Anonimizzazione e pseudonimizzazione sono due tecniche diverse con effetti giuridici opposti sotto il GDPR (Regolamento UE 2016/679). La pseudonimizzazione, definita dall’art. 4, punto 5, è il trattamento dei dati in modo che non possano più essere attribuiti a un interessato specifico senza informazioni aggiuntive, conservate separatamente e protette: il dato pseudonimizzato resta un dato personale e rimane pienamente soggetto al Regolamento. L’anonimizzazione, invece, rende impossibile in via definitiva e irreversibile l’identificazione della persona: secondo il Considerando 26, ai dati resi anonimi «in modo tale che l’interessato non sia o non sia più identificabile» il GDPR non si applica. La differenza pratica è netta: la pseudonimizzazione è una misura di sicurezza che riduce il rischio ma non fa uscire i dati dal perimetro normativo; l’anonimizzazione, se realmente efficace, li fa uscire del tutto.
Il confine tra le due è più sottile di quanto sembri, perché l’anonimizzazione «vera» è tecnicamente difficile: il rischio di re-identificazione, combinando più fonti, è spesso più alto di quanto si creda. Questa guida spiega le differenze giuridiche, le tecniche principali, quando i dati escono davvero dal GDPR e come inquadrare entrambe nel disegno complessivo della sicurezza e dell’accountability.
La differenza giuridica: dato personale o no
Il discrimine è uno solo: dopo il trattamento, la persona è ancora identificabile? Se sì, il dato è personale e il GDPR si applica; se no, il dato è anonimo e il Regolamento non si applica più.
La pseudonimizzazione non taglia il legame con l’identità, lo separa. I dati identificativi diretti (nome, codice fiscale) vengono sostituiti da uno pseudonimo o da una chiave, ma esiste ancora un’informazione — conservata a parte — che consente di ricondurre lo pseudonimo alla persona. Finché quella chiave esiste, l’interessato è identificabile e il dato resta personale. Per questo l’art. 4, punto 5, colloca la pseudonimizzazione tra le misure di sicurezza, e l’art. 25 e l’art. 32 la citano espressamente come tecnica raccomandata.
L’anonimizzazione taglia il legame in modo irreversibile. Non deve esistere alcuna chiave, e non deve essere ragionevolmente possibile re-identificare la persona con mezzi disponibili. Il Considerando 26 impone un test rigoroso: occorre considerare «tutti i mezzi… che potrebbero essere ragionevolmente utilizzati» per identificare la persona, tenendo conto dei costi, del tempo e dello stato della tecnologia. Un dato è anonimo solo se questo test è superato in modo robusto e duraturo.
Tabella di confronto
| Criterio | Pseudonimizzazione | Anonimizzazione |
|---|---|---|
| Reversibilità | Reversibile con l’informazione aggiuntiva | Irreversibile |
| Natura del dato | Resta dato personale | Non è più dato personale |
| Ambito GDPR | Pienamente applicabile | Non si applica (Considerando 26) |
| Funzione | Misura di sicurezza (art. 32) | Uscita dal perimetro normativo |
| Utilità del dato | Elevata: analisi puntuali possibili | Ridotta: solo aggregati e statistiche |
| Rischio di re-identificazione | Presente, mitigato dalla separazione | Deve essere azzerato in modo robusto |
| Casi d’uso tipici | Ricerca clinica, test, minimizzazione | Statistiche pubbliche, open data, addestramento di modelli |
La tabella chiarisce il compromesso di fondo: più un dato è anonimo, meno è utile per analisi puntuali; più resta pseudonimo, più conserva valore analitico ma rimane soggetto al Regolamento. La scelta dipende dalla finalità.
Le tecniche principali
Anonimizzazione e pseudonimizzazione si realizzano con famiglie di tecniche diverse.
Mascheramento (masking). Sostituzione o oscuramento di parte dei dati (ad esempio le prime cifre di un codice). Utile per limitare l’esposizione, ma spesso reversibile se non combinato con altre misure.
Generalizzazione e k-anonimato. Riduzione della precisione dei dati (una data di nascita diventa un anno; un CAP diventa una provincia) fino a garantire che ogni record sia indistinguibile da almeno k-1 altri. Il k-anonimato è un modello di riferimento per l’anonimizzazione statistica, ma resta vulnerabile ad attacchi se gli attributi sensibili sono poco variabili (da cui i modelli evoluti come l-diversità e t-vicinanza).
Hashing. Trasformazione di un valore in una stringa a lunghezza fissa. È spesso presentato come anonimizzazione, ma un hash senza sale, applicato a un insieme finito di valori (numeri di telefono, e-mail), è vulnerabile ad attacchi di forza bruta e a tabelle precalcolate: nella maggior parte dei casi produce una pseudonimizzazione, non un’anonimizzazione.
Aggiunta di rumore e privacy differenziale. Introduzione controllata di rumore statistico nei dati o nei risultati delle interrogazioni, in modo che la presenza o l’assenza di un singolo individuo non incida sull’esito. La privacy differenziale offre garanzie matematiche misurabili ed è oggi la tecnica più solida per rilasciare statistiche senza esporre gli individui.
Il riferimento europeo classico su queste tecniche è il Parere 05/2014 del Gruppo di lavoro Articolo 29 sulle tecniche di anonimizzazione, che valuta ciascun metodo rispetto a tre rischi: la possibilità di isolare un individuo (singling out), di collegare record (linkability) e di inferire informazioni (inference). È il quadro concettuale ancora utilizzato dal Garante e dall’EDPB per giudicare se un dato è davvero anonimo.
Il rischio di re-identificazione
L’errore più pericoloso è considerare anonimo un dato che non lo è. La letteratura ha dimostrato ripetutamente che dataset «anonimizzati» possono essere re-identificati incrociandoli con altre fonti: pochi attributi apparentemente innocui (età, sesso, CAP, data di un evento) bastano spesso a isolare una persona in un dataset di grandi dimensioni. Il test del Considerando 26 va quindi applicato in modo dinamico: un dato anonimo oggi può tornare identificabile domani, se emergono nuove fonti di raffronto o nuove capacità di calcolo.
La conseguenza operativa è duplice. Primo: quando l’anonimizzazione non è robusta, il trattamento resta soggetto al GDPR e va documentato come tale. Secondo: se un dataset ritenuto anonimo si rivela re-identificabile ed è oggetto di accesso non autorizzato, la questione può configurare una violazione di dati personali con i relativi obblighi di notifica al Garante entro 72 ore. Non si tratta di ipotesi teoriche: la valutazione della robustezza dell’anonimizzazione è essa stessa parte dell’analisi del rischio.
Rapporto con privacy by design e DPIA
Entrambe le tecniche si inseriscono nel disegno complessivo della protezione dei dati. La pseudonimizzazione è una delle misure espressamente citate dall’art. 25 come strumento di privacy by design: separare gli identificativi dai dati di trattamento riduce il rischio fin dalla progettazione. Sia la pseudonimizzazione sia l’anonimizzazione sono, inoltre, misure tipiche per attuare la limitazione della conservazione: quando una finalità cessa, anonimizzare i dati residui può essere un’alternativa alla cancellazione, purché l’anonimizzazione sia effettiva.
Sul piano procedurale, la scelta della tecnica va documentata nella valutazione d’impatto sulla protezione dei dati quando il trattamento presenta un rischio elevato: è nella DPIA che si dà conto del livello di re-identificazione residuo e delle ragioni per cui una certa tecnica è ritenuta adeguata. Anche il registro delle attività di trattamento deve riflettere queste misure tra le garanzie di sicurezza previste dall’art. 30. Uno strumento come Legiscope aiuta a collegare ogni trattamento alle misure tecniche adottate — inclusa la pseudonimizzazione — così da rendere dimostrabile la scelta in caso di ispezione, e a distinguere con chiarezza i trattamenti che restano nel perimetro del GDPR da quelli che, essendo realmente anonimi, ne escono.
Domande frequenti
I dati pseudonimizzati sono soggetti al GDPR?
Sì. La pseudonimizzazione, definita dall’art. 4, punto 5, non elimina la qualità di dato personale: esiste ancora un’informazione aggiuntiva, conservata separatamente, che consente di ricondurre lo pseudonimo alla persona. Finché quel legame è ricostruibile, l’interessato è identificabile e tutte le regole del Regolamento continuano ad applicarsi. La pseudonimizzazione è una misura di sicurezza che riduce il rischio, non un modo per uscire dagli obblighi.
Quando un dato è veramente anonimo?
Un dato è anonimo, ai sensi del Considerando 26, solo quando non è ragionevolmente possibile re-identificare la persona con tutti i mezzi che potrebbero essere utilizzati, considerando costi, tempo e stato della tecnologia. Il test è rigoroso e va applicato in modo dinamico: non deve esistere alcuna chiave di reversibilità e non deve essere possibile isolare, collegare o inferire l’identità incrociando altre fonti. Se questi rischi non sono azzerati in modo robusto, il dato non è anonimo e resta soggetto al GDPR.
L’hashing è una forma di anonimizzazione?
Di regola no. Un hash applicato a un insieme finito e prevedibile di valori — come numeri di telefono o indirizzi e-mail — è vulnerabile ad attacchi di forza bruta e a tabelle precalcolate, quindi resta reversibile in pratica. Nella maggior parte dei casi l’hashing produce una pseudonimizzazione, non un’anonimizzazione, e il dato rimane personale. Per avvicinarsi a un’anonimizzazione robusta occorrono tecniche più forti, come la generalizzazione con k-anonimato o la privacy differenziale.
Conclusione
Anonimizzazione e pseudonimizzazione non sono sinonimi né gradazioni della stessa cosa: producono conseguenze giuridiche opposte. La pseudonimizzazione, ex art. 4, punto 5, è una misura di sicurezza che lascia i dati dentro il GDPR; l’anonimizzazione, quando è realmente irreversibile, li fa uscire dal perimetro del Regolamento ai sensi del Considerando 26. Le tecniche disponibili — mascheramento, generalizzazione con k-anonimato, hashing, aggiunta di rumore e privacy differenziale — offrono garanzie molto diverse, e il rischio di re-identificazione va valutato in modo dinamico, come insegna il Parere 05/2014 del Gruppo di lavoro Articolo 29. La regola pratica è prudenziale: nel dubbio, un dato va trattato come personale, perché dichiarare anonimo ciò che non lo è espone alla stessa responsabilità di qualsiasi altro trattamento illecito.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial