Pseudonimi sotto la lente della Corte UE: sono dati personali a tutti gli effetti

Gli alias e i dati pseudonimizzati non sono un modo per sfuggire agli obblighi del Regolamento europeo sulla privacy. Lo ha stabilito la Corte di giustizia dell’Unione europea (CGUE) con la sentenza del 4 settembre 2025 (causa C-413/23), chiarendo che tali informazioni devono essere considerate a tutti gli effetti dati personali qualora sia possibile, anche indirettamente, risalire all’identità delle persone cui si riferiscono.

Una pronuncia che mette fine a prassi elusive riscontrate negli ultimi anni, in cui imprese e organizzazioni hanno tentato di sottrarsi agli obblighi previsti dal GDPR (Regolamento UE 2016/679) sostenendo che, una volta “mascherati” i dati, questi uscissero dall’ambito di applicazione della normativa.

Tre scenari e regole diverse

La Corte ha individuato tre tipologie di flussi di dati pseudonimizzati:

1. Circolazione interna: quando i dati rimangono all’interno della stessa organizzazione (impresa o pubblica amministrazione) e vengono messi a disposizione dei dipendenti.
2. Fornitore esterno (outsourcing): quando i dati sono affidati a un soggetto esterno che li tratta per conto dell’organizzazione, in qualità di responsabile del trattamento, vincolato da contratto ex art. 28 GDPR.
3. Comunicazione a terzi autonomi: quando i dati sono trasferiti a un’altra entità giuridica che li utilizza per finalità proprie, assumendo il ruolo di titolare autonomo.

Se nei primi due casi l’impresa rimane pienamente responsabile del flusso dei dati, nel terzo scenario la questione si complica: il destinatario deve verificare se i dati pseudonimizzati possano condurre, con mezzi ragionevolmente disponibili (incluse fonti pubbliche o strumenti di intelligenza artificiale), all’identificazione dell’interessato.

Pseudonimizzazione ≠ anonimizzazione

La CGUE ha ribadito che la pseudonimizzazione non equivale all’anonimizzazione. La differenza è sostanziale:

• Dati pseudonimizzati: continuano a rientrare nel GDPR se esiste un rischio di reidentificazione.

• Dati anonimizzati: escono dal campo di applicazione del regolamento solo se l’identificazione risulta impossibile in modo definitivo e irreversibile.

Obblighi per imprese e PA

Le conseguenze pratiche della sentenza sono rilevanti: sia l’organizzazione che pseudonimizza i dati sia quella che li riceve devono adempiere a precisi obblighi. In particolare:

• fornire un’informativa completa agli interessati;

• verificare la base giuridica del trattamento;

• applicare misure di sicurezza adeguate;

• consentire l’esercizio dei diritti previsti dal GDPR.

Il titolare del trattamento, inoltre, deve valutare con attenzione se i dati pseudonimizzati possano ancora permettere, direttamente o indirettamente, l’identificazione degli interessati.

Un monito contro gli abusi

Secondo gli esperti, la pronuncia chiude ogni margine interpretativo a favore di chi pensava di “aggirare” il GDPR tramite la pseudonimizzazione. Le imprese e le pubbliche amministrazioni, quindi, non potranno più sostenere che il trasferimento di tali dati a terzi non comporti oneri di compliance.

---

LEGGI ANCHE