La sentenza della Corte di Giustizia dell’Unione europea (Prima Sezione, 4 settembre 2025, C-413/23 P) affronta un tema delicatissimo per chi opera nella compliance e nella consulenza legale in materia di privacy: la qualificazione dei dati pseudonimizzati e l’estensione dell’obbligo di trasparenza informativa da parte delle istituzioni UE. Il caso prende le mosse dalla risoluzione di Banco Popular Español e dalla successiva procedura di indennizzo per azionisti e creditori, nella quale il Single Resolution Board (SRB) aveva raccolto e trasmesso a Deloitte una mole rilevante di commenti, associati a codici pseudonimi. L’EDPS aveva qualificato quei dati come personali, mentre il Tribunale UE li aveva ritenuti non tali dal punto di vista del destinatario. La Corte di Giustizia ribalta questa impostazione, con conseguenze operative di ampio respiro. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon. Per approfondire questi temi abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

Scarica la sentenza CGUE C-413/23 1756983536413-1.pdf 238 KB Iscriviti alla newsletter per poter scaricare gli allegati Iscriviti Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto. × Iscriviti alla newsletter Si è verificato un errore durante la tua richiesta. EMAIL Scegli quale newsletter vuoi ricevere Seleziona newsletter DirittoeDiritti Sentenze Settimana Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa. Autorizzo Non autorizzo Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi. Autorizzo Non autorizzo Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy. Iscriviti Iscrizione completata Grazie per esserti iscritto alla newsletter. Seguici sui social



1. I dati personale come concetto funzionale

La Corte ribadisce che la definizione di “dato personale” va intesa in senso estensivo, in linea con l’art. 3(1) Reg. 2018/1725 (speculare al GDPR). Non conta soltanto l’informazione oggettiva (nome, indirizzo, codice fiscale), ma qualsiasi contenuto che, per contenuto, scopo o effetto, si riferisca a una persona fisica identificata o identificabile. In questo senso, anche i commenti degli azionisti e creditori, esprimendo opinioni personali, sono inscindibilmente legati agli autori. La Corte valorizza l’elemento soggettivo: l’opinione come espressione del pensiero è un tratto personale e non può essere neutralizzato solo perché privo di dati anagrafici immediati. È un passaggio che estende la protezione ben oltre la dimensione meramente formale del dato.



Potrebbero interessarti anche: Garante privacy, oscurare i dati non basta. Principi per l’anonimizzazione

Generalità cancellate con pennarello e rispetto privacy

Privacy – email inviata a più destinatari in copia

2. Pseudonimizzazione: tra rischio e protezione

Altro nodo cruciale è il valore della pseudonimizzazione. La Corte sottolinea che essa riduce ma non elimina i rischi, e non comporta la trasformazione dei dati in anonimizzati. La discriminante non è la presenza di un codice sostitutivo, ma la concreta possibilità che un soggetto (il titolare, o un terzo con mezzi ragionevoli) possa risalire all’identità. Da qui, la precisazione: il dato pseudonimizzato resta personale per il titolare che detiene la chiave di ricomposizione (SRB), mentre per un destinatario terzo (Deloitte) può assumere natura diversa a seconda delle misure organizzative e tecniche adottate. Tuttavia, ai fini dell’obbligo di informazione, conta la prospettiva del titolare, non quella del terzo. Questo è l’elemento di maggior portata sistemica.

3. Obbligo di trasparenza e informazione preventiva

Il cuore della decisione riguarda l’art. 15(1)(d) Reg. 2018/1725: l’obbligo di informare i soggetti interessati sui destinatari o categorie di destinatari dei dati personali, al momento della raccolta. La Corte chiarisce che il SRB avrebbe dovuto menzionare Deloitte già nella privacy notice pubblicata all’avvio della procedura, indipendentemente dal fatto che i dati, una volta trasmessi, potessero risultare anonimi o meno per il destinatario. È una regola di trasparenza sostanziale: l’interessato deve sapere, ex ante, chi potrà trattare i suoi dati, così da poter prestare un consenso informato o esercitare le proprie prerogative di autodeterminazione.

4. Implicazioni operative per istituzioni e imprese

Dal punto di vista pratico, la pronuncia impone grande cautela nell’uso di tecniche di pseudonimizzazione nelle procedure amministrative e nelle valutazioni di impatto. Non è sufficiente isolare i dati identificativi e utilizzare codici sostitutivi: occorre valutare se, per il titolare, i dati restino comunque collegabili agli interessati. In tal caso, tutti gli obblighi di protezione e di trasparenza rimangono pienamente operativi. Per le istituzioni europee e le grandi organizzazioni, ciò significa rivedere le informative privacy nei processi complessi (es. consultazioni pubbliche, gare, procedure di indennizzo) e assicurarsi che siano sempre indicate tutte le possibili categorie di destinatari, anche partner tecnici e consulenti.

5. FAQ giuridiche essenziali

I dati pseudonimizzati sono sempre personali? Non sempre: dipende dalla possibilità concreta di re-identificazione. Tuttavia, per il titolare che detiene le chiavi, sì, restano personali.

Serve indicare ogni destinatario specifico? Non necessariamente, ma vanno menzionati almeno tutti i soggetti o le categorie che riceveranno i dati. Nel caso concreto, Deloitte avrebbe dovuto comparire nella privacy notice.

Che differenza c’è tra anonimizzazione e pseudonimizzazione? La prima rende impossibile (o sproporzionato) il collegamento con l’identità; la seconda riduce i rischi ma non li elimina.

Qual è l’impatto sui consensi raccolti? Se non sono stati informati i destinatari, il consenso rischia di non essere valido perché non “consapevole”.

Questa logica vale anche per il GDPR? Sì, la Corte richiama esplicitamente la necessità di interpretazione omogenea tra Reg. 2018/1725 e GDPR.

6. Conclusione

La sentenza rappresenta un richiamo forte all’approccio sostanziale in materia di dati personali: pseudonimizzazione non equivale a anonimizzazione, e la trasparenza non è un optional ma un prerequisito di legittimità. Per giuristi, DPO e consulenti, il messaggio è chiaro: occorre mappare con precisione i flussi di dati, valutare realisticamente i rischi di identificazione e garantire informative complete, senza confidare in soluzioni tecniche che possano “declassare” la natura dei dati. Una decisione che, pur calata in un contesto istituzionale specifico, ha effetti diretti anche per la prassi aziendale e la consulenza legale quotidiana.

Formazione per professionisti

Master in Cybersecurity e compliance integrata

Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.

L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.

Attraverso un approccio teorico-pratico, il Master esplora:

• L’evoluzione della strategia europea di cybersicurezza

• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori

• Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato

• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)

• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa

• Ruoli e poteri dell’ACN: atti attuativi e misure tecniche

• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata

Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.

>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!