La Corte di Giustizia UE chiarisce i limiti della pseudonimizzazione: i dati restano personali per chi detiene la chiave

Il caso GEPD/SRB: quando le opinioni pseudonimizzate rimangono dati personali

La recente sentenza della Corte di Giustizia dell’Unione Europea nella Causa C-413/23 P del 4 settembre 2025 offre importanti chiarimenti sulla natura dei dati pseudonimizzati e sugli obblighi di trasparenza dei titolari del trattamento, con implicazioni significative per chiunque gestisca processi di condivisione dati con terze parti.

Il contesto fattuale

Il caso nasce dalla procedura di indennizzo gestita dal Comitato di risoluzione unico (SRB) per gli azionisti del Banco Popular Español dopo la sua risoluzione nel 2017. Il SRB aveva raccolto osservazioni dagli interessati tramite moduli online, assegnando a ciascuna un codice alfanumerico univoco. Successivamente, aveva trasmesso oltre 1.100 osservazioni pseudonimizzate alla società Deloitte per valutazione, mantenendo però presso di sé la “chiave” per collegare i codici alle identità degli autori.

Nel corso dei mesi di ottobre e di dicembre 2019, taluni azionisti e creditori interessati che avevano risposto al modulo hanno presentato cinque reclami al GEPD lamentando di non essere stati informati che i loro dati sarebbero stati condivisi con terzi, in violazione dell’articolo 15 del Regolamento 2018/1725.

I principi di diritto stabiliti dalla Corte

1. Le opinioni personali sono intrinsecamente dati personali

La Corte ha stabilito un principio fondamentale: opinioni e punti di vista personali sono intrinsecamente collegati alla persona che li esprime e costituiscono quindi dati personali, senza necessità di ulteriori analisi su contenuto, finalità o effetti. Questo rappresenta un’interpretazione estensiva della nozione di dato personale che rafforza la tutela degli interessati.

2. La natura “relativa” dei dati pseudonimizzati

Il punto più innovativo della sentenza riguarda la natura dei dati pseudonimizzati. La Corte chiarisce che:

Per il titolare del trattamento che detiene la chiave di re-identificazione, i dati pseudonimizzati rimangono sempre dati personali
Per i terzi destinatari che non hanno accesso alla chiave, gli stessi dati potrebbero non costituire dati personali, ma solo se le misure tecniche e organizzative impediscono effettivamente ogni possibilità di re-identificazione

Questa interpretazione introduce una concezione “relativa” del dato personale: la stessa informazione può essere simultaneamente un dato personale per un soggetto e non esserlo per un altro.

3. L’obbligo di trasparenza prevale sulla pseudonimizzazione

Aspetto cruciale: l’obbligo di informare gli interessati sui destinatari dei dati (art. 15 Reg. 2018/1725) va valutato:

Al momento della raccolta dei dati
Dal punto di vista del titolare del trattamento

Non rileva che i dati, dopo pseudonimizzazione, possano perdere carattere personale per il destinatario. Il titolare deve sempre informare preventivamente gli interessati sulla possibile condivisione, anche se intende pseudonimizzare i dati prima del trasferimento.

Pseudonimizzazione vs Anonimizzazione: differenze sostanziali

La sentenza offre l’occasione per riflettere sulla distinzione fondamentale tra questi due concetti, spesso confusi nella pratica:

Pseudonimizzazione

Definizione: trattamento che impedisce l’attribuzione dei dati a un interessato specifico senza l’uso di informazioni aggiuntive conservate separatamente
Reversibilità: il processo è reversibile per chi detiene la chiave
Status giuridico: i dati rimangono personali almeno per il titolare del trattamento
Applicazione GDPR: si applica integralmente
Esempio: sostituire i nomi con codici alfanumerici mantenendo una tabella di corrispondenza

Anonimizzazione

Definizione: processo che rende impossibile l’identificazione dell’interessato con qualsiasi mezzo ragionevolmente utilizzabile
Irreversibilità: il processo deve essere irreversibile per chiunque
Status giuridico: i dati cessano di essere personali
Applicazione GDPR: non si applica più
Esempio: aggregazione statistica che impedisce qualsiasi re-identificazione individuale

Implicazioni pratiche per le organizzazioni

Questa sentenza ha conseguenze rilevanti per chi gestisce dati personali:

Due diligence nella condivisione dati: prima di condividere dati pseudonimizzati, verificare se il destinatario possa ragionevolmente re-identificare gli interessati attraverso altri mezzi
Trasparenza rafforzata: l’informativa privacy deve sempre indicare tutti i potenziali destinatari dei dati, indipendentemente dalle tecniche di protezione che si intende applicare
Documentazione delle misure tecniche: è essenziale documentare e dimostrare l’efficacia delle misure di pseudonimizzazione implementate
Valutazione caso per caso: non esistono soluzioni universali; ogni trasferimento di dati pseudonimizzati richiede una valutazione specifica del contesto e dei rischi

L’intelligenza artificiale alla prova della pseudonimizzazione: cosa cambia con l’AI Act

La sentenza della Corte acquisisce una dimensione ancora più rilevante se letta alla lucedell’AI Act (Regolamento UE 2024/1689), entrato in vigore nell’agosto 2024. Il nuovo regolamento europeo sull’intelligenza artificiale pone infatti requisiti particolarmente stringenti per i sistemi che trattano categorie speciali di dati, e l’interpretazione fornita dalla Corte sulla natura “relativa” dei dati pseudonimizzati impatta direttamente su molte applicazioni di IA considerate ad alto rischio.

La sfida dei dati biometrici nell’era dell’IA

Prendiamo il caso dei sistemi di identificazione biometrica, sempre più diffusi in ambito aziendale e pubblico. Quando questi sistemi pseudonimizzano i template biometrici - quelle impronte digitali matematiche del nostro volto o della nostra voce - la sentenza ci ricorda una verità scomoda: per il fornitore del sistema che mantiene la chiave di decodifica, quei dati restano sempre e comunque dati personali di natura sensibile. Non importa quanto sofisticate siano le tecniche di privacy-preserving utilizzate, come l’hashing biometrico o la crittografia omomorfica: l’obbligo di trasparenza verso gli interessati permane integralmente.

Ma c’è di più. Quando questi template vengono condivisi con terze parti - pensiamo ai cloud provider che ospitano i sistemi o ai partner tecnologici che forniscono componenti specializzate - la situazione si complica ulteriormente. Solo se le misure tecniche implementate impediscono realmente e completamente qualsiasi possibilità di re-identificazione, allora e solo allora questi dati potrebbero perdere il loro carattere personale per questi soggetti terzi. Un’eventualità, come la sentenza dimostra, tutt’altro che scontata.

Il terreno minato del riconoscimento delle emozioni

Ancora più delicata è la questione dei sistemi di riconoscimento delle emozioni, che l’AI Act vieta espressamente in contesti lavorativi ed educativi, salvo limitate eccezioni. Qui la sentenza assume un peso determinante: anche quando le espressioni facciali o i parametri vocali vengono pseudonimizzati nei dataset di training, la loro natura di dato personale non svanisce. Le inferenze sullo stato emotivo di una persona - quella micro-espressione che rivela stress, quella modulazione vocale che tradisce ansia - rimangono indissolubilmente legate all’individuo che le ha generate.

Questo significa che le aziende che sviluppano sistemi di emotion AI non possono nascondersi dietro la pseudonimizzazione per aggirare i divieti dell’AI Act. Nei luoghi di lavoro, pseudonimizzare i dati emotivi dei dipendenti non rende legittimo l’uso di sistemi altrimenti vietati. Per applicazioni in ambito medico o di sicurezza, dove alcune eccezioni sono previste, diventa essenziale documentare rigorosamente non solo le misure di pseudonimizzazione adottate, ma l’effettiva impossibilità di re-identificazione da parte di tutti gli attori coinvolti nella catena del valore.

La sentenza illumina anche l’intersezione sempre più critica tra GDPR e AI Act nella governance dei dati per l’IA, un aspetto che le nuove Linee Guida EDPB 01/2025 affrontano specificamente. L’EDPB chiarisce che “la riduzione del rischio risultante dalla pseudonimizzazione può consentire ai titolari di fare affidamento su interessi legittimi ai sensi dell’Art. 6(1)(f) GDPR” - un principio particolarmente rilevante per i sistemi di IA che processano grandi volumi di dati.

La pseudonimizzazione dei dataset di training, pratica comunissima nel machine learning, non esime dai requisiti di qualità dei dati previsti dall’articolo 10 dell’AI Act. Come evidenziato dalle Linee Guida EDPB, i titolari devono “stabilire e definire con precisione i rischi che intendono affrontare con la pseudonimizzazione” (Executive Summary). Nel contesto dell’IA, questo significa documentare nel dettaglio non solo chi detiene le chiavi di re-identificazione, ma anche come le misure tecniche implementate prevengano effettivamente la re-identificazione da parte di terzi, con valutazioni caso per caso dell’efficacia della pseudonimizzazione per ogni specifico contesto d’uso.

Le Linee Guida forniscono anche esempi concreti (Esempi 7 e 8 nell’Annex) di come la pseudonimizzazione possa facilitare il bilanciamento degli interessi quando si tratta di analisi secondarie dei dati - scenari comuni nell’addestramento di modelli di IA. Tuttavia, l’EDPB avverte che “la pseudonimizzazione da sola normalmente non sarà una misura sufficiente” e deve essere combinata con altre salvaguardie tecniche e organizzative.

Le implicazioni pratiche sono profonde. Nel federated learning, dove modelli di IA vengono addestrati su dati distribuiti e pseudonimizzati, l’obbligo di informativa rimane fermamente in capo al coordinatore centrale. La generazione di dati sintetici a partire da dataset pseudonimizzati - altra tecnica sempre più popolare - non elimina automaticamente il carattere personale dei dati se il processo rimane in qualche modo reversibile. E per ogni attore che riceve dati pseudonimizzati lungo la catena del valore dell’IA, diventa necessaria una mappatura precisa e una valutazione del rischio di re-identificazione, come dettagliato nel paragrafo 135 delle Linee Guida EDPB.

Gli obblighi documentali rafforzati

Particolarmente rilevanti sono gli obblighi documentali che emergono dall’incrocio tra la sentenza e l’AI Act. Il technical documentation file richiesto per i sistemi ad alto rischio deve ora specificare con precisione:

Chi detiene le chiavi di re-identificazione e con quali garanzie
Le misure tecniche specifiche che impediscono la re-identificazione da parte di ciascun soggetto terzo
Una valutazione dettagliata, caso per caso, dell’efficacia reale della pseudonimizzazione

Le valutazioni d’impatto sulla protezione dei dati (DPIA) devono essere ripensate per considerare esplicitamente la natura “relativa” dei dati pseudonimizzati: ciò che è anonimo per un soggetto può essere personale per un altro, e questa distinzione deve essere documentata e gestita attivamente.

Verso un nuovo paradigma di protezione dei dati nell’era dell’IA

La sentenza della Corte ci pone di fronte a una realtà che il settore tecnologico deve accettare: la pseudonimizzazione, per quanto sofisticata, non è una bacchetta magica che trasforma i dati personali in dati anonimi. È piuttosto uno strumento in un arsenale più ampio di misure di protezione che devono essere orchestrate con attenzione, documentate meticolosamente e, soprattutto, comunicate con trasparenza agli interessati.

In un’epoca in cui l’intelligenza artificiale permea sempre più aspetti della nostra vita quotidiana - dal riconoscimento facciale che sblocca i nostri telefoni alle analisi predittive che influenzano decisioni cruciali su credito, occupazione e salute - questa sentenza ci ricorda che la protezione dei dati personali non può essere sacrificata sull’altare dell’innovazione tecnologica. La strada da percorrere richiede un equilibrio delicato ma necessario tra le potenzialità trasformative dell’IA e i diritti fondamentali degli individui.

Conclusioni

La sentenza GEPD/SRB non solo rafforza i principi del GDPR ma anticipa sfide cruciali per l’applicazione dell’AI Act. Nel contesto dell’intelligenza artificiale, dove la pseudonimizzazione è spesso vista come soluzione per bilanciare innovazione e privacy, la Corte ci ricorda che:

La pseudonimizzazione non è una “silver bullet” per la compliance, specialmente per sistemi IA ad alto rischio
I dati biometrici e le inferenze emotive mantengono la loro sensibilità anche se pseudonimizzati
La trasparenza verso gli interessati è un obbligo che prevale sulle misure tecniche di protezione

Per le organizzazioni che sviluppano o utilizzano sistemi di IA, questo significa adottare un approccio privacy-by-design che vada oltre la mera pseudonimizzazione, integrando fin dalla progettazione misure che garantiscano vera anonimizzazione dove possibile, o piena conformità al framework GDPR-AI Act dove i dati rimangono personali.

Fonte: Sentenza CGUE C-413/23 P, GEPD/SRB, 4 settembre 2025

Hashtag correlati

#GDPR #AIAct #DataProtection #Pseudonymization #CJEU #ArtificialIntelligence #BiometricData #EmotionRecognition #EDPS #DataGovernance #PrivacyByDesign #AI #LegalTech #DataSecurity #DigitalRights #TechLaw #Compliance #CaseAnalysis #CourtRuling #DataStrategy

La Corte di Giustizia UE chiarisce i limiti della pseudonimizzazione: i dati restano personali per chi detiene la chiave#

Il caso GEPD/SRB: quando le opinioni pseudonimizzate rimangono dati personali#

Il contesto fattuale#

I principi di diritto stabiliti dalla Corte#

1. Le opinioni personali sono intrinsecamente dati personali#

2. La natura “relativa” dei dati pseudonimizzati#

3. L’obbligo di trasparenza prevale sulla pseudonimizzazione#

Pseudonimizzazione vs Anonimizzazione: differenze sostanziali#

Pseudonimizzazione#

Anonimizzazione#

Implicazioni pratiche per le organizzazioni#

L’intelligenza artificiale alla prova della pseudonimizzazione: cosa cambia con l’AI Act#

La sfida dei dati biometrici nell’era dell’IA#

Il terreno minato del riconoscimento delle emozioni#

L’intersezione critica tra GDPR e AI Act#

Gli obblighi documentali rafforzati#

Verso un nuovo paradigma di protezione dei dati nell’era dell’IA#

Conclusioni#