Anonimizzare vs Pseudonimizzare: In Gioco Ci Sono 20 Milioni di Euro
L'articolo 83 fissa le sanzioni massime a 20 milioni di euro o al 4% del fatturato annuo globale. Una domanda giuridica determina questa esposizione al rischio: la legge si applica al tuo dataset?
L'anonimizzazione rimuove l'ambito di applicazione. La pseudonimizzazione no. La differenza è enorme.
Le Due Definizioni in Termini Chiari
Il Considerando 26 stabilisce il criterio per l'anonimizzazione. Una persona deve essere "non identificabile o non più identificabile". Il test è ampio: considera tutti i mezzi "ragionevolmente utilizzabili", compresi quelli del titolare del trattamento, del responsabile e di qualsiasi terza parte.
L'articolo 4, paragrafo 5, definisce la pseudonimizzazione. I dati sono pseudonimizzati quando una chiave consente di invertire il processo. Rimuovi la chiave e i dati rimangono. Quei dati aggiuntivi devono essere conservati separatamente. Non si tratta di anonimizzazione.
I dati pseudonimizzati sono ancora dati personali. La legge si applica integralmente. Non esiste alcuna esenzione dall'ambito di applicazione. Punto.
Il Costo di un'Etichettatura Errata
Trattare un dataset pseudonimizzato come anonimo crea contemporaneamente cinque problemi:
- Registrazioni ROPA errate ai sensi dell'articolo 30
- Nessuna procedura per i diritti degli interessati — accesso, cancellazione o portabilità
- Nessun piano di conservazione — nessun trigger per la cancellazione
- Nessuna garanzia per i trasferimenti nelle operazioni transfrontaliere
- Nessuna procedura di cancellazione per le richieste di diritto all'oblio
Ogni lacuna costituisce una violazione separata. Tutte e cinque possono coesistere in un'unica pipeline.
Il Segnale dell'Enforcement nel 2025
Nel 2025, l'EDPB ha condotto un'azione di controllo coordinato. Il rapporto ha identificato un'anomalia ricorrente: "tecniche di anonimizzazione inefficaci utilizzate come alternativa alla cancellazione". Le Autorità di protezione dei dati ora verificano la qualità dell'anonimizzazione — non solo se una procedura esiste, ma se funziona davvero.
Un dataset tokenizzato con una tabella di lookup è pseudonimizzato. Non è anonimo. Possiede una chiave che consente di invertirlo. Definirlo anonimo è esattamente la carenza che il rapporto del 2025 individua.
Scegliere il Metodo Giusto
Vera anonimizzazione — fuori dall'ambito di applicazione. Utilizza la Redazione. I dati personali vengono eliminati senza possibilità di ricollegamento. Puoi anche applicare l'Hashing su valori ad alta entropia senza percorso di preimage. Documenta la base giuridica. All'output non si applicano obblighi legali.
Pseudonimizzazione — nell'ambito di applicazione. Utilizza Sostituzione, Mascheratura o Cifratura. La legge si applica integralmente. La pseudonimizzazione riduce il danno in caso di violazione, ma non elimina gli obblighi legali.
Reversibilità controllata — per ricerche o audit. Utilizza la Cifratura con chiavi detenute dal cliente. La custodia delle chiavi deve rispettare le regole di separazione delle chiavi dell'EDPB 05/2022. Annota il dominio nella DPIA.
Un Caso d'Uso Concreto
Un'azienda vende registrazioni "anonimizzate" di clienti ai ricercatori. Applica il metodo di Redazione: i dati personali vengono rimossi, senza tabella di token né preimage dell'hash. La reidentificazione non ha percorsi possibili.
Il DPO documenta tutto nella DPIA: metodo utilizzato, tipi di identificativi, perché il processo non può essere invertito, livello di rischio residuo. L'output è fuori dall'ambito di applicazione. I diritti degli interessati e le regole sui trasferimenti non si applicano alle copie per la ricerca.
Il metodo corrisponde alla dichiarazione. Questa è la procedura corretta. Regge a un audit.
Perché la Documentazione è Fondamentale
Un'azienda non può semplicemente affermare di aver anonimizzato. L'affermazione deve essere documentata. La DPIA deve dimostrare quattro cose: quali identificativi sono stati coperti, quale metodo è stato utilizzato, perché la reidentificazione non ha percorsi possibili, qual è il livello di rischio residuo.
Senza questa documentazione, un audit considera il dataset come rientrante nell'ambito di applicazione. Si applicano tutti gli obblighi: la registrazione ROPA deve esistere, le garanzie per i trasferimenti devono esistere, la procedura di cancellazione deve esistere. Nessun obbligo viene meno senza prove documentate.
Per le interazioni tra il diritto alla cancellazione e le registrazioni anonimizzate, consulta la guida GDPR al diritto alla cancellazione e alle linee guida EDPB 2025. Per le regole sui trasferimenti nella condivisione transfrontaliera, consulta la conformità ai trasferimenti di dati e la multa a TikTok.