La natura relativa e contestuale della nozione di dato personale alla luce della sentenza Deloitte

Authors

  • Laura La Corte

DOI:

https://doi.org/10.32091/RIID0276

Keywords:

Personal data, Identifiability, Pseudonymisation, Anonymisation, Risk assessment

Abstract

The relative and contextual nature of the concept of personal data in the light of the Deloitte judgment
The article examines the evolution of the concept of personal data in light of the Deloitte judgment of September 4, 2025, highlighting how the traditional boundary between personal and anonymous data became increasingly blurred and uncertain. Drawing upon the broad definition adopted by the GDPR, based on identificability, the author demonstrates that this requirement does not constitute an intrinsic property of information. Rather, it depends on the context, on the means reasonably likely to be used and on the purposes of the processing. The analysis focuses on pseudonymization and anonymization techniques, which challenge the traditional binary distinction between personal and non-personal data. The evolution of data analysis technologies and artificial intelligence indeed increases the risk of re-identification, proving that no technique can guarantee absolute irreversibility. In this regard, the Deloitte judgment marks a significant turning point by affirming that the legal data qualification may vary depending on the processing context and the concrete possibilities of re-identification available to the entity handling the data. This leads to the need for a dynamic, risk-based governance model capable of balancing the protection of fundamental rights and the necessity of data circulation within the contemporary digital ecosystem.

Author Biography

  • Laura La Corte

    PhD student in Public Law, specialising in Public, International and European Law, at the Department of Law of Roma Tre University

References

M. Abrams (2014), The origins of Personal Data and its implication for Governance, in SSRN, 2014

C. Amalfitano, F. Ferri (2023), Transizione digitale e dimensione costituzionale dell’Unione europea: tra principi, diritti e valori, in R. Torino, S. Zorzetto (a cura di), “La trasformazione digitale in Europa. Diritti e principi”, Giappichelli, 2023

P. Barile (1987), Democrazia e segreto, in “Quaderni costituzionali”, 1987, n. 1

L. Bolognini, C. Bistolfi (2016), Pseudonymization and impacts of Big (personal/anonymous) Data processing in the transition from the Directive 95/46/EC to the new EU General Data Protection Regulation, in “Computer Law & Security Review”, vol. 33, 2016, n. 2

F. Caggia (2019), Libertà ed espressione del consenso, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), “I dati personali nel diritto europeo”, Giappichelli, 2019

F. Calisai (2019), I diritti dell’interessato, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), “I dati personali nel diritto europeo”, Giappichelli, 2019

S. Calzolaio (2023), Dalla protezione dei dati personali all’ordinamento dei dati (l’evoluzione del diritto cinese e del diritto europeo dei dati), in G. Di Cosimo (a cura di), “Processi democratici e tecnologie digitali”, Giappichelli, 2023

S. Calzolaio (2017), Protezione dei dati personali, voce in “Digesto delle discipline pubblicistiche. Aggiornamento”, 2017

C. Colapietro (2018), I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, in “federalismi.it”, 2018, n. 22

C. Colapietro, A. Iannuzzi (2017), I principi generali del trattamento dei dati personali e i diritti dell’interessato, in L. Califano, C. Colapietro (a cura di), “Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679”, Editoriale Scientifica, 2017

E. Cremona, F. Laviola, V. Pagnanelli (a cura di) (2022), Il valore economico dei dati personali tra diritto pubblico e diritto privato, Giappichelli, 2022

G. D’Acquisto, M. Naldi (2017), Big Data e privacy by Design. Anonimizzazione, Pseudonimizzazione, Sicurezza, Giappichelli, 2017

F. Di Resta (2018), La nuova “privacy europea”, Giappichelli, 2018

M. Elliot, K. O’Hara, C. Raab, C.M. O’Keefe, E. Mackey, C. Dibben, H. Gowans, K. Purdam, K. McCullagh (2018), Functional Anonymisation: Personal Data and the Data Environment, in “Computer Law & Security Review”, vol. 34, 2018, n. 2

A. Esposito (2021), Dove sono i “miei” dati? Privacy e reificazione nell’era digitale, in “Etica & Politica/Ethics & Politics”, vol. XXIII, 2021, n. 1

F. Faini (2023), Il dato personale tra protezione giuridica e valorizzazione economica, in “Osservatorio sulle fonti”, 2023, n. 2

M. Finck, F. Pallas (2020), They who must not be identified – distinguishing personal from non-personal data under the GDPR, in “International Data Privacy Law”, 2020, n. 1

C. Foglia (2019), Il dilemma (ancora aperto) dell’anonimizzazione e il ruolo della pseudonimizzazione nel GDPR, in R. Panetta (a cura di), “Circolazione e protezione dei dati personali tra libertà e regole del mercato. Commentario al Regolamento UE n. 2016/679 e al novellato d.lgs. n. 196/2003”, Giuffrè, 2019

D. Foresta (2024), Pseudonimizzazione e anonimizzazione dei dati personali contenuti nelle decisioni giudiziarie, in “Persona e Mercato”, 2024, n.1

A. Gabel, I. Schiering (2018), Privacy Patterns for Pseudonymity, in E. Kosta, J. Pierson, D. Slamanig (Eds.), “Privacy and Identity Management. Fairness, Accountability, and Transparency in the Age of Big Data”, Springer, 2018

A. Galiano, A. Leogrande, S.F. Massari, A. Massaro (2020), I dati non personali: la natura e il valore, in “Rivista italiana di informatica e diritto”, 2020, n. 1

C. Irti (2022), Personal Data, Non-personal Data, Anonymised Data, Pseudonymised, De-identified Data, in R. Senigaglia, C. Irti, A. Bernes (Eds.), “Privacy and Data Protection in software services”, Springer, 2022

A. Lee Bygrave, C. Docksey, C. Kuner (2020), The EU General Data Protection Regulation (GDPR): a commentary, Oxford University Press, 2020

M.L. Montagnani (2019), La libera circolazione dei dati al bivio: tra tutela dei dati personali e promozione dell’intelligenza artificiale europea, in “Mercato, concorrenza, regole”, 2019, n. 2

M. Micheli, M. Ponti, M. Craglia, A. Berti Suman (2020), Emerging models of data governance in the age of datification, in “Big data and society”, 2020, n. 2

A. Nicita (2019), Il dato profilato nella prospettiva economica tra privacy, propertization, secrecy, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), “I dati personali nel diritto europeo”, Giappichelli, 2019

P. Ohm (2010), Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, in “UCLA Law Review”, 2010

M. Palmirani (2019), Prefazione, in F. Faini, “Data society”, Giuffrè, 2019

P. Passaglia (2016), Privacy e nuove tecnologie, un rapporto difficile. Il caso emblematico dei social media, tra regole generali e ricerca di una specificità, in “Consulta online”, 2016, n. 3

G.M. Riccio, G. Scorza, E. Belisario (a cura di) (2018), GDPR e normative privacy: commentario, Wolters Kluwer, 2018

N. Richards, W. Hartzog (2021), A Duty of Loyalty for Privacy Law, in “Washington University Law Review” vol. 99, 2021, n. 961

N. Richards, W. Hartzog, J. Francis (2023), A concrete proposal for data loyalty, in “Harvard Journal of Law & Technology”, vol. 37, 2023, n. 3 Symposium

P.M. Schwartz, D.J. Solove (2011), The PII problem: privacy and a new concept of personally identifiable information, in “New York University Law Review”, 2011

S. Stalla-Bourdillon, A. Knight (2017), Anonymous data v. personal data – a false debate: an Eu perspective on anonymization, pseudonymization and personal data, in “Wisconsin International Law Journal”, 2017

L. Sweeney (2000), Simple Demographics Often Identify People Uniquely, Carnegie Mellon University, Data Privacy Working Paper 3, 2000

S. Torregiani (2020), Il dato non personale alla luce del Regolamento (UE) 2018/1870: tra anonimizzazione, ownership e Data by design, in “federalismi.it”, 2020, n. 18

C.A. Trovato, C. Rauccio (2022), L’anonimizzazione è morta? Un’analisi dei dati sintetici come proposta per superare la dicotomia “dato personale-non personale”, in “Ciberspazio e Diritto”, 2022, n. 2

M. Viola De Azevedo Cunha, D. Doneda, N. Andrade (2010), La reidentificazione dei dati anonimi e il trattamento dei dati personali per ulteriore finalità: sfide alla privacy, in “Ciberspazio e diritto”, 2010, n. 4

Downloads

Published

2026-06-04

Issue

Volume 8 , Issue 1 (2026)

Section

Notes and discussions

License

Copyright (c) 2026 Rivista italiana di informatica e diritto

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

How to Cite

[1]
La Corte, L. 2026. La natura relativa e contestuale della nozione di dato personale alla luce della sentenza Deloitte. Rivista italiana di informatica e diritto. 8, 1 (Jun. 2026), 14. DOI:https://doi.org/10.32091/RIID0276.