizia dell’Unione Europea (CGEU), comunemente denominata “Sentenza Deloitte” del 4 settembre 2025, rappresenta un evento di portata storica, destinato a ridefinire i confini interpretativi e applicativi del Regolamento (UE) 2016/679 (GDPR) e del Regolamento (UE) 2018/1725. La decisione affronta in modo approfondito la natura giuridica dei dati pseudonimizzati e il loro trattamento alla luce delle norme sulla privacy, con effetti diretti sulla compliance in ambito sia pubblico che privato.

Di recente abbiamo affrontato la questione da un punto di vista strettamente pratico, concentrandoci in particolare sulle conseguenze che il trattamento dei dati personali e sensibili nell’ambito della ricerca scientifica può comportare per le persone vulnerabili, ai sensi del considerando 75 GDPR, del WP 248 Gruppo di lavoro articolo 29 e delle regole deontologiche per trattamenti ai fini statistici o di ricerca scientifica (link)*

*Il documento è disponibile, anche, in inglese

Contesto e vicenda processuale: il Caso Deloitte

La controversia deriva dall’intervento del Single Resolution Board (SRB) per la gestione della risoluzione del "Banco Popular Español" nel 2017, operazione in cui si rese necessario l’acquisizione e l’analisi di numerosi dati, tra cui informazioni identificative di soggetti coinvolti. Durante tale processo, il SRB incaricò Deloitte di condurre valutazioni tecniche, trasferendo a quest’ultima dati formalmente pseudonimizzati, associati a un codice alfanumerico, ma non immediatamente riconducibili agli interessati.

Testo integrale della Sentenza della CGUE (link)

Alcuni interessati sollevarono la questione circa l’assenza di informativa contenente, anche, il potenziale trasferimento dei dati a soggetti terzi, promuovendo un’azione di tutela presso l’European Data Protection Supervisor (EDPS). La posizione dell’EDPS era chiara: i dati pseudonimizzati sono e rimangono, di per sé, dati personali, in virtù di un’interpretazione estensiva dell’art. 4, par. 1, del GDPR e, con riferimento all'art. 2, lett. a) del Regolamento (UE) 2018/1725.

Curiosità sul Regolamento (UE) 2018/1725

Si tratta della norma europea che stabilisce le regole sulla protezione dei dati personali quando questi sono trattati dalle istituzioni, dagli organi e dagli organismi dell'Unione Europea. È l'equivalente del GDPR per l'UE stessa, garantendo che anche le istituzioni comunitarie rispettino gli stessi rigorosi standard di protezione dei dati personali, come la trasparenza, l'accuratezza, la sicurezza e il rispetto dei diritti degli interessati.

La controversia approdò infine alla CGUE, la cui pronuncia ha chiarito i principi cardine relativi alla natura giuridica dei dati pseudonimizzati, distinguendo tra il trattamento da parte del titolare (il SRB) e le modalità di accesso e di possibile re-identificazione da parte di terzi (Deloitte).

Principi stabiliti dalla CGUE

La CGUE definisce alcuni principi fondamentali relativi alla qualificazione dei dati e agli obblighi di trasparenza da parte dei titolari del trattamento dei dati personali:

1. Distinzione tra dati personali e dati anonimi

   La Corte afferma che, quand’anche i dati siano formalmente pseudonimizzati, la loro qualificazione come “dati personali” dipende dalla concreta possibilità, per un soggetto terzo, di ricollegarli a un interessato. Se il destinatario dei dati pseudonimizzati, munito di strumenti tecnici e mezzi ragionevolmente utilizzabili, non può identificare concretamente l’interessato/a, tali dati "potrebbero" essere qualificati come anonimi e, quindi, esclusi dall’ambito applicativo del GDPR e del Regolamento (UE) 2018/1725.

   
   

2. Rilevanza delle capacità tecniche e dei mezzi di (re)identificazione

   La qualificazione dei dati dipende dalla valutazione case by case circa la possibilità concreta di identificare l’interessato/a, considerando le misure di sicurezza (anche organizzative e fisiche), le tecniche disponibili e le circostanze specifiche. La pseudonimizzazione, dunque, non rappresenta un’arma assoluta di sicurezza, ma una misura di sicurezza volta a ridurre il rischio di (re)identificazione dell'interessato/a.

   
   

   Su tale argomento avevamo approfondito nel post di gennaio 2025 a seguito della pubblicazione delle linee guida dell'EDPB (in fase di consultazione). Leggi qui

3. Il ruolo del titolare e dei soggetti terzi

   La CGUE chiarisce che i dati pseudonimizzati restano dati personali per il titolare del trattamento e per chi detiene le chiavi di riconnessione (ad esempio, il SRB), che può re-identificare l’interessato/a. Viceversa, per il soggetto terzi, come Deloitte, se le misure tecniche adottate impediscono concretamente la ricostruzione dell’identità, tali dati possono essere considerati non più riconducibili a un interessato, assumendo la natura di dati anonimi ai sensi del GDPR. Diversamente sarebbe se il SRB avesse trasmesso anche la chiave di (re)identificazione a Deloitte.

   
   

4. L’obbligo di informazione e trasparenza

   Un elemento centrale della pronuncia concerne l’obbligo di trasparenza e informativa previsto dall’art. 13 del GDPR e dal Regolamento (UE) 2018/1725. La CGUE ha chiarito che tale obbligo deve essere adempiuto in fase di raccolta e prima del trattamento, considerando il punto di vista del titolare del trattamento e non quello del soggetto terzo (Deloitte). In particolare, il titolare deve comunicare agli interessati gli eventuali possibili destinatari dei dati già nel momento in cui acquisisce il consenso o raccoglie le informazioni, anche quando si tratti di trasmissione a soggetti terzi. Questo approccio garantisce al soggetto interessato di esercitare pienamente i propri diritti, quali il diritto di accesso, di rettifica o di opposizione, e di decidere consapevolmente se fornire i propri dati, avendo una chiara conoscenza dei possibili destinatari e delle modalità di trattamento. Considerare il punto di vista del soggetto terzo rischierebbe di svuotare di contenuto l’obbligo di trasparenza, alterando la finalità di tutela preventiva che la normativa garantisce.

   
   

Criticità

La pronuncia, seppure apprezzabilmente puntuale e articolata, apre anche a problematiche di interpretazione e applicazione pratica che noi abbiamo raggruppato in 4:

1. La valutazione della “concretissima impossibilità” di (re)identificazione dell'interessato/a può risultare spesso soggettiva e dipendente dal contesto, avendo come limite il rapidissimo evolversi delle capacità tecniche di (re)identificazione.

   
   

   La CGUE non introduce novità di rilievo ma si limita a ribadire che i dati pseudonimizzati continuano a essere dati personali per il titolare che detiene le informazioni complementari necessarie per la (re)identificazione, mentre tale qualifica può venir meno per i soggetti terzi che non hanno accesso, né potrebbero ragionevolmente ottenere, tali informazioni. Già il considerando 26 del GDPR già dal 2016 afferma che l’identificabilità deve essere valutata considerando i mezzi “ragionevolmente utilizzabili” dal titolare o da un altro soggetto. La congiunzione disgiuntiva è chiara: la natura di dato personale non è assoluta, ma dipende dalla situazione concreta di chi tratta i dati e dagli strumenti a disposizione. Le recentissime Linee guida EDPB 01/2025 hanno confermato questa impostazione: introducono il concetto di “pseudonymisation domain".

   
   

   Va peraltro tenuto in considerazione quanto affermato dalla CGUE:

   
   

   "[C]contrairement à ce que soutient le CEPD, le Tribunal a jugé à bon droit que des données pseudonymisées ne doivent pas être considérées comme constituant, en toute hypothèse et pour toute personne, des données à caractère personnel aux fins de l’application du règlement 2018/1725, dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, effectivement empêcher des personnes autres que le responsable du traitement d’identifier la personne concernée de telle manière que, pour elles, celle-ci n’est pas ou n’est plus identifiable".

Chi ha parlato degli aspetti pratici e sostanziali?

Nel caso in oggetto, la misura di sicurezza adottata dal Titolare effettivamente impediva a soggetti diversi (in particolare, Deloitte) di identificare o re-identificare l'interessato/a. La questione - si ribadisce - riguarda il fatto che i dati forniti a Deloitte, dopo essere stati pseudonimizzati, erano diventati "sostanzialmente" dati anonimi per il soggetto terzo (Deloitte).

2. La distinzione tra dati condivisi tra enti di ricerca, settore sanitario e aziende private - in virtù di una valida base giuridica - richiederà necessariamente policy interne più rigorose, predisposte insieme al proprio IT, ad esempio in relazione all’uso di tecnologie di anonimizzazione e/o pseudonomizzazione avanzate e di sistemi di controllo degli accessi. I titolari del trattamento, durante l’attuazione di tali misure di sicurezza, dovrebbero essere in grado di distinguere tra dati anonimi e dati pseudonimizzati, ovvero riconoscere le differenze tra i vari metodi di anonimizzazione e pseudonimizzazione, al fine di individuare le misure adottate e valutare i potenziali rischi per i diritti e le libertà degli interessati. I titolari del trattamento dovrebbero essere in grado di affermare se le tecniche di pseudonimizzazione rendono il dato pseudonomizzato - per i soggetti terzi - un dato materialmente anonimo.

   
   

3. La responsabilità del titolare di trattamento di garantire la non riconducibilità rimane centrale, e rischia di gravare su chi deve dimostrare di aver adottato tutte le misure ragionevolmente necessarie.

   
   

4. La pronuncia rafforza inoltre il principio di “privacy by design”, imponendo un’attenta progettazione dei trattamenti fin dall’origine e con consapevolezza circa le reali possibilità di identificazione.

La sentenza Deloitte e l'attività di ricerca scientifica

Nelle more dell’approvazione delle future Regole deontologiche per finalità statistiche e di ricerca scientifica, la sentenza della CGUE rappresenta un elemento che potrebbe mettere in discussione, in modo prospettico, le modalità di svolgimento dell'attività di ricerca scientifica, anche da parte di soggetti terzi, utilizzando dati pseudonimizzati che non consentono (tecnicamente) l’identificazione di una persona fisica.

La CGUE afferma che, a seconda delle circostanze, le tecniche di pseudonimizzazione adottate dai titolari del trattamento "possono" rendere impossibile, per un soggetto terzo, identificare una persona fisica. In effetti, un soggetto che riceve dati pseudonimizzati non può materialmente risalire all’identità degli interessati, a meno che non sia in possesso della chiave necessaria a collegare il dato pseudonimizzato a quello originale.

La CGUE sottolinea che questa valutazione deve essere effettuata caso per caso, e questa “possibilità” di condivisione di informazioni, sia a livello nazionale che europeo, potrebbe, anche alla luce del nuovo Regolamento (UE) 2025/327 (c.d. EHDS), favorire l’interoperabilità. Tuttavia, tale interoperabilità dovrebbe avvenire sempre in un ecosistema condiviso e sicuro, in cui tutti i titolari del trattamento siano obbligati, come previsto dal GDPR, a garantire - in fase di privacy by design e by default - misure di sicurezza tecniche e organizzative adeguate, specialmente durante l’implementazione di tecniche di pseudonimizzazione rafforzate, a fini statistici e di ricerca scientifica.

Conclusioni

La “Sentenza Deloitte” rappresenta un punto di riferimento storico nel panorama della protezione dei dati all'interno dell'UE. Ribadisce in modo rigoroso che qualsiasi informazione, anche se pseudonimizzata, deve essere trattata come dato personale, a meno che non sussistano specifiche condizioni di impossibilità oggettiva di (re)identificazione.

Ma non fate i furbi... la CGUE chiarisce che i dati pseudonimizzati non sono automaticamente dati anonimi: la loro qualificazione dipende dalla possibilità concreta e ragionevole, in circostanze specifiche, di risalire all’identità dell’interessato. Pertanto, le soluzioni tecniche, fisiche e organizzative adottate devono essere oggetto di una valutazione caso per caso, con attenzione alle effettive misure di sicurezza e di segregazione tra dati e strumenti di (re)identificazione.

Dal punto di vista operativo, questa pronuncia ricorda ai titolari di trattamento di integrare politiche di gestione dei dati più robuste, con particolare attenzione alla trasparenza e alla documentazione delle misure tecniche applicate. La chiarezza sulla natura dei dati trattati e sui destinatari previsti costituisce il cuore della tutela del diritto alla protezione dei dati personali.

Autore: Dr. Francisco Garcia (Partner Himmel Advisors · Lawyer · DPO)