Privacy: i dati pseudonimizzati non sono anonimizzati e possono essere dati personali
Con la “sentenza GEPD c/ SRB” del 4 settembre 2025 nella causa C-413/23 P (da qualcuno denominata “sentenza Deloitte”), la Corte di Giustizia ha chiarito che i “dati pseudonimizzati”, se vi è la possibilità di identificare le persone, rientrano nell’ambito della categoria dei dati personali: cioè costituiscono dati personali semplicemente a causa dell’esistenza di informazioni aggiuntive che consentono di attribuirli a una determinata persona. Ad essi, pertanto, si applica la normativa in tema di privacy (GDPR), con i conseguenti obblighi per imprese e PA, con particolare riferimento al trasferimento dei dati pseudonimizzati verso soggetti terzi. È stato così accolto il ricorso del Garante europeo della protezione dei dati (GEPD) e annullata la sentenza del Tribunale Ue del 26 aprile 2023, CRU/GEPD (T-557/20) che a sua volta aveva annullato la decisione rivista dello stesso GEDP del 24 novembre 2020, relativa a cinque reclami presentati da azionisti e creditori interessati dalla risoluzione bancaria del Banco Popular Español i quali lamentavano di non essere stati informati del trasferimento dei loro dati personali a Deloitte, incaricata di condurre una valutazione degli effetti di tale risoluzione. Una pronuncia importante.