L’anonimizzazione è tradizionalmente considerata la “via d’uscita” dal GDPR. Ma quando un dataset può dirsi realmente anonimo? Le nuove Guidelines 02/2026 dell’EDPB sull’anonimizzazione cercano di rispondere a questo interrogativo offrendo un metodo strutturato per valutare l’anonimità dei dati.
Al tempo stesso, il documento lascia emergere una concezione dell’anonimizzazione che trascende la sola esclusione dall’ambito di applicazione del GDPR e la configura quale strumento di tutela dei diritti fondamentali nell’era dell’intelligenza artificiale.
Le Guidelines 02/2026 on Anonymisation, adottate dall’EDPB il 7 luglio 2026 nella loro versione per la consultazione pubblica aperta fino al 30 ottobre 2026, si inseriscono nel più ampio programma di attività dell’EDPB volto a fornire orientamenti su questioni centrali del diritto europeo della protezione dei dati.
Nella stessa sessione plenaria, il documento è stato presentato insieme alle nuove Guidelines sul web scraping per l’addestramento dell’AI generativa, mentre sono state contestualmente approvate in via definitiva le Guidelines sulle tecnologie blockchain. La consultazione offrirà ora agli stakeholder l’opportunità di contribuire all’elaborazione della versione finale del testo.
Linee guida EDPB sull’anonimizzazione: struttura del documento
Il documento si sviluppa secondo una struttura progressiva che parte dall’inquadramento giuridico del concetto di anonimizzazione fino alla sua concreta applicazione operativa. Dopo un Executive Summary, nel quale vengono illustrate le finalità del documento e anticipati i principali criteri di valutazione, le Linee guida si aprono con un’ampia ricostruzione della nozione di dato anonimo alla luce del GDPR e della più recente giurisprudenza della Corte di giustizia dell’Unione europea.
In questa prima parte, l’EDPB affronta questioni centrali quali l’individuazione della prospettiva dalla quale valutare l’anonimizzazione, il significato di informazioni “relative” a una persona fisica, il concetto di persona “identificata o identificabile” e l’interpretazione dei “mezzi ragionevolmente utilizzabili“, soffermandosi inoltre su alcune problematiche applicative, quali i dataset misti e il rapporto tra il processo di anonimizzazione e gli obblighi derivanti dal GDPR.
La seconda parte del documento assume invece un carattere prevalentemente tecnico-metodologico e propone un vero e proprio framework per la valutazione dell’anonimità dei dati.
Dopo aver distinto tra un approccio contestuale, che valuta il rischio di re-identificazione dalla prospettiva dei singoli soggetti coinvolti e delle loro concrete possibilità di identificazione, e un approccio semplificato, più restrittivo, che prescinde da tali differenze e applica un criterio uniforme, l’EDPB sviluppa il proprio modello di analisi intorno ai tre criteri del No Record Isolation, No Linkage e No Inference, illustrandone il contenuto mediante numerosi esempi pratici e fornendo indicazioni sulle modalità di valutazione dell’efficacia delle tecniche di (re-)identificazione.
Le Linee Guida si concludono infine con un glossario dei principali concetti utilizzati e con un diagramma di flusso che traduce il framework propostoin una sequenza operativa di verifiche, guidando il titolare attraverso le diverse fasi dell’assessment fino a stabilire se un dataset possa essere qualificato come anonimo.
Questa continuità tra analisi giuridica e metodologia applicativa rappresenta forse uno degli elementi più caratterizzanti delle nuove Linee guida.
Il percorso di assessment dell’anonimizzazione
Nelle nuove linee guida, l’EDPB ha tracciato quello che è il percorso di assessment dell’anonimizzazione.
| Fase | Verifica da effettuare | Obiettivo |
| 1. Individuazione dei soggetti rilevanti | Identificare chi potrebbe avere accesso ai dati e chi potrebbe ragionevolmente contribuire alla re-identificazione degli interessati. | Definire la prospettiva dalla quale valutare l’anonimizzazione. |
| 2. Individuazione delle informazioni aggiuntive | Verificare quali dati ulteriori potrebbero essere disponibili o acquisibili attraverso mezzi ragionevolmente utilizzabili. | Valutare il reale rischio di re-identificazione. |
| 3. Test del No Record Isolation | Verificare che il dataset non consenta di isolare un singolo individuo. | Escludere la possibilità di individuare un record univoco. |
| 4. Test del No Linkage | Verificare che il dataset non possa essere collegato ad altre fonti informative. | Evitare la re-identificazione mediante collegamento con altri dati. |
| 5. Test del No Inference | Verificare che dal dataset non possano essere ricavate inferenze specifiche e significative riferibili a una persona. | Escludere la possibilità di dedurre informazioni personali anche in assenza di identificazione diretta. |
| 6. Valutazione dei mezzi ragionevolmente utilizzabili | Accertare che eventuali mezzi di identificazione siano solo teorici e non concretamente utilizzabili dai soggetti rilevanti. | Verificare il rispetto del criterio di identificabilità previsto dal GDPR. |
| 7. Documentazione dell’assessment | Documentare metodologia, valutazioni effettuate e motivazioni delle conclusioni raggiunte. | Garantire la dimostrabilità del processo e il rispetto del principio di accountability. |
Solo se tutte le verifiche hanno esito positivo il dataset può essere qualificato come anonimo ai sensi del GDPR.
Perché nuove Linee guida sull’anonimizzazione?
Con l’adozione delle Guidelines 02/2026 on Anonymisation, l’EDPB interviene su uno dei temi più delicati dell’intero sistema europeo di protezione dei dati personali: la definizione del confine tra dato personale e dato anonimo. Si tratta di un intervento atteso da tempo, che sostituisce e aggiorna il celebre Parere 05/2014 del Gruppo Articolo 29, elaborato in un contesto tecnologico e giuridico ormai lontano e profondamente diverso rispetto a quello attuale.
Le ragioni dell’intervento sono molteplici. In primo luogo, l’entrata in vigore del GDPR ha modificato il quadro normativo di riferimento, introducendo un sistema fondato sul rischio e sulla responsabilizzazione (accountability) dei titolari del trattamento.
Inoltre, negli ultimi anni, la Corte di Giustizia dell’Unione europea ha progressivamente affinato la nozione di dato personale e di identificabilità attraverso decisioni fondamentali, tra cui Breyer, Nowak, IAB Europe, OC v Commission ed EDPS v SRB (il cd. caso Deloitte), e, in particolare, precisando il concetto di informazione “relativa” a una persona, i limiti del criterio dei “mezzi ragionevolmente utilizzabili” e, più recentemente, il ruolo della prospettiva del destinatario dei dati nella valutazione della loro natura personale.
Parallelamente, l’evoluzione delle tecnologie di analisi dei dati, dell’intelligenza artificiale e delle tecniche di re-identificazione ha reso sempre più evidente come l’eliminazione degli identificativi diretti non sia sufficiente a garantire l’anonimato.
Il contesto europeo è inoltre profondamente cambiato sotto il profilo delle politiche di condivisione dei dati, in quanto la strategia europea dei dati, il Data Governance Act, il Data Act, l’European Health Data Space e gli altri futuri spazi comuni europei dei dati attribuiscono all’anonimizzazione un ruolo centrale, quale strumento per favorire il riutilizzo delle informazioni senza compromettere i diritti fondamentali degli interessati.
Le principali innovazioni rispetto al Parere WP29 del 2014
Le nuove Linee guida propongono una lettura molto più articolata e aderente alla recente evoluzione giurisprudenziale del concetto di anonimizzazione già previsto dal GDPR.
La prima novità riguarda la prospettiva dalla quale deve essere valutata l’identificabilità di una persona. L’EDPB chiarisce infatti che un dataset può essere anonimo per un soggetto e continuare a costituire dato personale per un altro. L’anonimizzazione cessa così di essere una qualità assoluta del dato per diventare una valutazione necessariamente contestuale, dipendente dai mezzi concretamente disponibili ai diversi soggetti che possono accedere alle informazioni.
Una seconda innovazione consiste nell’introduzione delle citate due differenti modalità di valutazione: un approccio contestuale, che riflette fedelmente lo standard giuridico del GDPR, e un approccio semplificato, più prudenziale e conservativo, destinato alle organizzazioni che preferiscono adottare criteri maggiormente restrittivi.
In quest’ultimo caso, ad esempio, se un dataset potrebbe essere re-identificato solo da un soggetto dotato di informazioni aggiuntive molto specifiche, il titolare può scegliere di considerarlo comunque non anonimo, senza verificare se tali informazioni siano realmente disponibili ai destinatari dei dati.
Il risultato è una valutazione più cautelativa rispetto allo standard giuridico del GDPR, ma anche più semplice da applicare e maggiormente idonea a ridurre il rischio di errori.
Infine, le Guidelines riprendono i tre criteri già elaborati dal Gruppo Articolo 29 nel Parere 05/2014 (singling out, linkability e inference), riformulandoli nel nuovo framework operativo attraverso i test del No Record Isolation, No Linkage e No Inference e rendendoli un vero e proprio metodo di valutazione dell’anonimizzazione.
Il titolare è chiamato in pratica a verificare progressivamente se il dataset consenta l’isolamento di un record, il collegamento con altre fonti informative o l’inferenza di informazioni riferibili a un individuo, fino a giungere a una valutazione complessiva dell’effettiva anonimizzazione.
Particolare rilievo assume il criterio del No Inference, che riflette l’attenzione crescente verso le capacità delle moderne tecniche di analisi statistica e dei sistemi di intelligenza artificiale di ricavare informazioni riferibili a una persona anche quando tali informazioni non sono direttamente contenute nel dataset.
Le possibili questioni aperte nella consultazione pubblica
Pur rappresentando uno dei documenti più completi mai pubblicati sul tema, le Guidelines sollevano alcuni interrogativi che potrebbero costituire oggetto della consultazione pubblica.
L’espansione del concetto di “mezzi ragionevolmente utilizzabili”
Uno degli aspetti più delicati delle nuove Guidelines riguarda l’interpretazione del criterio dei “mezzi ragionevolmente utilizzabili”, richiamato dal considerando 26 del GDPR quale parametro per valutare l’identificabilità di una persona.
La Corte di giustizia ha progressivamente chiarito che tale valutazione deve essere condotta sulla base di elementi oggettivi, quali costi, tempi, tecnologie disponibili, possibilità di accesso a informazioni aggiuntive e concreta probabilità che determinati mezzi siano effettivamente impiegati.
Le Guidelines recepiscono tale orientamento, ma ne ampliano sensibilmente la portata. L’EDPB invita infatti a considerare non soltanto la disponibilità di dati aggiuntivi, ma anche la possibilità di ottenerli tramite soggetti terzi, l’evoluzione delle capacità computazionali, lo sviluppo di nuove tecniche di analisi, la crescente accessibilità degli strumenti di intelligenza artificiale e persino i futuri sviluppi tecnologici ragionevolmente prevedibili.
L’analisi dell’identificabilità assume così una dimensione inevitabilmente prospettica, nella quale il rischio di re-identificazione deve essere valutato sia rispetto alle tecnologie oggi disponibili, che alla loro prevedibile evoluzione.
Una simile impostazione appare certamente coerente con l’obiettivo di garantire un elevato livello di tutela dei diritti fondamentali in un contesto tecnologico in rapida trasformazione. Tuttavia, essa pone anche un interrogativo sul piano della certezza del diritto.
Il criterio dei “mezzi ragionevolmente utilizzabili” è stato infatti concepito dal legislatore europeo proprio per evitare che ogni possibilità meramente teorica di identificazione conducesse automaticamente all’applicazione del GDPR.
Nello stesso senso anche la giurisprudenza della Corte, che ha sempre valorizzato la necessità di un giudizio ancorato alla concreta probabilità di utilizzo dei mezzi di identificazione.
Le Guidelines sembrano invece orientare il titolare verso una valutazione molto più ampia, nella quale assume rilievo una pluralità di scenari futuri e di capacità tecnologiche in continua evoluzione.
Da qui una possibile questione interpretativa che potrebbe emergere nel corso della consultazione pubblica: il parametro dei “mezzi ragionevolmente utilizzabili” continua a riferirsi a ciò che è ragionevolmente probabile (reasonably likely to be used), come sembrano suggerire il GDPR e la giurisprudenza della Corte, oppure rischia di estendersi a tutto ciò che è ragionevolmente concepibile (reasonably conceivable)?
Nel primo caso, il criterio continua a svolgere la funzione di limite pratico all’ambito di applicazione del GDPR; nel secondo, esso rischia di trasformarsi in un esercizio di valutazione di scenari potenzialmente illimitati, con inevitabili ricadute sulla prevedibilità delle valutazioni e sulla certezza giuridica per i titolari del trattamento.
Sarà probabilmente questo uno dei punti più delicati del confronto che accompagnerà la consultazione pubblica.
L’estensione dei soggetti da considerare
Particolarmente interessante è l’elenco dei soggetti che, secondo l’EDPB, potrebbero contribuire alla re-identificazione degli interessati: accanto ai destinatari dei dati, vengono infatti richiamati giornalisti investigativi, familiari, colleghi, cybercriminali, imprese scorrette e perfino servizi di intelligence stranieri.
L’obiettivo è evidentemente quello di richiamare i titolari ad una valutazione il più possibile completa delle possibili fonti di rischio.
Significativo è l’esempio riportato dalle Guidelines di un partner commerciale che, pur non disponendo delle competenze necessarie per re-identificare i dati, potrebbe facilmente affidare tale attività a un soggetto terzo specializzato. Secondo l’EDPB, anche questa possibilità deve essere presa in considerazione nella valutazione dei mezzi ragionevolmente utilizzabili.
Tuttavia, un approccio così esteso potrebbe sollevare dubbi sotto il profilo della concreta applicabilità, dal momento che, per molte organizzazioni, soprattutto di dimensioni medio-piccole, risulta difficile immaginare una valutazione sistematica delle capacità tecniche, giuridiche e organizzative di una platea tanto ampia ed eterogenea di soggetti.
La consultazione pubblica potrebbe rappresentare l’occasione per chiarire fino a che punto tali esempi debbano essere considerati come scenari concreti oppure come semplici ipotesi teoriche.
Il ruolo dell’intelligenza artificiale
Le Guidelines sottolineano come i futuri sviluppi dell’intelligenza artificiale (e, in particolare, dell’agentic AI) siano destinati a ridurre tempi, costi e complessità delle tecniche di collegamento e inferenza.
Il documento richiama inoltre espressamente la possibilità che modelli di AI e dati sintetici, opportunamente interrogati (prompted) e combinati con informazioni aggiuntive, consentano di ricavare inferenze riferibili a specifici individui.
Anche questa posizione (pur se condivisibile) lascia aperti alcuni interrogativi metodologici. Senza individuare parametri oggettivi che consentano ai titolari di valutare quando una determinata tecnologia debba essere considerata “ragionevolmente utilizzabile”, si rischia che valutazioni fortemente disomogenee, affidate alla diversa sensibilità tecnica delle organizzazioni o dei consulenti coinvolti.
La rivalutazione continua dell’anonimizzazione
Un’altra novità significativa consiste nell’invito rivolto ai titolari a rivalutare periodicamente l’efficacia delle tecniche di anonimizzazione adottate.
Una raccomandazione coerente con l’impianto normativo del GDPR che vede il suo fulcro nell’accountability del titolare e dell’approccio risk-based, in considerazione del fatto che l’evoluzione delle tecnologie può effettivamente rendere vulnerabili dataset che in precedenza apparivano adeguatamente anonimizzati.
Dal punto di vista giuridico questa impostazione apre però una questione non secondaria: se l’anonimizzazione viene valutata alla luce dello stato dell’arte tecnologico in continua evoluzione, diventa necessario comprendere quale sia l’orizzonte temporale entro il quale il titolare rimane responsabile del monitoraggio del rischio di re-identificazione e quali siano i limiti ragionevoli di tale obbligo.
Il rapporto tra anonimizzazione e sicurezza
Le Guidelines ribadiscono con chiarezza che misure tecniche, organizzative o contrattuali possono certamente ridurre il rischio di accesso ai dati, ma non sono di per sé sufficienti a renderli anonimi.
Emblematico è l’esempio della società che, pur condividendo un dataset con un destinatario incapace di identificare gli interessati, conserva le informazioni aggiuntive su sistemi informatici vulnerabili: proprio il rischio che tali informazioni possano essere acquisite da soggetti terzi impedisce di considerare definitivamente anonimo il dataset.
La consultazione pubblica potrebbe rappresentare l’occasione per chiarire quale debba essere il ruolo delle misure di sicurezza nel giudizio di anonimizzazione, ovvero fino a che punto tali misure possano essere valorizzate senza determinare una sovrapposizione tra il concetto di anonimizzazione e quello, distinto, di sicurezza del trattamento disciplinato dall’articolo 32 GDPR.
Dall’anonimizzazione come tecnica all’anonimizzazione come processo
Al di là dei singoli contenuti, la caratteristica probabilmente più innovativa del documento riguarda il metodo adottato dall’EDPB.
Le Guidelines non si limitano infatti ad interpretare disposizioni del GDPR o a fornire chiarimenti teorici, ma costruiscono un vero e proprio percorso operativo destinato ai titolari del trattamento. L’analisi proposta segue una sequenza logica ben definita: individuazione della prospettiva rilevante, mappatura dei dati, identificazione delle possibili fonti di informazioni aggiuntive, scelta dell’approccio di valutazione, verifica progressiva dei tre criteri di anonimizzazione e, infine, eventuale approfondimento nei casi dubbi.
Il diagramma di flusso allegato alle Guidelines rappresenta visivamente questa impostazione, costituendo una vera procedura decisionale che potrebbe essere facilmente tradotta in checklist interne, metodologie di audit o procedure aziendali di valutazione dell’anonimizzazione.
Sotto questo profilo, le Guidelines rappresentano una significativa evoluzione del ruolo stesso dell’EDPB. L’Autorità europea, oltre fornire criteri interpretativi destinati ai giuristi, propone anche strumenti metodologici direttamente utilizzabili da organizzazioni, data protection officer, consulenti e tecnici chiamati a progettare o verificare processi di anonimizzazione.
Questa impostazione riflette pienamente la funzione delle Linee guida europee, cioè quella di orientare concretamente le decisioni delle organizzazioni. Al tempo stesso, essa evidenzia una delle principali sfide del diritto della protezione dei dati nell’era dell’intelligenza artificiale: tradurre concetti giuridici intrinsecamente probabilistici, come quello di identificabilità, in procedure di valutazione sufficientemente rigorose da garantire uniformità applicativa, senza sacrificare la flessibilità richiesta dall’evoluzione tecnologica.
Anonimizzazione come strumento di tutela dei diritti fondamentali
Le nuove Guidelines ricordano come l’anonimizzazione costituisca un presidio essenziale per la tutela dei diritti e delle libertà fondamentali delle persone fisiche. Oltre che impedire l’identificazione degli interessati, l’obiettivo è evitare che le informazioni possano essere utilizzate per incidere sulla loro sfera giuridica attraverso processi di classificazione, profilazione o decisione.
Questo approccio assume particolare rilievo nell’attuale contesto tecnologico, nel quale i sistemi di intelligenza artificiale e le tecniche avanzate di analisi dei dati sono in grado di ricavare informazioni altamente significative anche in assenza di identificativi diretti.
L’eliminazione del nome o di altri identificatori non esclude infatti che variabili apparentemente neutre (quali ad esempio il CAP di residenza, le abitudini di consumo, i modelli di mobilità, le carriere lavorative, le caratteristiche finanziarie ecc.) possano essere utilizzate come proxy di caratteristiche protette, quali l’origine etnica, lo stato di salute, il sesso o la condizione socioeconomica, dando luogo ai fenomeni detti di proxy discrimination.
Assume particolare rilievo il criterio del No Inference, che riguarda la possibilità di ricavare inferenze specifiche e significative riferibili a un individuo, anche quando quest’ultimo non sia immediatamente identificabile. Il rischio non consiste più soltanto nel ricondurre un record a una persona, ma anche nel costruire conoscenza utilizzabile per valutarla, classificarla o prevederne il comportamento.
Dall’identificazione all’influenza: l’anonimizzazione tra GDPR e AI Act
Il documento appare infatti collocarsi nel punto di incontro tra il GDPR e il nuovo quadro europeo sull’intelligenza artificiale. Se il primo mira a prevenire i rischi derivanti dall’identificazione degli interessati, l’AI Act concentra invece l’attenzione sui rischi connessi alla classificazione, alla profilazione e alle decisioni automatizzate.
E il criterio del No Inference rappresenta, in questo senso, il naturale punto di contatto tra GDPR e regolamentazione europea sull’IA: oltre a impedire che una persona sia identificata, occorre evitare che i dati continuino a generare conoscenza utilizzabile per classificarla, valutarla o influenzarne il trattamento.
L’auspicio è che questa prospettiva possa costituire la cifra interpretativa della versione definitiva delle Guidelines, valorizzando l’anonimizzazione quale strumento di tutela dei diritti fondamentali, oltre che di protezione dei dati personali.
Le sfide della consultazione pubblica
Le Guidelines 02/2026 segnano una tappa importante nell’evoluzione del concetto europeo di anonimizzazione.
Più che nell’introduzione di nuovi criteri, il principale contributo delle Guidelines risiede nella costruzione di un metodo strutturato per valutarne l’efficacia.
Resta ora da verificare se la consultazione pubblica confermerà l’equilibrio individuato dall’EDPB tra tutela effettiva dei diritti fondamentali, certezza del diritto e sostenibilità degli oneri richiesti alle organizzazioni.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Tania Orrù
Source link





