La decisione della Corte di Giustizia dell’Unione Europea (CGUE) nel caso EDPS c. SRB fornisce un chiarimento cruciale sulla pseudonimizzazione dei dati personali, confermando che l’identificabilità deve essere valutata in relazione al soggetto che tratta i dati.
Pur non affrontando esplicitamente il marketing o la tecnologia, la sentenza ha conseguenze rilevanti per il marketing diretto e per l’addestramento di sistemi di intelligenza artificiale (AI), dove l’uso di dataset pseudonimizzati è ormai prassi comune.
Le motivazioni della Corte nel caso EDPS c. SRB
Il 4 settembre 2025, la CGUE ha emesso la propria sentenza nella causa C-413/23 P, EDPS c. SRB, chiarendo la nozione di dato personale, in particolare nel contesto della pseudonimizzazione dei dati trasmessi a terzi.
La vicenda trae origine dal trasferimento, da parte del Single Resolution Board (SRB), di alcuni commenti pseudonimizzati raccolti durante la risoluzione del Banco Popular Español a Deloitte, incaricata di valutare gli effetti della risoluzione.
Diversi azionisti e creditori, autori di quei commenti, hanno presentato reclami all’EDPS sostenendo che l’informativa privacy dell’SRB non li avesse avvisati della possibilità di tale comunicazione. L’EDPS ha ritenuto che si trattasse di pseudonimizzazione dei dati personali, poiché l’SRB conservava il codice alfanumerico che permetteva di collegare le risposte, rendendo i soggetti ancora identificabili, sebbene Deloitte non avesse ricevuto direttamente dati identificativi.
Il Tribunale dell’Unione (General Court) aveva dato ragione all’SRB, annullando la decisione dell’EDPS. Quest’ultimo ha quindi proposto appello dinanzi alla CGUE.
La Corte ha affrontato due punti centrali:
-
Dati che “riguardano” una persona. La CGUE ha stabilito che il Tribunale aveva errato nel richiedere un’analisi del contenuto, dello scopo o degli effetti dei commenti. Opinioni e giudizi personali sono di per sé indissolubilmente legati al loro autore. La Corte ha richiamato la sentenza Nowak (C-434/16), in cui i commenti di un esaminatore erano stati ritenuti dati personali in quanto riflettevano il pensiero dell’autore.
-
Identificabilità e pseudonimizzazione. La Corte ha confermato che la pseudonimizzazione dei dati personali non trasforma automaticamente i dati in anonimi. L’identificabilità dipende da chi tratta i dati e dalla disponibilità di mezzi “ragionevolmente” utilizzabili per re-identificare i soggetti.
-
Per l’SRB, che deteneva le informazioni necessarie alla re-identificazione, i commenti restavano dati personali e quindi vigeva l’obbligo di informare gli interessati circa il trasferimento a Deloitte.
-
Per Deloitte, che aveva ricevuto solo commenti pseudonimizzati, privi di identificativi e senza possibilità concreta di re-identificazione, tali commenti non costituivano dati personali, a condizione che fossero in atto misure tecniche e organizzative idonee a impedire qualsiasi collegamento con i soggetti.
La sentenza sancisce così un test relativo: la stessa pseudonimizzazione dei dati personali può essere considerata dato personale per un soggetto e non per un altro.
Implicazioni per il marketing diretto
Anche se il caso non riguardava la pubblicità, le conclusioni hanno impatti diretti sul marketing diretto. Le aziende condividono spesso dataset pseudonimizzati con agenzie esterne per campagne promozionali, profilazione o analisi dei clienti.
-
I titolari del trattamento (piattaforme online, retailer, fornitori di servizi) che conservano le chiavi di re-identificazione devono considerare quei dataset ancora come dati personali, rispettando tutti gli obblighi del GDPR, incluse trasparenza e base giuridica.
-
Le agenzie di marketing che ricevono i dati possono, in determinate circostanze, trattarli come dati non personali se non hanno alcun mezzo realistico per re-identificarli.
Questo significa che la pseudonimizzazione dei dati personali non può essere vista come scorciatoia per evitare la compliance. Le informative privacy e i contratti con i partner devono riflettere chiaramente questi obblighi.
Implicazioni per l’addestramento dell’AI
Lo stesso ragionamento vale per l’uso dei dataset pseudonimizzati nell’addestramento dei sistemi di intelligenza artificiale:
-
I fornitori di dati (ospedali, banche, piattaforme online) restano responsabili ai sensi del GDPR, poiché detengono i mezzi per re-identificare i soggetti. Devono quindi garantire basi giuridiche adeguate, informative chiare e misure di sicurezza adeguate.
-
Gli sviluppatori di AI o enti di ricerca possono in alcuni casi trattare i dati pseudonimizzati al di fuori dell’ambito del GDPR, se non hanno alcun accesso ragionevole a mezzi di re-identificazione. Ciò richiede però misure robuste e verificabili.
Questo approccio crea una responsabilità condivisa: il titolare rimane soggetto agli obblighi del GDPR, mentre il destinatario può beneficiare di un regime meno stringente solo se la pseudonimizzazione dei dati personali è effettiva e sicura.
Conclusioni
La sentenza EDPS c. SRB ribadisce che la pseudonimizzazione dei dati personali riduce i rischi, ma non elimina la responsabilità. Per ambiti come il marketing diretto e l’addestramento AI, l’impatto è significativo:
-
i titolari che conservano le chiavi di re-identificazione restano pienamente vincolati dal GDPR;
-
i destinatari possono talvolta operare al di fuori della disciplina, ma solo se la re-identificazione è tecnicamente impossibile.
La pseudonimizzazione resta quindi uno strumento utile, ma non un’esenzione automatica. Le aziende dovranno rivedere informative, contratti e modelli di governance per garantire conformità, trasparenza e fiducia nell’uso dei dati.
Sul medesimo argomento, potete leggere l’articolo “Opinione dell’EDPB sul training dei modelli di AI: Come affrontare la conformità al GDPR?“.
