La recente sentenza della Corte di Giustizia dell’Unione Europea (CJEU) nel caso C-413/23 P, nota come “sentenza Deloitte“, rappresenta un turning point nella disciplina della protezione dei dati personali. Pubblicata il 4 settembre 2025, la decisione ridefinisce i confini tra dati pseudonimizzati e anonimi, enfatizzando un’analisi concreta del rischio di re-identificazione piuttosto che presunzioni assolute.
Per il comparto Life Science – che include farmaceutica, biotech e intelligenza artificiale applicata alla sanità – le implicazioni sono profonde, facilitando l’uso di big data per ricerca e innovazione senza eccessivi vincoli normativi.
Il contesto del caso
La vicenda trae origine dalla risoluzione di Banco Popular Español nel 2017, gestita dal Single Resolution Board (SRB). L’SRB incaricò Deloitte di valutare se azionisti e creditori avrebbero beneficiato di una procedura di insolvenza ordinaria.
Per questo, furono raccolti commenti da stakeholder attraverso un processo in due fasi: registrazione con dati identificativi e invio di osservazioni pseudonimizzate, codificate con un codice alfanumerico unico.
I commenti pseudonimizzati furono trasmessi a Deloitte senza accesso ai dati identificativi, detenuti solo dall’SRB. Alcuni stakeholder si rivolsero al Garante Europeo per la Protezione dei Dati (EDPS) denunciando la mancanza di informativa sulla condivisione con terzi. L’EDPS classificò i dati come personali, ma il Tribunale UE annullò questa decisione nel 2020 (T-557/20), ritenendo i dati anonimi per Deloitte, data l’impossibilità concreta di re-identificazione.
L’EDPS impugnò la sentenza e il caso arrivò alla CJEU, che nel 2025 confermò la posizione del Tribunale: i dati pseudonimizzati possono essere anonimi se il destinatario non dispone di mezzi reali per re-identificarli.
La posizione della Corte
La Corte, interpretando il Regolamento UE 2018/1725 (analogo al GDPR), respinge l’idea che i dati pseudonimizzati restino sempre personali solo perché esistono informazioni supplementari per l’identificazione.
Se misure tecniche e organizzative impediscono concretamente l’attribuzione dei dati a un individuo, essi possono essere considerati anonimi.
Per Deloitte, i dati non erano personali perché non poteva revocare le misure di pseudonimizzazione né usare mezzi alternativi per re-identificare. Il rischio deve essere “insignificante”, valutando sforzi sproporzionati in termini di tempo, costi e manodopera. Non più automatismi: l’analisi è caso per caso.
Questa interpretazione pragmatica allinea il diritto alla realtà tecnologica, come sottolineato anche dall’Avvocato Generale in un’opinione preliminare.
Implicazioni generali per la data protection
La sentenza abbatte dogmi: addio a presunzioni assolute, benvenuta valutazione del rischio reale.
Ciò incide direttamente sul GDPR, facilitando trasferimenti di dati pseudonimizzati a terzi senza obblighi come informativa o consenso, se il rischio di re-identificazione è basso.
Per l’intelligenza artificiale, è un’accelerazione: il training di modelli su dataset pseudonimizzati diventa più agevole, riducendo i costi di compliance. Tuttavia, resta l’onere di dimostrare l’anonimato effettivo, come richiamano le linee guida EDPB sulla pseudonymization.
Uno sguardo al comparto Life Science
Nel settore Life Science, dove i dati sensibili rappresentano il cuore dell’innovazione, la sentenza è una svolta. L’industria farmaceutica e biotech gestisce enormi volumi di dati da clinical trials, real-world evidence e AI per drug discovery.
Con un approccio risk-based, le aziende possono pseudonimizzare i dati pazienti e condividerli con partner come CRO o vendor tecnologici, trattandoli come anonimi se la re-identificazione è impraticabile.
In R&D, ciò significa poter usare dataset clinici per machine learning senza consenso addizionale, accelerando lo sviluppo di terapie personalizzate. Deloitte stima che l’AI in pharma possa generare 5-7 miliardi di dollari in valore grazie a una migliore gestione dei dati.
Anche la sanità digitale beneficia: biobanche e AI diagnostica possono operare con dati considerati anonimi se le misure sono robuste, come già avviene in altri sistemi normativi.
Restano sfide: le aziende dovranno investire in strumenti per valutare i rischi di re-identificazione, tenendo conto di tecniche come il cross-referencing o gli attacchi basati su AI.
Quali scenari?
La sentenza Deloitte non è solo storica per la data protection: per il Life Science apre la strada a un uso più fluido dei dati, bilanciando privacy e innovazione.
Le aziende dovranno investire in analisi dei rischi e tecnologie di pseudonimizzazione per capitalizzare su questo scenario.
In un’era dominata da AI e big data, la pragmaticità della Corte UE posiziona l’Europa come leader etico-tecnologico, riducendo i bias nei modelli sanitari e accelerando lo sviluppo di cure. Il futuro? Una collaborazione internazionale più sicura ed efficace, con dati che fluiscono protetti ma senza barriere eccessive.
