La nozione di dato personale nel GDPR è uno dei pilastri concettuali dell’impianto regolatorio europeo in materia di protezione dei dati, poiché ruota attorno alla centralità del criterio di identificazione o identificabilità della persona fisica, che costituisce il vero discrimine per l’applicazione delle tutele previste dal Regolamento.
Non rileva, infatti, la natura del dato in sé, quanto piuttosto la possibilità che esso consenta, direttamente o indirettamente, di ricondurre l’informazione a una persona fisica, secondo una valutazione che deve essere condotta tenendo conto del contesto concreto di trattamento: assumono pertanto rilievo i mezzi e i fattori che possono essere utilizzati per identificare quella persona fisica, includendo non soltanto gli identificativi diretti come il nome o il codice fiscale, ma anche elementi apparentemente neutri che, se combinati con altre informazioni disponibili, permettono di restringere progressivamente il campo dei possibili interessati.
Si ricorda che il mutato concetto di dato personale ed i profili da attenzionare dal punto di vista della compliance normativa, sarà ampiamente oggetto della prima relazione del nostro webinar del 29 gennaio 2026 “Dati personali: nozione e trattamento in ambito bancario“.
Il GDPR richiede di considerare tutti i mezzi “ragionevolmente” utilizzabili, valutando costi, tempi, tecnologie disponibili e sviluppi futuri, in un’ottica dinamica che impone ai titolari del trattamento un’analisi non meramente formale, bensì sostanziale.
È in questo quadro che si colloca la distinzione tra pseudonimizzazione e anonimizzazione, poiché solo quest’ultima consente di escludere definitivamente l’applicazione della normativa privacy: i dati pseudonimizzati, pur essendo trattati con tecniche che riducono il rischio di identificazione immediata, restano dati personali ogniqualvolta esista la possibilità, anche teorica ma non irragionevole, di risalire all’identità dell’interessato attraverso informazioni aggiuntive detenute dal titolare o da altri soggetti.
La recente sentenza della Corte di Giustizia dell’Unione europea del 04 settembre 2025, nel caso Deloitte (C-413/23), ha contribuito a ridefinire ulteriormente la nozione di dato personale in chiave relativa e contestuale, chiarendo che l’identificabilità non può essere valutata in astratto, ma deve essere apprezzata alla luce della posizione concreta del soggetto che tratta i dati: un’informazione può costituire dato personale a seconda delle conoscenze, dei poteri conferiti in merito all’accesso ai dati e dei mezzi effettivamente disponibili, rafforzando così un approccio funzionale e non assoluto.
Diventa quindi centrale l’implementazione di misure tecniche e organizzative idonee a garantire l’impossibilità, o quantomeno l’estrema difficoltà, di re-identificare gli interessati, tra cui i sistemi di separazione dei dati e di custodia delle chiavi di ricomposizione, che devono essere protetti da accessi non autorizzati e affidati a funzioni o soggetti distinti, nonché l’adozione di log di tracciamento, che documentino ogni operazione sui dati pseudonimizzati.
A tali presidi si affiancano policy strutturate di conservazione e cancellazione dei dati, che limitino nel tempo la possibilità di ricostruire l’identità degli interessati e riducano progressivamente il rischio di re-identificazione, in coerenza con il principio di limitazione della conservazione.
Particolare attenzione deve infine essere riservata al trasferimento a terzi di dati pseudonimizzati, che non può mai essere considerato neutro sotto il profilo della protezione dei dati personali: in tali casi si rende necessario condurre una DPIA o, quantomeno, un’analisi strutturata del rischio di re-identificazione, valutando anche le informazioni accessibili al destinatario e le misure da questi adottate.
La sentenza Deloitte nel contesto bancario
La nuova nozione di dato personale delineata dalla sentenza Deloitte della Corte di Giustizia UE si colloca nel contesto bancario in modo particolarmente incisivo, perché interseca un settore nel quale la disponibilità informativa e la capacità di correlazione dei dati amplificano strutturalmente il rischio di identificazione degli interessati, anche quando le informazioni appaiono, in astratto, pseudonimizzate.
La banca, infatti, opera in un quadro caratterizzato da una concentrazione elevata di dati finanziari, anagrafici, comportamentali e transazionali, che rende difficilmente sostenibile una lettura meramente formale dell’anonimizzazione e impone una valutazione rigorosa della reale possibilità di re-identificazione in capo al singolo operatore.
Nel contesto bancario, in sostanza, è molto più facile che un’informazione astrattamente ritenuta pseudonimizzata possa comunque essere qualificata come dato personale, poiché i mezzi “ragionevolmente utilizzabili” dalla banca per l’attribuzione della stessa ad una persona fisica specifica includono non solo strumenti tecnologici avanzati, ma anche basi dati storiche e specifici obblighi di trattamento e conservazione: molte informazioni trattate per finalità di analisi del rischio, prevenzione delle frodi e del rischio di riciclaggio, nonché modellizzazione statistica, continueranno a rientrare nel perimetro del GDPR, anche quando siano state oggetto di processi di pseudonimizzazione robusti sotto il profilo tecnico.
Sul piano degli adeguamenti organizzativi, sarà necessario rivedere le proprie policy privacy e data governance, esplicitando in modo chiaro che la qualificazione di un’informazione come dato personale deve essere condotta in chiave relativa, tenendo conto del ruolo della banca, delle informazioni complessivamente detenute e delle finalità concrete del trattamento: ciò implica l’abbandono di approcci standardizzati, a favore di valutazioni documentate e contestualizzate, che dimostrino la consapevolezza del rischio di re-identificazione anche in presenza di dati formalmente pseudonimizzati.
Un secondo profilo di adeguamento riguarda le procedure di trattamento specifico dei dati, che dovrebbero integrare in modo sistematico l’analisi della identificabilità secondo i criteri indicati dalla Corte, soprattutto nelle fasi di sviluppo di nuovi servizi digitali, modelli di scoring o sistemi di monitoraggio automatizzato: la DPIA assume quindi un ruolo centrale, non solo come strumento di compliance, ma come sede privilegiata per valutare se, e in quale misura, la banca sia effettivamente in grado di ricondurre un’informazione a un cliente, direttamente o indirettamente, anche attraverso correlazioni future.
Gli enti dovranno inoltre rafforzare le policy interne sulla pseudonimizzazione, chiarendo che essa non costituisce mai una “zona franca” rispetto all’applicazione del GDPR, ma una misura di sicurezza che riduce il rischio senza eliminarlo, con conseguente permanenza degli obblighi in materia di base giuridica, trasparenza e diritti degli interessati.
Ciò comporta anche una revisione delle informative privacy, che dovranno descrivere in modo più accurato e trasparente l’uso di dati pseudonimizzati e i rischi residui, evitando formulazioni eccessivamente semplificate o fuorvianti.
Infine, dalla sentenza Deloitte emerge la necessità di rafforzare i presidi di segregazione dei dati e delle chiavi di ricomposizione, nonché i controlli sugli accessi interni, poiché la valutazione dell’identificabilità fa perno soprattutto sulla concreta possibilità, per specifiche funzioni aziendali, di ricostruire l’identità del cliente.