Riccardo Michele Colangelo – Dottorando di ricerca in Gestione finanziaria d’impresa e prevenzione della crisi, Università Mercatorum – riccardomichele.colangelo@studenti.unimercatorum.it
SOMMARIO
1. Introduzione.
2. Considerazioni tassonomiche de iure condito.
3. La nozione di pseudonimizzazione nelle Linee guida EDPB n. 1/2025.
4. Alcune recenti pronunce giurisprudenziali in tema di pseudonimizzazione.
4.1. La sentenza del Tribunale UE del 26 aprile 2023 (nella causa T 557/20).
4.2. La sentenza della Corte di Giustizia dell’Unione Europea del 4 settembre 2025 (nella causa C‑413/23 P).
5. Conclusione.
Il paper intende indagare, nel contesto della tassonomia propria del GDPR, gli attuali confini della nozione di pseudonimizzazione, anche in un’ottica diacronica, al fine di porre in luce a quali condizioni sia corretta la sostanziale equiparazione dei dati pseudonimizzati ai dati personali.
Tale analisi, pertanto, contribuisce ad una migliore delimitazione del confine tra dati personali e dati non personali, foriera di rilevanti implicazioni in tema di applicabilità del GDPR.
L’illustrazione e l’interpretazione del dettato normativo risultano corroborate dal riferimento a recenti linee guida dell’European Data Protection Board (EDPB) e ad alcuni arresti giurisprudenziali eurounitari particolarmente recenti e rilevanti, che evidenziano la natura sempre più dinamica della nozione di pseudonimizzazione, la quale richiede valutazioni caso per caso.
This paper aims to examine, within the taxonomy established by the GDPR, the current boundaries of the notion of pseudonymisation, including from a diachronic perspective, in order to shed light on the conditions under which the assimilation of pseudonymised data to personal data is justified. The analysis therefore contributes to a more precise delineation of the boundary between personal and non-personal data, a distinction that carries significant implications for the material scope of the GDPR. The exposition and interpretation of the relevant legal framework are supported by reference to recently issued guidelines of the European Data Protection Board (EDPB) and significant rulings of the EU courts, which underscore the increasingly dynamic nature of the notion of pseudonymisation and the resulting need for case-by-case assessments.
