Quella che è diventata volgarmente nota come “sentenza Deloitte” è una decisione della Corte di giustizia della ue relativa alla causa C-413/23 P pubblicata ai primi di settembre 2025.
I giudici hanno ribadito il concetto che lo status di dato personale non è assoluto ma dipende dall’effettiva capacità di chi lo detiene di identificare o rendere identificabile una persona fisica. In altri termini, se qualcuno riceve dei dati pseudonomizzati (e dunque ignorando a chi si riferiscono) ma possiede in proprio ulteriori informazioni che, incrociate con quelle ricevute, svelano l’identità delle persone coinvolte, questi dati tornano ad essere, a tutti gli effetti, qualificati come “personali” e dunque pienamente tutelati dalla legge.
Una decisione (non)rivoluzionaria
La “sentenza Deloitte” è stata salutata come “rivoluzionaria” ma in realtà non è assolutamente nulla di nuovo. La Corte aveva affermato lo stesso principio con il caso Breyer, peraltro richiamato nella decisione e analizzato più avanti. Inoltre, e soprattutto, la normativa, una volta tanto, era già chiara di suo.
Sia come sia, questa nuova decisione non consente più alle autorità nazionali di protezione dei dati di applicare interpretazioni discutibili delle norme e impone loro di affrontare di petto il tema dell’accumulazione dei dati sugli utenti da parte di Big Tech.
