Pseudonimizzazione e rischio di re-identificazione

Pseudonymisation replaces direct identifiers with codes to limit risks in data circulation, yet data remain personal under the GDPR for anyone able to access the linking keys. The Regulation, however, offers no definition of identifiability, creating uncertainty across the EU’s digital acquis. Different rulings of the Court of Justice have progressively shaped criteria for assessing identifiability and re‑identification risks. These judicial approaches are influencing recent EU reforms on data protection and digital governance. This essay analyses the evolving notion of identifiability and its implications for current regulatory frameworks

La pseudonimizzazione sostituisce gli identificatori diretti con chiavi, riducendo i rischi di circolazione ma mantenendo la natura di dato personale per chi può accedere ai meccanismi di collegamento. Tuttavia, il GDPR non definisce l’“identificabilità”, generando incertezza applicativa del Digital Data Acquis. La CGUE ha progressivamente elaborato criteri per valutare identificabilità e rischio di re‑identificazione, influenzando le recenti riforme europee in materia di protezione dei dati e governance digitale. Il saggio analizza l’evoluzione del concetto di identificabilità e le sue implicazioni regolatorie.