Dati pseudonimizzati, la Corte UE chiarisce: restano personali se il titolare può identificarli

La Corte di giustizia dell’Unione Europea è tornata a pronunciarsi sul tema delicato dei dati personali e sul valore della pseudonimizzazione. Con la sentenza del 4 settembre 2025 (causa C-413/23 P, Edps contro Srb), i giudici di Lussemburgo hanno stabilito che i dati pseudonimizzati non cessano automaticamente di essere “personali” e che il titolare del trattamento resta tenuto a informare i soggetti interessati, anche quando i dati vengano trasferiti a terzi.

La vicenda nasce dalla risoluzione della crisi bancaria di Banco Popular Español nel 2017. Il Single Resolution Board (Srb), autorità responsabile delle procedure di risoluzione, aveva raccolto osservazioni da azionisti e creditori, poi trasmesse in forma pseudonimizzata a Deloitte, incaricata della valutazione economica. Alcuni dei soggetti coinvolti presentarono reclamo all’European Data Protection Supervisor (Edps), sostenendo di non essere stati informati del possibile trasferimento dei loro dati.

L’Edps diede loro ragione, qualificando le osservazioni come dati personali e contestando allo Srb la violazione dell’obbligo di informativa previsto dal Regolamento (UE) 2018/1725. In prima battuta il Tribunale dell’UE accolse parzialmente il ricorso dello Srb, ma la Corte di giustizia ha ribaltato la decisione, riaffermando alcuni principi fondamentali.

Secondo i giudici, la pseudonimizzazione può impedire l’identificazione dei soggetti da parte del destinatario dei dati, quando questi non abbia accesso alle chiavi di reidentificazione. Tuttavia, per il titolare originario del trattamento, i dati restano personali se conserva le informazioni necessarie per risalire all’identità. Di conseguenza, lo Srb avrebbe dovuto informare sin dall’inizio che i dati raccolti potevano essere trasmessi a terzi, anche se in forma pseudonimizzata.

La Corte ha inoltre sottolineato che le opinioni e osservazioni fornite da una persona fisica costituiscono già di per sé dati personali, a prescindere dal contenuto, poiché esprimono direttamente la posizione individuale di chi le formula.

La decisione ha implicazioni pratiche di rilievo per istituzioni e imprese. Non è sufficiente applicare tecniche di pseudonimizzazione per considerare assolti gli obblighi di trasparenza: ogni titolare deve valutare caso per caso se i dati possano comunque essere ricondotti a una persona fisica e, in tal caso, informare gli interessati circa l’uso e il possibile trasferimento.

Un principio già richiamato dalle linee guida di Enisa e riconosciuto anche dal Data Act e dall’AI Act: la pseudonimizzazione è una misura importante di sicurezza e riduzione del rischio, ma non cancella la natura personale dei dati se il titolare mantiene la possibilità di reidentificazione.

---

LEGGI ANCHE