Smart Road Tech Legal Dati personali e pseudonimizzazione, la Corte UE ridefinisce i confini della privacy digitale Laura Biarella 05 September 2025 Citizen Digitalizzazione UE La Corte di Giustizia dell’Unione Europea ha chiarito il significato di “dato personale” nel contesto della pseudonimizzazione e del trasferimento a terzi. Il verdetto impatta sulle policy di trasparenza e protezione dei dati nelle istituzioni pubbliche e nei processi di digitalizzazione delle città intelligenti. La Corte di Giustizia dell’Unione Europea ha reso noto il pronunciamento tramite il press release n. 107/25 del 4 settembre 2025. La vicenda Il caso origina da una risoluzione del Banco Popular Español nel 2017. La Single Resolution Board (SRB), incaricata di valutare eventuali compensazioni per azionisti e creditori, aveva trasmesso a Deloitte commenti pseudonimizzati raccolti nel corso di una consultazione pubblica. Alcuni partecipanti hanno denunciato l’omessa informazione sul trasferimento dei loro dati, portando l’EDPS (Garante europeo della protezione dei dati) a intervenire. Cosa ha deciso la Corte La Corte di Giustizia ha ribaltato la precedente decisione del Tribunale UE, affermando che: – le opinioni personali, pure se pseudonimizzate, sono strettamente collegate all’identità dell’autore e per l’effetto rientrano nella definizione di “dato personale”. – La pseudonimizzazione non assicura in modo automatico l’anonimato, bensì dipende dal contesto e dalla possibilità di re-identificazione da parte del destinatario. – L’obbligo di informare l’interessato sussiste al momento della raccolta dei dati, indipendentemente dalla circostanza che il destinatario finale (ovvero Deloitte) possa identificarlo. Impatti per le Smart City Il pronunciamento ha un impatto diretto sulle città intelligenti, nel cui contesto la raccolta e l’analisi dei dati personali risultano fondamentali per la pianificazione urbana, la mobilità sostenibile e i servizi digitali. Pertanto chi gestisce tali tali è tenuto a: – Rafforzare la trasparenza nei processi di raccolta e condivisione dei dati. – Valutare con attenzione il grado di pseudonimizzazione e il rischio di re-identificazione. – Garantire che i cittadini siano informati in modo chiaro e tempestivo. Il principio di diritto Il principio di diritto estrapolabile dalla pronuncia della Corte di Giustizia dell’Unione Europea del 4 settembre 2025 è il seguente: La trasmissione a terzi di dati pseudonimizzati costituisce un trattamento di dati personali, se il mittente sia in grado di identificare l’interessato, pure se il destinatario non dispone degli strumenti per farlo. In tal caso, l’obbligo di informazione previsto dall’articolo 15 del Regolamento (UE) 2018/1725 sussiste, e non può essere eluso invocando l’anonimato apparente che deriva dalla pseudonimizzazione. Principio siffatto rafforza la centralità del contesto e della capacità di re-identificazione nel determinare la natura personale dei dati, imponendo alle istituzioni europee una maggiore trasparenza nel trattamento e nella comunicazione dei dati raccolti.
PRO
