Un dato può essere anonimo in un contesto e personale in un altro: la Corte UE ribadisce la natura mutevole delle informazioni. Big Tech e autorità dovranno valutare caso per caso – di Andrea Monti – Inizialmente pubblicato da Italian Tech – La Repubblica
Quella che è diventata volgarmente nota come “sentenza Deloitte” è una decisione della Corte di giustizia della ue relativa alla causa C-413/23 P pubblicata ai primi di settembre 2025.
I giudici hanno ribadito il concetto che lo status di dato personale non è assoluto ma dipende dall’effettiva capacità di chi lo detiene di identificare o rendere identificabile una persona fisica. In altri termini, se qualcuno riceve dei dati pseudonomizzati (e dunque ignorando a chi si riferiscono) ma possiede in proprio ulteriori informazioni che, incrociate con quelle ricevute, svelano l’identità delle persone coinvolte, questi dati tornano ad essere, a tutti gli effetti, qualificati come “personali” e dunque pienamente tutelati dalla legge.
Una decisione (non)rivoluzionaria
La “sentenza Deloitte” è stata salutata come “rivoluzionaria” ma in realtà non è assolutamente nulla di nuovo. La Corte aveva affermato lo stesso principio con il caso Breyer, peraltro richiamato nella decisione e analizzato più avanti. Inoltre, e soprattutto, la normativa, una volta tanto, era già chiara di suo.
Sia come sia, questa nuova decisione non consente più alle autorità nazionali di protezione dei dati di applicare interpretazioni discutibili delle norme e impone loro di affrontare di petto il tema dell’accumulazione dei dati sugli utenti da parte di Big Tech.
La differenza fra dati personali, dati pseudonomizzati e dati anonimizzati
Per capire la natura del problema risolto dalla sentenza Deloitte è necessaria una premessa giuridica su un tema caratterizzato da una certa confusione.
La norma di riferimento è il regolamento sulla protezione dei dati personali che definisce questi ultimi come qualsiasi dato o informazione che da soli o insieme ad altri rendono identificati o identificabili delle persone fisiche. Questi dati sono sottoposti a un complesso e articolato regime di adempimenti per garantire la tutela dei diritti e delle libertà degli interessati.
Da un dato personale (Mario Rossi, ingegnere, nato a Vattelapesca il 20 maggio 1980) si possono sottrarre abbastanza informazioni da renderlo non più riferibile ad una particolare persona (Mario, nato nel 1980). Dunque il dato perde la propria natura di “personale” e quindi è liberamente cedibile senza alcuna limitazione normativa.
Il diavolo, però, è nei dettagli e quindi bisogna essere veramente certi che la situazione sia quella descritta, considerando due possibili opzioni.
La prima è che chi riceve il dato “Mario nato nel 1980” non ha alcuna possibilità di recuperare anche le altre informazioni inizialmente associate alla persona. In questo caso si parla di dati anonimizzati per chi li consegna e di dati anonimi per chi li riceve. La legge non si applica.
La seconda opzione è che chi riceve i dati inizialmente “scollegati” dall’identità dei soggetti cui si riferiscono possa recuperarli in altro modo con uno sforzo ragionevole, oppure ne possieda altri, magari anonimi, che incrociati con i nuovi dati rendono nuovamente identificabile la persona. I dati, allora, tornano ad essere del tutto personali secondo la definizione della legge e il loro uso è soggetto a doveri e responsabilità.
Il principio di diritto espresso dalla sentenza
Semplificando all’estremo, i giudici europei hanno ritenuto che quando si parla di dati personali, 2+2 può fare 4 oppure 5 perché la somma di due basi di dati individualmente anonimi può avere come risultato una base di dati personali cioè con un contenuto informativo maggiore dei singoli componenti.
Per decidere se il risultato sia 4 oppure 5, scrivono i giudici, bisogna dunque verificare caso per caso se chi ha comunicato i dati li ha effettivamente privati degli elementi che identificano le persone e se chi li riceve ha, altrettanto effettivamente, la concreta possibilità di ricreare l’identità informazionale dell’individuo utilizzando mezzi ragionevoli.
L’accesso ai dati associati agli IP fa la differenza
Questa conclusione si capisce meglio analizzando il già citato caso Breyer sul trattamento dei numeri IP dinamici di chi accede ai siti delle pubbliche amministrazioni tedesche
Quando un terminale si collega a una rete riceve un numero IP che può essere sempre lo stesso (IP statico) oppure cambiare ad ogni singolo collegamento (IP dinamico).
L’operatore mobile di accesso è certamente in grado di associare la SIM —e dunque l’intestatario del contratto— il device utilizzato e il numero IP dinamico assegnato. Questo significa che per l’operatore il numero IP (insieme alle altre informazioni) è un dato personale.
Al contrario, chi gestisce la risorsa di rete alla quale ci si collega —per esempio, una testata— riceve soltanto il numero IP e alcune altri informazioni tecniche sul browser utilizzato, sul sistema operativo e via discorrendo. È chiaro che in questo lo stesso numero IP che per l’operatore di accesso era parte di un insieme di dati personali, per chi gestisce la piattaforma che ospita il giornale è un dato anonimo. Riassociare un IP dinamico a chi lo sta utilizzando significherebbe, infatti, avere accesso alle informazioni dell’operatore di telecomunicazioni cosa che, ovviamente non è possibile.
Se, però, l’utente si è registrato dichiarando la propria identità oppure ha superato un paywall, allora il numero IP, anche se dinamico, torna ad essere dato personale.
Il tema delicato degli analytics
Questo ragionamento vale a maggior ragione per i servizi decentralizzati di analytics.
Chi installa un semplice plugin per gestire le statistiche degli accessi al proprio sito può scegliere di farlo in modo da non sapere chi sia la persona che si sta collegando. Tuttavia, nel momento in cui utilizza un servizio di terze parti, queste parti potrebbero avere ulteriori informazioni che, come detto, “smascherano” l’utente anonimo.
Qui arriva l’aspetto più critico dell’intero discorso sulle responsabilità degli anelli della catena di raccolta dei dati.
Applicando il principio ribadito dalla “sentenza Deloitte”, in un caso del genere chi tratta dati personali (ed è, dunque, soggetto a obblighi e responsabilità) è il fornitore di servizi di analytics, non chi gli invia dei dati anonimi (per esempio, perché non c’è paywall oppure perché l’utente sta utilizzando la parte in libera consultazione, o ancora perché ha bloccato tracker e strumenti di profilazione nominativa).
Secondo un’interpretazione comunemente diffusa, invece, non importa che un sito raccolga solo dati tecnici senza avere informazioni sull’identità dell’utente. Basta che nella filiera qualcuno possa incrociare quei dati con altri per estendere gli obblighi a tutti gli anelli della catena. Tuttavia, seguendo questa interpretazione pur sconfessata nuovamente dalla Corte europea, non sarebbe praticamente mai possibile avere dei dati realmente anonimi. Dunque, per esempio, la ricerca scientifica su cure e terapie per malattie (anche) incurabili si troverebbe invischiata nelle sabbie mobili di adempimenti burocratici che nulla aggiungono alla tutela dei diritti ma riducono le speranze di cura per chi soffre. Norme come la legge sull’IA in corso di approvazione risolvono in parte il problema, che però in termini strutturali rimane tal quale.
Cosa cambia per Big Tech
Fino ad ora le Big Tech hanno costruito i propri modelli tecnologici e industriali sul presupposto che i dati che ricevono da fonti esterne sono raccolti in modalità anonima e che, dunque, sono sottratti agli obblighi normativi europei. L’adozione da parte dell’industria di sistemi basati sullla differential privacy e la diffusione fra gli utenti delle privacy enhancing technologies cercano di risolvere il problema ma le questioni di fondo rimangono sempre le stesse.
Con questa sentenza, ma in realtà da sempre, non più possibile applicare questa “regola” in modo indiscriminato ma si dovrà verificare caso per caso se il flusso di informazioni ricevuto le fa rimanere effettivamente anonime o se invece consente, come detto, di “smascherare” l’utente.
In parallelo, le autorità garanti non potranno più applicare automatismi e considerare come sottoposti alla normativa anche i soggetti che inoltrano dati non personali ai grandi provider di analytics. Dunque, dovranno accertare caso per caso se chi utilizza servizi del genere può effettivamente sapere chi è la persona dietro il display.
L’impatto dell’avere ribadito un principio noto da tempo ma da altrettanto tempo trascurato potrebbe essere notevole.
Lo sarà certamente per Big Tech, che dovrà porsi il problema della revisione del modo in cui interagisce con gli anelli della catena della profilazione.
Lo sarà altrettanto per le autorità nazionali di protezione che dovranno decidere se e come applicare sanzioni non solo ai giganti tecnologici, ma anche a tutti quelli che, ai piedi di questi giganti, contribuiscono a soddisfarne l’infinita fame di informazioni tramite l’invio di tanti piccoli pezzi anonimi del nostro corpo informazionale.
Possibly Related Posts:
- Webcam violate: la fragilità nascosta del nostro mondo connesso
- Google non dovrà vendere Chrome. Ma non è Chrome a fare il monopolio di Google
- Ripubblicazione di foto e contenuti: il problema non è il consenso ma la violazione della dignità
- Perché è sbagliato (e pericoloso) imporre il copyright sull’essere umano
- Suicidi e intelligenza artificiale: ChatGPT può essere ritenuta responsabile?