Gli alias e i dati pseudonimizzati non sono un modo per sfuggire agli obblighi del Regolamento europeo sulla privacy. Lo ha stabilito la Corte di giustizia dell’Unione europea (CGUE) con la sentenza del 4 settembre 2025 (causa C-413/23), chiarendo che tali informazioni devono essere considerate a tutti gli effetti dati personali qualora sia possibile, anche indirettamente, risalire all’identità delle persone cui si riferiscono.
Una pronuncia che mette fine a prassi elusive riscontrate negli ultimi anni, in cui imprese e organizzazioni hanno tentato di sottrarsi agli obblighi previsti dal GDPR (Regolamento UE 2016/679) sostenendo che, una volta “mascherati” i dati, questi uscissero dall’ambito di applicazione della normativa.
Tre scenari e regole diverse
La Corte ha individuato tre tipologie di flussi di dati pseudonimizzati:
- Circolazione interna: quando i dati rimangono all’interno della stessa organizzazione (impresa o pubblica amministrazione) e vengono messi a disposizione dei dipendenti.
- Fornitore esterno (outsourcing): quando i dati sono affidati a un soggetto esterno che li tratta per conto dell’organizzazione, in qualità di responsabile del trattamento, vincolato da contratto ex art. 28 GDPR.
- Comunicazione a terzi autonomi: quando i dati sono trasferiti a un’altra entità giuridica che li utilizza per finalità proprie, assumendo il ruolo di titolare autonomo.
Se nei primi due casi l’impresa rimane pienamente responsabile del flusso dei dati, nel terzo scenario la questione si complica: il destinatario deve verificare se i dati pseudonimizzati possano condurre, con mezzi ragionevolmente disponibili (incluse fonti pubbliche o strumenti di intelligenza artificiale), all’identificazione dell’interessato.
Pseudonimizzazione ≠ anonimizzazione
La CGUE ha ribadito che la pseudonimizzazione non equivale all’anonimizzazione. La differenza è sostanziale:
-
Dati pseudonimizzati: continuano a rientrare nel GDPR se esiste un rischio di reidentificazione.
-
Dati anonimizzati: escono dal campo di applicazione del regolamento solo se l’identificazione risulta impossibile in modo definitivo e irreversibile.
Obblighi per imprese e PA
Le conseguenze pratiche della sentenza sono rilevanti: sia l’organizzazione che pseudonimizza i dati sia quella che li riceve devono adempiere a precisi obblighi. In particolare:
-
fornire un’informativa completa agli interessati;
-
verificare la base giuridica del trattamento;
-
applicare misure di sicurezza adeguate;
-
consentire l’esercizio dei diritti previsti dal GDPR.
Il titolare del trattamento, inoltre, deve valutare con attenzione se i dati pseudonimizzati possano ancora permettere, direttamente o indirettamente, l’identificazione degli interessati.
Un monito contro gli abusi
Secondo gli esperti, la pronuncia chiude ogni margine interpretativo a favore di chi pensava di “aggirare” il GDPR tramite la pseudonimizzazione. Le imprese e le pubbliche amministrazioni, quindi, non potranno più sostenere che il trasferimento di tali dati a terzi non comporti oneri di compliance.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
La misura riguarda i procedimenti definiti tra il 1994 e il 2020. Dopo la scadenza, i documenti non reclamati saranno destinati al macero
Equo compenso: accordi tra notariato e banche per le surroghe
La misura intende tutelare i cittadini e le famiglie che hanno contratto mutui per l’acquisto della prima casa, garantendo al contempo un compenso equo e…
Telemedicina, svolta digitale con Spid e Cie: ecco come funzionerà la piattaforma nazionale
Un decreto del Ministero della Salute disciplina i servizi sanitari a distanza e le garanzie per la privacy dei pazienti. Cinque le tipologie di prestazioni…
