Attesissima, è arrivata la cosiddetta “sentenza Deloitte” con cui la Corte di Giustizia europea ha riaffermato i principi sul concetto di dato personale, sulla pseudonimizzazione e sull’obbligo di informazione in capo ai titolari del trattamento.
Vuoi bloccare la procedura esecutiva?
richiedi il saldo e stralcio
Una sentenza destinata a fare storia perché stabilisce che, qualora il soggetto terzo non sia concretamente in grado di collegare le informazioni pseudonimizzate con eventuali identificatori personali, allora i dati possono essere considerati anonimi.
Facciamo chiarezza.
Come si è arrivati alla sentenza Deloitte
La controversia nasce dalla risoluzione di Banco Popular Español del 2017, gestita dal Single Resolution Board (SRB). Per decidere sull’eventuale compensazione degli ex azionisti e creditori, il SRB avviò una procedura in due fasi: una fase di registrazione, con raccolta di dati identificativi e documentali, e una fase di consultazione, in cui oltre 2.800 soggetti presentarono osservazioni tramite un form online.
Parte di questi commenti, associati a un codice alfanumerico ma non direttamente nominativi, furono trasmessi a Deloitte, incaricata della valutazione tecnica.
Alcuni interessati reclamarono all’EDPS, sostenendo di non essere stati informati del trasferimento a terzi. L’EDPS confermò l’infrazione e rimproverò il SRB per la violazione dell’art. 15(1)(d) del Regolamento (UE) 2018/1725. Il SRB impugnò la decisione davanti al Tribunale UE, che accolse in parte il ricorso, sostenendo che i dati trasmessi non costituissero “dati personali” per Deloitte.
Sconto crediti fiscali
Finanziamenti e contributi
Da qui l’appello dell’EDPS dinanzi alla Corte di Giustizia.
La decisione della Corte di Giustizia
Un aspetto centrale della sentenza riguarda la distinzione tra il titolare del trattamento e i terzi destinatari dei dati pseudonimizzati.
La Corte conferma la logica del Tribunale UE: se un terzo destinatario non dispone dei mezzi o delle informazioni necessarie per identificare concretamente l’interessati i dati possono essere considerati anonimi e quindi non personali.
Questo punto smentisce la posizione dell’EDPS, secondo cui i dati pseudonimizzati sarebbero automaticamente personali per tutti. Con la sentenza del 4 settembre 2025, la Corte di Giustizia ha fissato, in estrema sintesi, tre principi di diritto fondamentali.
Opinioni e punti di vista sono dati personali
Secondo la Corte, le opinioni e valutazioni individuali sono sempre un’espressione del pensiero della persona che le formula e quindi sono intrinsecamente collegate al suo autore.
Non occorre, quindi, analizzarne contenuto, scopo o effetti: si tratta comunque di dati personali.
Pseudonimizzazione: non equivale ad anonimizzazione
Come anticipato, la pseudonimizzazione riduce i rischi, ma non rende automaticamente i dati anonimi.
La Corte chiarisce la distinzione tra titolare del trattamento e terzo destinatario.
Opportunità unica
partecipa alle aste immobiliari.
Per il titolare (SRB), che conserva la possibilità di re-identificazione tramite i codici, i dati restano personali. Per il destinatario terzo (Deloitte), invece, se le misure tecniche impediscono concretamente l’identificazione, i dati possono non essere qualificati come personali.
Ne consegue che, contrariamente a quanto sosteneva l’EDPS, i dati pseudonimizzati non devono essere considerati dati personali in ogni caso e per ogni persona, ai fini dell’applicazione del Regolamento 2018/1725, nella misura in cui la pseudonimizzazione può, a seconda delle circostanze, impedire effettivamente a persone diverse dal titolare di identificare l’interessato in modo tale che, per loro, l’interessato non sia o non sia più identificabile.
La qualificazione dei dati dipende quindi da una valutazione caso per caso, basata sui mezzi “ragionevolmente utilizzabili” per risalire all’identità.
Obbligo di informazione: valutazione dal punto di vista del titolare
Un punto centrale della decisione riguarda l’obbligo di informazione previsto dall’art. 15, par. 1, lett. d) del Regolamento (UE) 2018/1725. La Corte di Giustizia ha chiarito che tale obbligo va valutato al momento della raccolta dei dati e dal punto di vista del titolare del trattamento, non da quello del destinatario terzo che riceverà successivamente i dati.
In concreto, lo SRB avrebbe dovuto menzionare Deloitte tra i possibili destinatari già nell’informativa resa agli interessati al momento della raccolta delle osservazioni. Non rileva, infatti, se per Deloitte i dati pseudonimizzati non fossero direttamente riconducibili agli autori: ciò che conta è la relazione giuridica tra titolare e interessato.
Secondo la Corte, questa impostazione garantisce che l’interessato possa decidere consapevolmente se fornire o meno i propri dati, sapendo fin dall’inizio a chi potranno essere trasmessi, e possa difendere i propri diritti nei confronti di tali destinatari.
Spostare la valutazione sul punto di vista del destinatario, come aveva fatto il Tribunale, significherebbe svuotare di contenuto l’obbligo di trasparenza e alterarne la funzione di tutela preventiva.
Opportunità uniche acquisto in asta
ribassi fino al 70%
Implicazioni pratiche per imprese e istituzioni
La pronuncia rafforza tre direttrici fondamentali nella compliance privacy.
Innanzitutto, il concetto di dato personale comprende anche contributi e opinioni, indipendentemente dal loro contenuto, perché riflettono il pensiero dell’interessato.
In secondo luogo, la pseudonimizzazione non esclude l’applicazione della normativa: essa rappresenta una misura di sicurezza che, a seconda delle circostanze e dell’efficacia delle misure adottate, può rendere i dati non identificabili per terzi, ma non per il titolare.
Infine, l’obbligo di trasparenza grava sul titolare fin dalla raccolta e richiede di indicare tutti i potenziali destinatari dei dati, anche quando la pseudonimizzazione riduce la possibilità di identificazione da parte di tali destinatari.
Conclusioni
La Corte di Giustizia ribadisce un approccio rigoroso e sostanziale: qualsiasi informazione che riflette il pensiero individuale è sempre dato personale, e l’informativa agli interessati non può dipendere da tecnicismi di pseudonimizzazione.
Allo stesso tempo, la sentenza chiarisce che i dati pseudonimizzati non sono automaticamente personali per tutti i soggetti: la loro qualificazione dipende dai mezzi concretamente disponibili per identificare l’interessato.
Sconto crediti fiscali
Finanziamenti e contributi
Per il titolare del trattamento, che possiede le informazioni necessarie per la re-identificazione, i dati restano personali. Per un terzo destinatario che non dispone di tali mezzi, i dati pseudonimizzati possono essere trattati come anonimi, purché siano rispettate le misure tecniche e organizzative volte a impedire l’identificazione.
Questo principio è particolarmente rilevante anche per il settore sanitario e della ricerca, dove dati pseudonimizzati sono spesso condivisi tra enti, laboratori e partner esterni per studi clinici, registri sanitari o progetti di intelligenza artificiale.
La sentenza consente di proteggere l’identità dei soggetti, garantire la compliance normativa e favorire la condivisione sicura dei dati in contesti multilivello.
In sintesi, la pronuncia definisce chiaramente i confini della pseudonimizzazione, ribadisce l’obbligo di trasparenza del titolare e rappresenta un punto di riferimento storico per la gestione dei dati personali in Europa.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Contabilità
Buste paga
