la svolta della sentenza Deloitte

Il contesto della sentenza deloitte

La posta in gioco era altissima: da un lato l’esigenza di proteggere la privacy dei cittadini, dall’altro la necessità di garantire all’Europa gli strumenti per competere nella corsa globale all’intelligenza artificiale.

Attesissima da tutti, la cosiddetta “sentenza Deloitte” – più esattamente si tratta della decisione della Corte di Giustizia 4 settembre 2025  C-413/23P, intervenuta a modificare la sentenza Tribunale dell’Unione T-557/20 – annulla parzialmente la sentenza del Tribunale UE, ma fa salva (anzi spiega e potenzia in maniera molto articolata) il vero punto nodale della questione giuridica affrontata: il tema della anonimizzazione dei dati.

L’articolo analizza quindi questo aspetto.

L’origine della vicenda e ruolo di Deloitte

La vicenda ha origine dal piano di risoluzione di Banco Popular Español, S.A., adottato dall’organismo europeo Comitato di Risoluzione Unico (SRB) il 7 giugno 2017. A seguito di questa risoluzione, l’SRB incaricava la società di revisione Deloitte di effettuare una valutazione per determinare se azionisti e creditori avrebbero ricevuto un trattamento migliore in caso di procedura di insolvenza ordinaria.

Il 6 agosto 2018, l’SRB pubblicava sul proprio sito web una decisione preliminare e una versione non riservata della Valutazione, avviando una procedura di “diritto di essere ascoltati” per gli azionisti e i creditori interessati.

Questa procedura si articolava in due fasi:

1. Fase di registrazione degli azionisti e creditori interessati, che dovevano fornire documentazione comprovante la loro identità e la titolarità degli strumenti di capitale di Banco Popular al 6 giugno 2017.
2. Fase di consultazione relativa alle persone la cui eleggibilità era stata verificata, le quali potevano presentare le proprie osservazioni sulla decisione preliminare e sulla Valutazione tramite un modulo online. A ogni commento inviato veniva assegnato un codice alfanumerico unico. Il personale SRB che trattava le osservazioni in questa fase non aveva accesso ai dati di identificazione raccolti nella fase di registrazione, e solo l’SRB poteva collegare i commenti agli autori tramite il codice alfanumerico.

I commenti relativi alla Valutazione (1.104 in totale) venivano poi trasferiti a Deloitte il 17 giugno 2019, tramite un server dati virtuale sicuro. Deloitte non poteva in alcun modo avere accesso alla banca dati con i dati identificativi raccolti nella fase di registrazione.

Il ricorso al garante europeo e la decisione del tribunale Ue

Tra ottobre e dicembre 2019, alcuni azionisti e creditori presentavano reclami al Garante europeo della protezione dei dati (GEPD), lamentando di non essere stati informati che i dati raccolti sarebbero stati trasmessi a terzi (in particolare a Deloitte e Banco Santander).

Il GEPD adottava una decisione a fronte di tali reclami affermando che:

• I dati condivisi dall’SRB con Deloitte dovevano (per entrambi i soggetti) essere considerati dati pseudonimi e, di conseguenza, dati personali.
• Deloitte era (quindi) un destinatario di dati personali, e che avrebbe dovuto essere indicato in informativa

Avverso tale decisione l’SRB presentava ricorso al Tribunale dell’Unione Europea chiedendo l’annullamento della decisione contestata e sostenendo, tra le altre cose, che le informazioni trasmesse a Deloitte non costituivano dati personali: cioè erano dati anonimi.

Il Tribunale nella sentenza sopra citata accoglieva il ricorso dell’SRB ed annullava la decisione del GEPD, ritenendo che le informazioni trasmesse a Deloitte non costituissero dati personali, in ragione della impossibilità concreta per Deloitte di re-indentificare gli interessati.

In sintesi, il Tribunale ha annullato la decisione del GEPD affermando che i commenti pseudonimizzati in quanto Deloitte non aveva nè legalmente né materialmente i mezzi per ricongiungere le informazioni ricevute con gli identificatori degli interessati (detenute solo da SRB).

La GEPD decideva allora di impugnare in Corte di Giustizia.

La posizione della Corte di Giustizia sull’anonimizzazione

La sentenza della Corte di Giustizia – chiamata ad interpretare il Reg.Ue 2018/1725, che comunque è del tutto identico al GDPR per quanto rileva in questa sede  –  assume una posizione molto netta e chiara sulla valutazione e qualificazione dei dati personali.

In primo luogo si afferma (contrariamente alla tesi della GEPD) che i dati pseudonomizzati trasmessi ad un terzo non mantengono, sempre ed automaticamente, tale natura solo in ragione del fatto che “esistono” informazioni che consentono (in linea teorica) l’identificazione dell’interessato (punto 68 – e nel punto 70 si richiama la sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punto 57).

In secondo luogo, dando atto che i dati pseudonomizzati sono sottoposti a misure tecniche ed organizzative che mirano ad impedire che l’interessato sia identificato, si afferma che:

 “provided that such technical and organisational measures are actually put in place and are such as to prevent the data in question from being attributed to the data subject, in such a way that the data subject is not or is no longer identifiable, pseudonymisation may have an impact on whether or not those data are personal ……….” (punto 75) (traduzione libera) “a condizione che tali misure tecniche e organizzative siano effettivamente messe in atto e siano tali da impedire che i dati in questione siano attribuiti all’interessato, in modo che quest’ultimo non sia o non sia più identificabile, la pseudonimizzazione può avere un impatto sul fatto che tali dati siano o meno personali ……….

Vale a dire che se, nei fatti, il soggetto che riceve i dati pseudonomizzati non è in nessun modo grado di re-identificare l’interessato i dati possono essere considerati anonimi.

Ed ancora al punto 77 si afferma (traduzione libera) “Per quanto riguarda Deloitte, alla quale l’SRB ha trasmesso osservazioni pseudonimizzate, le misure tecniche e organizzative di cui all’articolo 3, paragrafo 6, del regolamento 2018/1725 possono, come sostiene sostanzialmente l’SRB, avere l’effetto che, per tale società, tali osservazioni non sono di natura personale. Tuttavia, ciò presuppone, in primo luogo, che Deloitte non sia in grado di revocare tali misure durante qualsiasi trattamento dei commenti effettuato sotto il suo controllo. In secondo luogo, tali misure devono essere effettivamente tali da impedire a Deloitte di attribuire tali commenti all’interessato, anche ricorrendo ad altri mezzi di identificazione, quali il controllo incrociato con altri fattori, in modo tale che, per la società, la persona interessata non sia o non sia più identificabile.”

L’analisi quindi del rischio di re-identificabilità è una analisi del rischio che deve tenere conto degli aspetti concreti: non è teorica, ma di fatto.

Circa poi la misura del rischio di re-identificazione che consente (o meno) di qualificare i dati come anonimi, la Corte richiama la sentenza del 7 marzo 2024, OC/Commissione, C-479/22, EU:C:2024:215 (punto 51) nella quale si era già affermato che un mezzo di identificazione dell’interessato non è ragionevolmente suscettibile di essere utilizzato quando il rischio di identificazione appare in realtà insignificante, in quanto l’identificazione di tale interessato è vietata dalla legge o impossibile nella pratica, ad esempio perché comporterebbe uno sforzo sproporzionato in termini di tempo, costi e manodopera: in altre parole tale giurisprudenza conferma l’interpretazione secondo cui il fatto che “esistano” informazioni supplementari che consentono l’identificazione dell’interessato non implica, di per sé ed automaticamente, che i dati pseudonimizzati debbano essere considerati dati personali.

La valutazione concreta del rischio di re-identificazione

Ciò che va analizzato è, invece, la possibilità concreta (e non insignificante) che tali informazioni supplementari possano essere acquisite ed utilizzate dal terzo per identificare l’interessato.

Ne deriva che ciò che occorre fare è – sempre – l’analisi del rischio di re-identificazione da parte del soggetto che intende trattare i dati: se tale soggetto ha la possibilità di re-identificare gli interessati, dovrà trattare i dati come personali; se non ha la possibilità materiale o legale di re-identificazione oppure il rischio che ciò avvenga può essere considerato “insignificante” (anche in ragione del fatto che comporterebbe uno sforzo sproporzionato in termini di tempo costi e manodopera) i dati potranno essere considerati anonimi.

Implicazioni pratiche e valore storico della decisione

Si tratta di una sentenza che, in questo momento, possiamo definire “storica”.

L’esigenza di trattare i dati, anche per sviluppare sistemi di intelligenza artificiale e garantirci che i sistemi siano efficaci e privi di bias, è oggi altissima: ed il tema della protezione dei dati è un tema cardine.

Questa sentenza interpreta il quadro giuridico in maniera corretta e apre le porte – in questo modo – ad un più ampio utilizzo dei dati.

Il che non significa poter fare tutto, senza preoccuparsi; significa invece porre in essere una corretta analisi del rischio di reidentificazione e valutare la reale natura dal dato.

Senza automatismi (in un senso o nell’altro) ma con una valutazione concreta della realtà di fatto.