Negli ultimi anni, ogni nuova pronuncia in materia di protezione dei dati viene presentata come “storica”, “epocale” o addirittura capace di riscrivere le regole della privacy in Europa. La recente sentenza Deloitte (C-413/23 P, 4 settembre 2025) non ha fatto eccezione. Media e commentatori hanno parlato di un presunto punto di svolta nel trattamento dei dati pseudonimizzati, alimentando l’idea che il GDPR sia ancora un terreno instabile e in continua trasformazione.

Un’analisi più attenta, però, racconta un’altra storia: quella di un quadro normativo ormai maturo e coerente, che procede per conferme piuttosto che per rotture. La Corte di Giustizia dell’Unione europea, infatti, non ha introdotto una regola nuova, ma ha ribadito principi già presenti nella giurisprudenza, in particolare nella celebre sentenza Breyer (C-582/14). L’apparente “novità” è quindi più il frutto di una narrazione mediatica che di un reale cambiamento giuridico.

Il caso trae origine dalla consultazione avviata dal Single Resolution Board sul dissesto del Banco Popular Español, in cui Deloitte analizzò dati forniti in forma pseudonimizzata dagli stakeholder. L’Edps ritenne che tali informazioni dovessero comunque essere considerate dati personali, con la conseguenza di imporre a Deloitte di figurare tra i destinatari dell’informativa privacy. Il Tribunale dell’Unione europea ribaltò questa posizione, sostenendo che la qualificazione come dato personale dipende dalla prospettiva del destinatario: non basta che altri soggetti possiedano informazioni identificative, occorre verificare se chi riceve i dati abbia strumenti concreti e legittimi per risalire all’identità delle persone coinvolte. La Corte di Giustizia, confermando questa linea, ha ribadito che i dati pseudonimizzati possono essere trattati come anonimi quando il rischio di re-identificazione resta solo teorico, rafforzando l’idea che l’analisi debba basarsi su un rischio concreto e non astratto.

Tre sono i punti che emergono chiaramente e che dimostrano la continuità rispetto al passato: in primo luogo, la conferma della centralità della valutazione effettiva e non ipotetica della possibilità di identificazione; in secondo luogo, l’autonomia dell’autorità competente nel verificare caso per caso se un destinatario disponga dei mezzi per re-identificare i dati; infine, l’adozione di un approccio fondato sul rischio, che misura la significatività della minaccia in base allo sforzo necessario in termini di tempo, costi e risorse: gli effetti pratici della sentenza non vanno ricercati in un ribaltamento delle regole, ma piuttosto nella riaffermazione dell’importanza dell’accountability.

Le aziende sono chiamate a dimostrare in modo documentato di avere valutato correttamente i rischi, aggiornato le proprie DPIA, predisposto informative trasparenti e adottato misure coerenti con l’approccio “privacy by design and by default”. È qui che si colloca la vera novità introdotta dal GDPR, non tanto in singole pronunce giudiziarie, ma nell’impianto generale che ha trasformato la protezione dei dati in un sistema fondato sulla responsabilizzazione.

L’accountability ha segnato un cambio di paradigma perché impone a ogni organizzazione non solo di rispettare regole prescrittive, ma di analizzare, giustificare e dimostrare le proprie scelte in funzione del contesto e del rischio reale, con processi dinamici e su misura. È per questo che, più che nella sentenza Deloitte, la vera rivoluzione della privacy va individuata in questo principio, che obbliga imprese e professionisti a un approccio rigoroso e continuativo, capace di fare della compliance un elemento strutturale della governance. L’enfasi mediatica che circonda ogni decisione in materia di privacy contribuisce però a mantenere l’idea che il GDPR sia sempre “nuovo” o “da aggiornare”, nonostante i suoi nove anni di vita e un’ampia stratificazione di prassi e decisioni interpretative.

La trasversalità del regolamento, che tocca settori diversissimi tra loro, dalla sanità al gaming, e la complessità tecnica della materia, favoriscono titoli sensazionalistici e narrative emergenziali. Ne deriva un effetto distorsivo: le aziende tendono a reagire a scatti, sull’onda di una sanzione o di una sentenza, invece di costruire una strategia stabile e continua; i cittadini percepiscono la privacy come un insieme astratto e burocratico, piuttosto che come garanzia effettiva dei propri diritti. In realtà, la stabilità dimostrata dalla sentenza Deloitte evidenzia che il GDPR è ormai una normativa strutturale e consolidata, non un cantiere aperto. Il paragone con altre normative europee, inizialmente accolte con timore ma oggi pienamente integrate nella prassi, rafforza questa idea: il fatto che il GDPR venga ancora narrato come una novità è più il frutto di una percezione culturale che di una reale instabilità giuridica. Uscire da questa logica emergenziale e sensazionalistica è il passo necessario per raccontare la privacy non come un enigma normativo, ma come un valore di fiducia, trasparenza e competitività per le imprese e come un diritto fondamentale per i cittadini.

Visualizzazioni: 1