Il GDPR fornisce una definizione esplicita della sola pseudonimizzazione, all’art. 4 n.5: essa consiste nel “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
L’anonimizzazione, invece, non è definita positivamente dal testo del Regolamento, ma trova il proprio fondamento nel Considerando 26, secondo cui il GDPR non si applica ai dati resi anonimi “in modo tale che l’interessato non sia o non sia più identificabile”.
Il medesimo Considerando precisa che occorre tenere conto di “tutti i mezzi che il responsabile del trattamento o un terzo può ragionevolmente utilizzare per identificare direttamente o indirettamente la persona fisica”, includendo sia i fattori tecnici disponibili al momento del trattamento, sia i costi e il tempo necessari per l’identificazione.
La distinzione è strutturale: la pseudonimizzazione è un’operazione reversibile, l’anonimizzazione deve essere irreversibile.
La distinzione non è meramente tecnica ma produce effetti giuridici di primaria importanza.
Il dato pseudonimizzato rimane un dato personale ai sensi dell’art. 4, n. 1 GDPR: il titolare che detiene le “informazioni aggiuntive” mantiene la piena capacità di identificare l’interessato e, di conseguenza, soggiace all’intero impianto normativo del Regolamento.
Il dato anonimizzato, per contro, ove l’anonimizzazione sia effettiva e irreversibile, fuoriesce dall’ambito di applicazione del GDPR.
L’Opinion 05/2014 del WP29 (adottata il 10 aprile 2014) costituisce la principale fonte interpretativa in materia di anonimizzazione.
Il documento affronta tre questioni centrali:
- il test di identificabilità è relativo e contestuale: occorre verificare non solo se il titolare possa identificare l’interessato, ma anche se “qualsiasi terzo” possa farlo con mezzi ragionevolmente disponibili;
- il WP29 distingue nettamente la pseudonimizzazione dall’anonimizzazione;
- introduce il concetto di robustezza: una tecnica è valida solo se resiste non soltanto agli attacchi noti, ma anche a quelli prevedibili in base al progresso tecnologico.
La sentenza CGUE C-413/23 P del 4 settembre 2025 ha operato un’importante evoluzione interpretativa, precisando che il test di identificabilità deve essere valutato in modo relativo rispetto al soggetto che riceve i dati: se il destinatario non dispone di mezzi ragionevoli per re-identificare gli interessati, i dati trasmessi possono essere considerati anonimi per quel destinatario, pur restando dati personali per il titolare originario.
La distinzione tra pseudonimizzazione e anonimizzazione non è solo tecnica ma costituisce il cardine di un sistema di protezione dei dati fondato sul rischio e sull’accountability.
La sentenza CGUE C-413/23 P del 4 settembre 2025 segna un’evoluzione significativa rispetto all’interpretazione “assolutistica” del concetto di dato personale che aveva prevalso negli anni precedenti.
Dopo anni in cui i dati pseudonimizzati erano stati considerati sempre e comunque dati personali, la CGUE introduce la necessaria flessibilità: la natura del dato dipende dal contesto e dalla concreta possibilità di re-identificazione da parte del soggetto che li riceve.
Le Autorità di controllo dovranno adeguarsi a questa lettura bilanciata ed equilibrata, in cui la natura del dato dipende dal contesto e dalla prospettiva del soggetto che lo tratta, calibrando gli obblighi informativi e di compliance in funzione della reale capacità di identificazione del destinatario.
