Pseudonimizzazione dei dati: le linee guida EDPB e il caso Deloitte

Tale definizione del GDPR è ripresa all’interno dei recentissimi Orientamenti 1/2025 dell’EDPB sulla pseudonimizzazione adottati il 16 gennaio scorso, i quali aggiungono che “[…] Attribuire i dati a una persona identificabile significa collegare i dati ad altre informazioni con riferimento alle quali la persona fisica potrebbe essere identificata. Tale collegamento può essere stabilito sulla base di uno o più identificatori o attributi identificativi”.

Orientamenti 1/2025 EDPB e uso secondario dei dati

Le tecniche di pseudonimizzazione sono importanti per una serie di motivi: primo tra tutti perché riducono i rischi per la riservatezza (purché, ovviamente, la pseudonimizzazione sia effettuata in modo efficace) come evidenziato dall’EDPB negli Orientamenti 1/2025, i quali presentano una panoramica dei benefici della pseudonimizzazione. Infatti, in primo luogo, la pseudonimizzazione impedisce la divulgazione degli identificatori diretti degli interessati ad alcuni o a tutti i legittimi destinatari dei dati pseudonimizzati. In secondo luogo, in caso di divulgazione o accesso non autorizzato a dati effettivamente pseudonimizzati, la pseudonimizzazione può ridurre la gravità del rischio di riservatezza che ne deriva e il rischio di conseguenze negative di tale divulgazione o accesso per gli interessati, a condizione che alle persone a cui vengono divulgati i dati sia impedito l’accesso a ulteriori dati.

Pseudonimizzazione e uso secondario dei dati

Inoltre, il tema della pseudonimizzazione può essere declinato anche con riferimento all’uso secondario dei dati. Si parla di uso secondario dei dati per indicare quella pratica di impiegare informazioni raccolte per uno scopo iniziale in contesti e applicazioni differenti rispetto a quelli originariamente previsti. Questa pratica abbraccia un’ampia gamma di attività, tra cui analisi di mercato avanzate, personalizzazione di servizi, sviluppo di modelli predittivi e monetizzazione dei dati stessi.

Tuttavia, bisogna considerare che l’uso secondario dei dati è da ritenersi ammissibile se lo scopo per cui sono stati originariamente raccolti i dati è compatibile con l’ulteriore finalità di trattamento. Sul tema, il Considerando 50 GDPR specifica espressamente che “il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti”. Si rende quindi necessario effettuare un test di compatibilità (da parte del titolare del trattamento) delle finalità originarie e secondarie, tenendo conto di una serie di fattori.

Tali fattori, evidenziati dalla Corte di Giustizia nella sentenza C-77/21, sono ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; il contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento; la natura dei dati personali; le possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; l’esistenza di garanzie adeguate che possono comprendere la cifratura o la pseudonimizzazione^[1].

In proposito, l’EDPB stesso, con gli Orientamenti 1/2025, evidenzia come la pseudonimizzazione possa contribuire a garantire la compatibilità con la finalità originaria (art. 6 par. 4 GDPR)^[2]. Infatti, il Board evidenzia che la pseudonimizzazione può ridurre i rischi di function creep, ossia il rischio che i dati personali vengano ulteriormente trattati in modo incompatibile con le finalità per cui sono stati raccolti. Questo perché gli autorizzati del trattamento o le persone che agiscono sotto l’autorità del titolare del trattamento o del responsabile del trattamento, che hanno accesso ai dati pseudonimizzati, non sono in grado di utilizzare tali dati per finalità il cui adempimento richiede l’attribuzione agli interessati. In particolare, ciò riguarda le finalità che richiedono un’interazione diretta con gli interessati.

La pseudonimizzazione nella sentenza Deloitte

Il tema della pseudonimizzazione è ampiamente affrontato anche all’interno della sentenza del 26 aprile 2023 nella causa T‑557/20 (c.d. Sentenza Deloitte) della Corte di Giustizia dell’Ue (CGUE). Nello specifico, la Corte afferma che i dati pseudonimizzati non devono sempre considerarsi dati personali; dunque, ciò significa escludere l’applicabilità della normativa privacy in tutta una serie di casi, aprendo nuovi inattesi spazi per lo sfruttamento di informazioni che non sono più riconducibili ad individui identificati o identificabili^[3].

Pertanto, la sentenza Deloitte fa emergere una nozione di “dato pseudonimizzato” relativa, potendo essa variare a seconda del soggetto dalla cui prospettiva si guarda l’accesso a quelle informazioni.

In particolare, la Corte ha stabilito che il solo fatto che un soggetto disponga delle informazioni necessarie per risalire all’identità degli interessati non significa che le stesse conclusioni debbano raggiungersi in relazione ad altri soggetti che hanno ricevuto i dati dal primo. In altre parole, i dati che per il mittente sono anonimi potrebbero non esserlo (quindi sarebbero dati personali) per il destinatario. Dunque, per stabilire se un’informazione sia pseudonimizzata o anonima, si deve effettuare una valutazione delle circostanze concrete, volta a verificare se il soggetto che tratta i dati sia in grado di risalire all’identità degli individui a cui questi dati si riferiscono. In caso di risposta negativa, le informazioni devono considerarsi dati anonimi e, come tali, non soggetti all’applicazione della normativa privacy^[4].

In questo contesto, si inserisce l’EDPB con le sue nuove linee guida 1/2025, il quale evidenzia come i dati pseudonimizzati, che potrebbero essere attribuiti a una persona fisica mediante l’uso di informazioni aggiuntive, rimangono informazioni relative a una persona fisica identificabile e sono pertanto ancora dati personali. Inoltre, il Board aggiunge che se i dati possono essere ricollegati a una persona fisica dal titolare del trattamento o da qualcun altro, rimangono dati personali^[5].

I prossimi step

L’interpretazione della Corte di Giustizia dell’Unione europea dei concetti di pseudonimizzazione e anonimizzazione con la sentenza Deloitte hanno aperto diversi interrogativi: poter considerare dati che sono pseudonimizzati per il titolare del trattamento, anonimi (dunque non personali) per un altro soggetto, significherebbe non dover applicare il GDPR ai trattamenti effettuati dal responsabile, pur se su incarico del titolare del trattamento? Ciò sicuramente faciliterebbe l’utilizzabilità dei dati e renderebbe meno gravosa l’attività delle parti^[6].

È per questo motivo che l’European Data Protection Board è intervenuto con gli Orientamenti 1/2025 sul concetto di pseudonomizzazione e ha in programma di emettere chiarimenti anche in tema di anonimizzazione, in modo da chiarire, una volta per tutte, questa annosa questione e dare, così, degli indirizzi interpretativi definitivi.

Note

[1] Ibidem

[2] EDPB, L’EDPB adotta orientamenti sulla pseudonimizzazione e apre la strada a una migliore cooperazione con le autorità garanti della concorrenza,17 gennaio 2025, disponibile al seguente link:https://www.edpb.europa.eu/news/news/2025/edpb-adopts-pseudonymisation-guidelines-and-paves-way-improve-cooperation_it

[3] C. CRISCUOLI, I dati pseudonimizzati non sono sempre dati personali: l’importante chiarimento del Tribunale dell’Unione Europea, in Diritto al Digitale, 26 maggio 2023 disponibile al seguente link: https://dirittoaldigitale.com/2023/05/26/dati-personali-tribunale/

[4] Ibidem

[5] EDPB, L’EDPB adotta orientamenti sulla pseudonimizzazione e apre la strada a una migliore cooperazione con le autorità garanti della concorrenza, 17 gennaio 2025 disponibile al seguente link: https://www.edpb.europa.eu/news/news/2025/edpb-adopts-pseudonymisation-guidelines-and-paves-way-improve-cooperation_it

[6] C. CAPUTO, G. FERORELLI, “Pseudonimizzazione” o “anonimizzazione”? Sui dati, questo è il dilemma (e non solo), in Agenda Digitale, 12 maggio 2023, disponibile al seguente link: https://www.agendadigitale.eu/sicurezza/privacy/pseudonimizzazione-o-anonimizzazione-sui-dati-questo-e-il-dilemma-e-non-solo/