Pseudonimizzazione e dati personali: perché la sentenza CGUE 4 settembre 2025, C-413/23 P potrebbe rappresentare un punto di svolta?

Non vi è dubbio che il Regolamento (UE) 2016/679 (“GDPR”) si applichi solo ed esclusivamente ai dati personali. A tal riguardo, il considerando 26 del GDPR chiarisce, inoltre, che i principi di protezione dei dati personali non trovano applicazione rispetto alle informazioni anonime, ossia quelle informazioni che non si riferiscono a una persona fisica identificata o identificabile, o che sono state rese sufficientemente anonime da impedire o da non consentire più l’identificazione di un determinato individuo.
Diversamente, la pseudonimizzazione si configura come una forma di trattamento dei dati personali finalizzata a ridurre il rischio di identificazione diretta di un individuo. L’art. 4(5) del GDPR precisa, infatti, che essa consiste in un trattamento dei dati personali volto a scongiurare che tali dati possano essere attribuiti a un individuo specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano tuttavia conservate separatamente e protette da adeguate misure tecniche e organizzative.
Ci si potrebbe dunque domandare: può un dato pseudonimizzato, in determinate circostanze, essere assimilato a un’informazione anonima (o, in ogni caso, non personale) per colui che lo riceve?
Con questa decisione, la Corte tenta di fornire una risposta a tale domanda, offrendo un’interessante chiave interpretativa per comprendere come debba intendersi la nozione di “dato personale” in rapporto alla pseudonimizzazione.