Nell’ambito del Regolamento (UE) 2016/679 (“GDPR”), che ne introduce per la prima volta il concetto, la pseudonimizzazione viene considerata come una delle misure tecniche di cui il titolare o il responsabile possono avvalersi per adempiere agli obblighi in materia di protezione dei dati personali. Nello specifico, la procedura di pseudonimizzazione consiste nel rendere i dati personali relativi ad un determinato individuo non più riconducibili allo stesso, se non – ed è qui la differenza sostanziale con l’anonimizzazione – mediante l’utilizzo di ulteriori informazioni, comprese eventuali informazioni aggiuntive che si trovano al di fuori del controllo della parte che sta effettuando la pseudonimizzazione. Tali informazioni aggiuntive (cd. pseudonomysation secrets) devono essere conservate separatamente e protette da adeguate misure di sicurezza. Lo scopo è garantire che chi tratta il dato pseudonimizzato non sia in grado di ricondurlo all’individuo cui tale dato pertiene.
Come sostenuto nelle Linee guida, dal momento che i dati pseudonimizzati costituiscono informazioni relative a una persona fisica identificabile, essi rimangono a tutti gli effetti dati personali e, come tali, sono soggetti alle disposizioni di cui al GDPR.
A questo riguardo, l’EDPB pare adottare una nozione molto ampia di dati personali, in contrasto con le recenti conclusioni dell'Avvocato Generale Dean Spielmann nella causa C-413/23 P del 6 febbraio 2025. Infatti, adottando un approccio più restrittivo, l’Avvocato Generale sottolinea che, al fine di determinare se i dati pseudonimizzati siano da considerarsi dati personali e dunque rientrino nell’ambito di applicazione oggettivo del GDPR, si debba tenere conto della ragionevole probabilità che le informazioni aggiuntive possano essere utilizzate dal destinatario dei dati per identificare l’interessato, non essendo sufficiente la mera teorica identificabilità dello stesso.
Tornando alle Linee guida, concetto fondamentale introdotto dall’EDPB è quello di “pseudonomysation domain”, definibile come l’insieme di individui e sistemi autorizzati che possono avere accesso ai dati pseudonimizzati. All’interno di questo dominio, che sarà onere del titolare/responsabile determinare, i dati pseudonimizzati possono essere trattati minimizzando i rischi di re-identificazione degli interessati. Ciò comporta, come logico corollario, che gli pseudonomysation secrets dovranno essere conservati al di fuori del dominio di pseudonimizzazione.
Sempre in un’ottica di accountability, il titolare è tenuto a valutare, anche attraverso risk assessment periodici, la probabilità di re-identificazione all'interno del dominio di pseudonimizzazione, in modo da garantire che il rischio rimanga trascurabile per tutto il periodo di trattamento.
D’altra parte, le Linee guida costituiscono anche un utile indirizzo operativo per le imprese e gli operatori, presentando alcuni esempi di misure tecniche adeguate per procedere alla pseudonimizzazione, tra cui si segnalano:
tecniche di crittografia avanzata, come le funzioni di Hash SHA-3, che possono essere utilizzate per creare dati pseudonimizzati. Per aumentare la sicurezza del procedimento, è possibile combinare queste funzioni con un salt, ossia una stringa di dati casuali generata in modo sicuro;
misure di sicurezza relative all’infrastruttura informatica, come la limitazione degli accessi agli pseudonomysation secrets (in concreto, si potrebbero limitare gli accessi ai soli amministratori di sistema, applicando anche ad essi il principio del privilegio minimo);
l’utilizzazione di strumenti di data protection engineering, sui cd. quasi identificatori (cioè quelle informazioni che, se combinate tra loro, possono identificare indirettamente un individuo), incluse tecniche come la generalizzazione e soppressione, che modificano il livello di dettaglio dei dati o eliminano quelli altamente rischiosi per ridurre il rischio di re-identificazione.
In conclusione, emerge dall’analisi delle Linee guida il ruolo fondamentale che la pseudonimizzazione può giocare per l’applicazione del principio di privacy by design oltre che in alcune aree di attività aziendali, assai sensibili dal punto di vista data protection, come la gestione dei canali whistleblowing e i trasferimenti di dati personali extra UE. Come chiarito dalle stesse Linee guida, la pseudonimizzazione può inoltre facilitare l’utilizzo di basi giuridiche come il legittimo interesse di cui all’art. 6(1)(f) del GDPR per il trattamento dei dati personali - un approccio certamente utile quando si deve cercare un’alternativa al consenso e il bilanciamento tra gli interessi delle aziende e i diritti degli individui - e favorire la compatibilità dei dati trattati da eventuali destinatari con la valutazione della finalità originaria del trattamento, ai sensi dell’art. 6(4) GDPR.
