Gli alias e i dati pseudonimizzati non sono un modo per sfuggire agli obblighi del Regolamento europeo sulla privacy. Lo ha stabilito la Corte di giustizia dell’Unione europea (CGUE) con la sentenza del 4 settembre 2025 (causa C-413/23), chiarendo che tali informazioni devono essere considerate a tutti gli effetti dati personali qualora sia possibile, anche indirettamente, risalire all’identità delle persone cui si riferiscono.
Una pronuncia che mette fine a prassi elusive riscontrate negli ultimi anni, in cui imprese e organizzazioni hanno tentato di sottrarsi agli obblighi previsti dal GDPR (Regolamento UE 2016/679) sostenendo che, una volta “mascherati” i dati, questi uscissero dall’ambito di applicazione della normativa.
Tre scenari e regole diverse
La Corte ha individuato tre tipologie di flussi di dati pseudonimizzati:
- Circolazione interna: quando i dati rimangono all’interno della stessa organizzazione (impresa o pubblica amministrazione) e vengono messi a disposizione dei dipendenti.
- Fornitore esterno (outsourcing): quando i dati sono affidati a un soggetto esterno che li tratta per conto dell’organizzazione, in qualità di responsabile del trattamento, vincolato da contratto ex art. 28 GDPR.
- Comunicazione a terzi autonomi: quando i dati sono trasferiti a un’altra entità giuridica che li utilizza per finalità proprie, assumendo il ruolo di titolare autonomo.
Se nei primi due casi l’impresa rimane pienamente responsabile del flusso dei dati, nel terzo scenario la questione si complica: il destinatario deve verificare se i dati pseudonimizzati possano condurre, con mezzi ragionevolmente disponibili (incluse fonti pubbliche o strumenti di intelligenza artificiale), all’identificazione dell’interessato.
Pseudonimizzazione ≠ anonimizzazione
La CGUE ha ribadito che la pseudonimizzazione non equivale all’anonimizzazione. La differenza è sostanziale:
-
Dati pseudonimizzati: continuano a rientrare nel GDPR se esiste un rischio di reidentificazione.
-
Dati anonimizzati: escono dal campo di applicazione del regolamento solo se l’identificazione risulta impossibile in modo definitivo e irreversibile.
Obblighi per imprese e PA
Le conseguenze pratiche della sentenza sono rilevanti: sia l’organizzazione che pseudonimizza i dati sia quella che li riceve devono adempiere a precisi obblighi. In particolare:
-
fornire un’informativa completa agli interessati;
-
verificare la base giuridica del trattamento;
-
applicare misure di sicurezza adeguate;
-
consentire l’esercizio dei diritti previsti dal GDPR.
Il titolare del trattamento, inoltre, deve valutare con attenzione se i dati pseudonimizzati possano ancora permettere, direttamente o indirettamente, l’identificazione degli interessati.
Un monito contro gli abusi
Secondo gli esperti, la pronuncia chiude ogni margine interpretativo a favore di chi pensava di “aggirare” il GDPR tramite la pseudonimizzazione. Le imprese e le pubbliche amministrazioni, quindi, non potranno più sostenere che il trasferimento di tali dati a terzi non comporti oneri di compliance.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Lo scontro tra Nordio e le toghe paralizza il CSM: il Colle osserva, Pinelli media
Le tensioni tra il ministro della Giustizia e la magistratura approdano al Consiglio Superiore, dove lo stallo blocca i lavori e mette in crisi l’organo…
Convenzione Assaperlo.com per gli iscritti di Cassa Forense
Assaperlo.com è un progetto digitale che unisce assicurazioni ed esclusivi servizi per il privato e per il professionista. Il servizio mette a disposizione degli iscritti…
Il futuro del lavoro è già qui: entro il 2030 il 60% dei lavoratori dovrà reinventarsi
Secondo il World Economic Forum, l’intelligenza artificiale non sostituirà solo alcune mansioni, ma ridefinirà l’intero sistema di competenze. La sfida? Unire abilità digitali e soft…
