L’anonimizzazione dei dati personali: aggiornamenti, sviluppi e prospettive future

Quello dell’anonimizzazione è un tema che, oggi più di ieri, impegna consulenti, imprese, enti pubblici e autorità di controllo.

Abbiamo cercato di esplorare il significato e le opportunità dell’anonimizzazione nel contesto della protezione dei dati personali in una serie di articoli pubblicati nel 2021, che evidenzia come possa consentire l’elaborazione e il riutilizzo dei dati superando le stringenti regole del Regolamento UE 2016/679 (GDPR). 

• Anonimizzazione dei dati personali: un percorso per orientarsi
• Anonimizzazione: eliminare informazioni per impedire la re-identificazione
• Fattori da considerare per ritenere anonimizzato un set di dati personali
• Le principali tecniche di anonimizzazione
• Anonimizzazione: i fraintendimenti più comuni

Ci eravamo concentrati sui principali profili dei processi di de-identificazione dal punto di vista legale, e avevano anche sottolineato come, dietro un’apparente semplicità, il concetto di anonimizzazione nasconda alcune complessità concettuali e applicative.

Negli ultimi anni il panorama normativo e giurisprudenziale ha continuato ad evolversi. Ripercorriamo quindi gli eventi principali a partire dalla primavera del 2023.

1. La sentenza del Tribunale dell’Unione Europea a favore dell’anonimizzazione relativa

Nell’aprile del 2023, la sentenza del Tribunale dell’Unione Europea nella causa tra Comitato di Risoluzione Unico (CRU) e il Garante Europeo per la Protezione dei Dati personali (GEPD) si concentra nella ricostruzione della definizione di “dato personale”, soffermandosi in particolare sul concetto di “identificabilità”.

Il caso su cui si è concentrato il Tribunale si rileva infatti come un’occasione preziosa per evidenziare come il confine tra dati personali e non personali sia meno chiaro di quanto indicato dalle norme, primo tra tutti il GDPR (Considerando 26). Questo aspetto risulta particolarmente rilevante nel caso di dati fortemente pseudonimizzati condivisi con terzi (nel caso di specie, con la società Deloitte) che non dispongono di informazioni aggiuntive utili a identificare gli interessati: in tali circostanze, risulta infatti difficile affermare che i dati ricevuti dal terzo possano essere considerati “personali”.

Il Tribunale coglie questa occasione anche per chiarire che la qualificazione giuridica dei dati non può essere un’operazione automatica, basata unicamente sulle definizioni normative astratte. Al contrario, la natura personale dei dati deve essere concretamente provata, e nel giudizio l’onere di tale prova è in capo all’Autorità (il Garante Europeo nel caso di specie).

Abbiamo approfondito il caso in questo articolo: Dati personali o dati anonimi? Una questione di prospettiva e di identificabilità effettiva.

2. Il ricorso del Garante Europeo alla Corte di Giustizia per una lettura restrittiva del concetto di anonimizzazione

Nel giudizio davanti al Tribunale UE, il Comitato di Risoluzione Unico (CRU) ottiene una vittoria importante, che solleva immediatamente un dibattito sull’applicabilità delle norme privacy nel caso di dati fortemente pseudonimizzati, e in tutti i casi in cui il destinatario di tali dati non abbia a disposizione elementi aggiuntivi per identificare gli interessati.

Nel luglio del 2023 il Garante Europeo impugna la sentenza presso la Corte di Giustizia sostenendo, in sostanza, che:

• i dati in questione sono fossero personali, in quanto dati pseudonimizzati (e non anonimizzati come sostenuto dal CRU);
• non è corretto assumere la prospettiva del destinatario dei dati per valutare la loro natura;
• secondo il principio di accountability, spetterebbe al titolare del trattamento (ossia al CRU) dover provare che i dati siano anonimi, e non al Garante Europeo.

Intervengono e partecipano al giudizio presso la Corte di Giustizia anche la Commissione europea a supporto del CRU, nonché l’European Data Protection Board (EDPB) a supporto del Garante Europeo.

3. Il giudizio presso la Corte di Giustizia: le conclusioni dell’avvocato generale

Nel febbraio 2025 l’avvocato generale della Corte di giustizia presenta le sue conclusioni, proponendo sul tema dell’anonimizzazione una visione preziosa, sostanzialmente in linea con la visione del Tribunale e con la tesi del CRU per una concezione di anonimizzazione relativa.

Nello sviluppo delle sue conclusioni, l’avvocato generale si chiede (punto n. 43): ai dati pseudonimizzati si applicano le norme privacy “automaticamente per il solo motivo che gli interessati rimangono identificabili, indipendentemente dall’accessibilità ai dati identificativi aggiuntivi, o bisogna ritenere che, a seguito della pseudonimizzazione, i dati rivestano un carattere personale solo per coloro che possono ragionevolmente identificare gli interessati?”

L’avvocato generale si concentra quindi sulla “identificabilità concreta” degli interessati dal punto di vista del destinatario dei dati, e su un approccio basato sul rischio di re-identificazione.

Per determinare se i dati siano personali, diventa cruciale valutare se il destinatario abbia a disposizione i mezzi ragionevoli per re-identificare gli interessati, così come già previsto in modo chiaro dal Considerando 26 GDPR. E tale valutazione deve essere svolta mettendosi nei panni del destinatario: se non esistono mezzi a cui ci si può ragionevolmente avvalere per identificare gli interessati, allora i dati non devono essere considerati “personali”.

A sostegno della sua ricostruzione, l’avvocato generale osserva (punto n. 58) che sarebbe: “(…) sproporzionato imporre obblighi derivanti [dalla disciplina privacy] a un soggetto che non potrebbe ragionevolmente identificare gli interessati, obblighi che tale soggetto non potrebbe, per definizione, osservare o che gli imporrebbero proprio di tentare di identificare gli interessati”.

Anche sul tema dell’onere della prova l’avvocato generale segue l’interpretazione del Tribunale, sostenendo che incombe al Garante Europeo “dimostrare per quale ragione, giuridica o tecnica, il processo di pseudonimizzazione attuato dal CRU nel caso di specie non era sufficiente e doveva condurre a ritenere che la Deloitte trattasse dati personali”.

La pubblicazione della sentenza chiarirà definitivamente quale sia l’interpretazione da ritenere più corretta.

4. Le prospettive future

La sentenza della Corte di Giustizia sarà fondamentale per chiarire ulteriormente i confini della nozione di dato personale nel contesto dei processi di de-identificazione.

Ci si aspetta anche che l’EDPB intervenga con le Linee Guida dedicate all’anonimizzazione: è un obiettivo costantemente presente negli EDPB Work Programmes ormai dal 2021.

Nel frattempo, sempre l’EDPB ha adottato la prima versione delle nuove Linee Guida 01/2025 sulla pseudonimizzazione (in consultazione fino al 14 marzo), ne abbiamo parlato in questo articolo: Tutti i vantaggi della pseudonimizzazione secondo le Linee guida dell’EDPB.
Il testo ha l’obiettivo di chiarire l’uso e i vantaggi della pseudonimizzazione quale tecnica di protezione dei dati personali, ma si trovano alcuni passaggi che riguardano anche il concetto di dato anonimo. Anche qui siamo in attesa della versione definitiva del documento.

Da segnalare infine che trattano di questo tema anche il recente Decreto sull'Ecosistema Dati Sanitari (EDS) e il Regolamento europeo sullo Spazio Europeo dei Dati Sanitari (EHDS), che pongono nuove sfide e interrogativi cruciali sul trattamento dei dati sanitari, incluso il ricorso a tecniche di anonimizzazione e pseudonimizzazione per finalità di assistenza, ricerca e governance sanitaria.

Questi nuovi strumenti normativi richiederanno un'attenta analisi per garantire la conformità ai principi di protezione dei dati in un contesto di crescente interscambio e riutilizzo delle informazioni sanitarie.