La Distinzione dei 20 Milioni di Euro
L'Articolo 83 del GDPR stabilisce sanzioni massime di 20 milioni di euro o il 4% del fatturato globale annuale, a seconda di quale sia maggiore, per le violazioni più gravi. La distinzione tra anonimizzazione e pseudonimizzazione determina se il GDPR si applica a un dataset e se si applica l'esposizione massima alla multa.
Il Considerando 26 del GDPR definisce la soglia di anonimizzazione: "I principi di protezione dei dati non dovrebbero quindi applicarsi alle informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi anonimi in modo tale che l'interessato non sia o non sia più identificabile." La frase chiave: "non o non più identificabile" — con qualsiasi mezzo ragionevolmente probabile che possa essere utilizzato, dal titolare del trattamento, da qualsiasi responsabile del trattamento o da qualsiasi terza parte.
L'Articolo 4(5) del GDPR definisce la pseudonimizzazione: "il trattamento di dati personali in modo tale che i dati personali non possano più essere attribuiti a un soggetto specifico senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano mantenute separatamente." I dati pseudonimizzati non sono esplicitamente anonimi — "non possono più essere attribuiti... senza l'uso di informazioni aggiuntive." I dati pseudonimizzati rimangono dati personali ai sensi del GDPR.
L'implicazione pratica: un'organizzazione che crede che il suo dataset analitico sia "anonimizzato" (fuori dal GDPR) quando in realtà è "pseudonimizzato" (dentro il GDPR) ha voci errate nel ROPA dell'Articolo 30, procedure insufficienti per i diritti degli interessati, periodi di conservazione inadeguati, mancanza di garanzie per il trasferimento dei dati per qualsiasi trattamento analitico transfrontaliero e nessun meccanismo per rispondere alle richieste di diritto all'oblio. Ognuna di queste carenze è una violazione indipendente del GDPR.
Il Segnale di Applicazione del CEF
Il Quadro di Applicazione Coordinato 2025 dell'EDPB ha specificamente identificato "tecniche di anonimizzazione inefficienti utilizzate come alternativa alla cancellazione" come un fallimento ricorrente nella conformità. Questa scoperta segnala che le autorità di protezione dei dati stanno valutando la qualità dell'anonimizzazione, non solo la presenza o l'assenza di un passaggio di anonimizzazione.
Il Caso d'Uso della Società Olandese di Analisi dei Dati illustra l'approccio corretto: un'azienda che offre dataset "anonimizzati" ai ricercatori di terze parti utilizza il metodo Redact (rimozione permanente di PII senza mappatura dei token). Il dataset risultante non ha un percorso per la re-identificazione — nessuna chiave, nessuna tabella dei token, nessuna preimmagine hash — soddisfacendo la soglia del Considerando 26 del GDPR. Il DPO documenta questa determinazione nella DPIA: metodo utilizzato, tipi di identificatori coperti, base di irreversibilità, valutazione del rischio residuo di re-identificazione. Il dataset è al di fuori dell'ambito del GDPR. Gli obblighi del GDPR (inclusi i diritti degli interessati, limiti di conservazione e garanzie di trasferimento) non si applicano alle copie di ricerca di terze parti.
Selezione del Metodo in Base all'Obiettivo di Conformità
Fuori dall'ambito del GDPR (vera anonimizzazione): Usa Redact (rimozione permanente) o Hash (di valori ad alta entropia, non indovinabili). Documenta la base di anonimizzazione. Nessun obbligo del GDPR si applica all'output.
Dentro l'ambito del GDPR con rischio ridotto (pseudonimizzazione): Usa Replace, Mask o Encrypt. Tutti gli obblighi del GDPR continuano ad applicarsi. La pseudonimizzazione riduce il rischio di danno da accesso non autorizzato ma non rimuove l'ambito del GDPR.
Reversibilità controllata (ricerca, audit, scoperta): Usa Encrypt con chiavi detenute dal cliente. Il GDPR si applica. Gli accordi di custodia delle chiavi devono soddisfare i requisiti di separazione delle chiavi delle Linee Guida EDPB 05/2022. Documenta il dominio di pseudonimizzazione.
Fonti: