
Anonimizzazione: le Guidelines 02/2026 on Anonymisation (adottate il 7 luglio 2026, in consultazione pubblica fino al 30 ottobre 2026) rappresentano l’aggiornamento fondamentale del Parere WP29 05/2014 sulle tecniche di anonimizzazione. Forniscono un framework pratico, giuridico e tecnico per determinare quando i dati diventano realmente anonimi (e quindi fuori dal campo di applicazione del GDPR) e supportano Imprese e PA nell’utilizzo sicuro di dati per analytics, ricerca, AI, data sharing e data spaces europei.
1. Concetto giuridico di dato anonimo (art. 4(1) e Considerando 26 GDPR)
Un dato è anonimo se non si riferisce a una persona fisica identificata o identificabile.
- La valutazione è relativa alla prospettiva delle entità rilevanti (titolare, destinatari, terzi, ecc.): lo stesso dataset può essere anonimo per alcuni soggetti e personale per altri (es. chi dispone di informazioni aggiuntive).
- Il dato “si riferisce” a una persona per contenuto, finalità o effetto (anche se il collegamento non è immediato).
- Una persona è identificabile se può essere distinta da altre in un dato contesto con mezzi ragionevolmente utilizzabili (interpretati in senso ampio, inclusi mezzi accessibili tramite terzi).
Fattori oggettivi per valutare i “mezzi ragionevolmente utilizzabili”:
- Costi, tempo, sforzo tecnico.
- Tecnologie disponibili e prevedibili (inclusi sviluppi AI).
- Informazioni aggiuntive accessibili.
- Contesto, restrizioni contrattuali/legali, valore economico del dato re-identificato.
- Non basta: mancanza di motivazione, divieti contrattuali (senza misure tecniche robuste) o presunzione di rispetto della legge (se non supportata da enforcement effettivo).
L’anonimato non è irreversibile: deve essere rivalutato periodicamente (evoluzione tecnologica, nuovi dati disponibili).
2. I tre criteri tecnici per l’anonimizzazione (evoluzione del WP29 05/2014)
Per verificare l’efficacia dell’anonimizzazione, applicare i criteri No Record Isolation, No Linkage e No Inference. Se tutti e tre sono superati, i dati possono considerarsi anonimi.
- No Record Isolation: Nessun record nel dataset deve essere unico/combinazione isolabile di attributi che permetta di singolarizzare un individuo (alta dimensionalità e risoluzione aumentano il rischio).
- No Linkage: Impossibilità di collegare con certezza/alta probabilità un record a dati esterni relativi allo stesso individuo.
- No Inference: Impossibilità di trarre inferenze specifiche e significative su un individuo identificato/identificabile.
- Specifica: si riferisce a un individuo preciso.
- Significativa: incide su diritti/interessi, deriva dal dataset e non da conoscenze generali/populazionali. (Es. inferenze statistiche generali sono ammesse; inferenze basate sui dati specifici dell’individuo no).
Se un criterio fallisce → analisi ulteriore (es. verificare se record isolati + linkage permettano singolarizzazione).
3. Due approcci di valutazione
- Approccio contestuale (più aderente al diritto): Valuta capacità e mezzi di ciascuna entità rilevante. Riflette la giurisprudenza CJUE (es. sentenza Deloitte C-413/23 P).
- Approccio semplificato (più prudente): Ignora differenze tra entità; assume che se un mezzo esiste, qualcuno può usarlo. Utile per maggiore sicurezza, ma può trattare come personali dati che in realtà sono anonimi per alcuni. Raccomandazione pratica: Combinare i due (partire dal semplificato, raffinare con il contestuale).
Allegato utile: Flowchart per la valutazione tecnica.
4. Impatti operativi per Imprese e PA (DPO-focused)
- Processo di anonimizzazione deve essere documentato, proporzionato e parte della DPIA/Risk Assessment quando applicabile.
- Dataset misti (anonimi + personali): Trattare separatamente.
- Trasparenza: Evitare termini fuorvianti (“de-identified”, “anonimo”) se non verificati.
- Vantaggi: Dati anonimi → libertà di utilizzo (ricerca, AI training, condivisione, analytics) senza obblighi GDPR (consenso, diritti interessati, ecc.).
- Rischi residui: Re-identificazione (soprattutto con AI, data spaces, linkage esterni). Periodica rivalutazione obbligatoria.
- Pseudonimizzazione (diversa): Riduce rischi ma i dati restano personali (vedi Guidelines EDPB 01/2025). Utile come misura di sicurezza, non come uscita dal GDPR.
Per la compliance:
- Integrare nelle policy di data governance, AI governance e data sharing.
- Formare team tecnici e DPO.
- Usare tecniche robuste (k-anonymity, differential privacy, aggregation, noise addition, ecc.) con validazione.
- Tenere traccia della consultazione pubblica per aggiornamenti.
Documenti di riferimento principali:
- PDF ufficiale EDPB Guidelines 02/2026 (34 pagine + allegati).
- Precedente: WP29 Opinion 05/2014.
- Giurisprudenza CJUE rilevante (Breyer, Scania, Deloitte, ecc.).
- Queste linee guida rafforzano la data protection by design e facilitano l’innovazione responsabile. Per il DPO: raccomandazione di condurre assessment piloti sui dataset critici (es. sanitari, comportamentali, analytics) e aggiornare il registro trattamenti/DPIA.
- Se hai un dataset specifico, un caso d’uso aziendale/PA o vuoi approfondire un criterio/esempio, fornisci dettagli per un’analisi mirata. Posso anche indicare come strutturare una procedura interna di valutazione anonimizzazione.
