Gli alias e i dati pseudonimizzati non sono un modo per sfuggire agli obblighi del Regolamento europeo sulla privacy. Lo ha stabilito la Corte di giustizia dell’Unione europea (CGUE) con la sentenza del 4 settembre 2025 (causa C-413/23), chiarendo che tali informazioni devono essere considerate a tutti gli effetti dati personali qualora sia possibile, anche indirettamente, risalire all’identità delle persone cui si riferiscono.
Una pronuncia che mette fine a prassi elusive riscontrate negli ultimi anni, in cui imprese e organizzazioni hanno tentato di sottrarsi agli obblighi previsti dal GDPR (Regolamento UE 2016/679) sostenendo che, una volta “mascherati” i dati, questi uscissero dall’ambito di applicazione della normativa.
Tre scenari e regole diverse
La Corte ha individuato tre tipologie di flussi di dati pseudonimizzati:
- Circolazione interna: quando i dati rimangono all’interno della stessa organizzazione (impresa o pubblica amministrazione) e vengono messi a disposizione dei dipendenti.
- Fornitore esterno (outsourcing): quando i dati sono affidati a un soggetto esterno che li tratta per conto dell’organizzazione, in qualità di responsabile del trattamento, vincolato da contratto ex art. 28 GDPR.
- Comunicazione a terzi autonomi: quando i dati sono trasferiti a un’altra entità giuridica che li utilizza per finalità proprie, assumendo il ruolo di titolare autonomo.
Se nei primi due casi l’impresa rimane pienamente responsabile del flusso dei dati, nel terzo scenario la questione si complica: il destinatario deve verificare se i dati pseudonimizzati possano condurre, con mezzi ragionevolmente disponibili (incluse fonti pubbliche o strumenti di intelligenza artificiale), all’identificazione dell’interessato.
Pseudonimizzazione ≠ anonimizzazione
La CGUE ha ribadito che la pseudonimizzazione non equivale all’anonimizzazione. La differenza è sostanziale:
-
Dati pseudonimizzati: continuano a rientrare nel GDPR se esiste un rischio di reidentificazione.
-
Dati anonimizzati: escono dal campo di applicazione del regolamento solo se l’identificazione risulta impossibile in modo definitivo e irreversibile.
Obblighi per imprese e PA
Le conseguenze pratiche della sentenza sono rilevanti: sia l’organizzazione che pseudonimizza i dati sia quella che li riceve devono adempiere a precisi obblighi. In particolare:
-
fornire un’informativa completa agli interessati;
-
verificare la base giuridica del trattamento;
-
applicare misure di sicurezza adeguate;
-
consentire l’esercizio dei diritti previsti dal GDPR.
Il titolare del trattamento, inoltre, deve valutare con attenzione se i dati pseudonimizzati possano ancora permettere, direttamente o indirettamente, l’identificazione degli interessati.
Un monito contro gli abusi
Secondo gli esperti, la pronuncia chiude ogni margine interpretativo a favore di chi pensava di “aggirare” il GDPR tramite la pseudonimizzazione. Le imprese e le pubbliche amministrazioni, quindi, non potranno più sostenere che il trasferimento di tali dati a terzi non comporti oneri di compliance.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Cassazione | Rito ordinario per decreto ingiuntivo in materia locatizia emesso da giudice ordinario
Con l’ordinanza n. 13693 del 16 maggio 2024, la Corte di Cassazione ha affrontato la questione del rito da seguire per l’opposizione a un decreto…
I dati personali come materie prime: via libera al decreto sul “Data governance act”
Agid diventa lo sportello unico per il riutilizzo dei dati delle Pubbliche Amministrazioni. Sanzioni severe per le imprese in caso di abusi
La Corte Costituzionale, con la sentenza n. 99/2024, ha dichiarato l’incostituzionalità dell’art. 42-bis, comma 1, del Testo unico delle disposizioni legislative in materia di tutela…
