L’edpb ha cambiato le regole per dati anonimi
L'EDPB pubblica nuove linee guida sull'anonimizzazione dei dati, ridefinendo il confine con i dati personali e impattando le campagne pubblicitarie.
Le linee guida EDPB impongono tre test stringenti per valutare l’anonimato dei dataset
La scorsa settimana un’agenzia europea ha visto bloccarsi l’intera filiera di retargeting. Il fornitore di dati aveva sempre dichiarato i suoi segmenti “anonimi”, ma con le nuove linee guida quegli stessi segmenti sono diventati dati personali a tutti gli effetti. Richieste di accesso, stop alle attivazioni, budget congelato. Ieri l’EDPB ha pubblicato Guidelines 202602 Anonymisation V1, un documento di 1.34 MB in formato PDF che riscrive il confine tra dato anonimo e dato personale. Per chi gestisce campagne, non è un esercizio teorico: è la differenza tra un dataset utilizzabile e uno che manda in stallo l’intera operatività.
Il terremoto silenzioso: cosa è cambiato davvero
A settembre 2025, la Corte di Giustizia sentenza C-413/23 P ha stabilito che i dati pseudonimizzati non costituiscono necessariamente dati personali per tutti i soggetti (causa EDPS v SRB, relativa al Regolamento 2018/1725). La pronuncia ha incrinato un pilastro che molti advertiser davano per scontato: l’equazione automatica “pseudonimizzato = fuori dal GDPR”. A dicembre 2025, come documenta l’EDPB stakeholder report Dec 2025, 115 partecipanti si erano già confrontati sul tema in un evento preparatorio. Ieri, con la pubblicazione delle linee guida, quel movimento è diventato un terremoto.
Il vecchio assunto secondo cui un’email hashata o un ID di dispositivo offuscato fossero automaticamente fuori dal perimetro GDPR è morto. L’EDPB introduce un approccio contestuale: l’anonimato non è una proprietà assoluta del dato, ma va valutato dal punto di vista di ciascun ente che lo tratta. Significa che un segmento dichiarato anonimo dal tuo fornitore DMP potrebbe essere perfettamente identificabile per te, o per il publisher che lo espone, o per l’ad-server che lo incrocia con altre fonti. E se è identificabile per anche uno solo degli attori della catena, scatta l’applicazione del GDPR.
I tre test che devi superare (se vuoi tenere i tuoi dati fuori dal GDPR)
Nella tua dashboard, ogni dataset che usi per targeting o misurazione va ora sottoposto a tre verifiche. L’EDPB three tests of anonymisation introduce un framework basato su tre criteri precisi: nessun isolamento del record, nessun collegamento e nessuna inferenza. Tradotto per il media planner: il dato non deve permettere di isolare un individuo specifico all’interno del dataset, non deve poter essere collegato ad altri dati che consentano l’identificazione, e non deve permettere di inferire nuove informazioni identificative con sufficiente certezza.
Qui il gioco si fa duro per le tecnologie pubblicitarie quotidiane. L’hashing delle email, da solo, non supera il test di isolamento del record: l’hash è comunque un identificatore univoco che isola una persona all’interno di un segmento. I device graph probabilistici, che incrociano segnali come IP parziali, user agent e dati di contesto per dedurre connessioni tra dispositivi, rischiano di violare sia il criterio di collegamento sia quello di inferenza. La modellazione probabilistica che usi per il lookalike modeling? Se il seed audience è composto da individui identificabili, il modello potrebbe ereditare quel rischio di identificabilità, anche se l’audience finale è aggregata. EDPB guidelines PDF 2026 chiarisce che la valutazione va condotta adottando un approccio contestuale, cioè dal punto di vista di ogni entità rilevante coinvolta nel processing: inserzionista, DSP, DMP, publisher, measurement partner. Ognuno di questi nodi deve fare i tre test con i dati effettivamente accessibili a quel nodo. Se anche uno solo fallisce, l’intera catena è a rischio.
E questo apre la domanda da centomila euro: il tuo fornitore di segmenti ha fatto questi test dal punto di vista giusto, cioè considerando ciò che ogni entità della filiera può realmente accedere, collegare o inferire? Perché il fornitore potrebbe aver verificato l’anonimato solo dal proprio punto di vista, con i dati che lui detiene, mentre tu — incrociando quel segmento con il tuo CRM, con i pixel sul sito, con le conversioni tracciate via CAPI (Conversion API) — potresti avere capacità di collegamento e inferenza che fanno saltare il test.
UK vs. UE: un vantaggio per chi opera oltremanica?
Mentre l’Europa inasprisce, il Regno Unito mantiene un approccio più pragmatico. La ICO guidance pseudonymisation anonymisation del marzo 2025 stabilisce che un dato può considerarsi “effettivamente anonimizzato” se la possibilità di identificazione è “sufficientemente remota” — una soglia più permissiva rispetto al test a tre criteri dell’EDPB. Non serve che l’identificazione sia impossibile: basta che sia sufficientemente improbabile. Per chi gestisce campagne cross-border, questa divergenza crea uno scenario a due velocità. Un segmento utilizzabile per una campagna UK-only potrebbe essere inutilizzabile per la stessa campagna in Francia o Germania. Lo stesso fornitore di dati potrebbe operare legalmente a Londra e trovarsi fuori compliance a Milano. In conclusione: non puoi più dare per scontato che un dato sia anonimo solo perché il fornitore lo etichetta così. Devi verificare, giurisdizione per giurisdizione, e agire di conseguenza.
Domani mattina, prima di attivare qualsiasi campagna basata su dati di terze parti, verifica con il tuo legal team o fornitore se il dataset supera i tre test nel contesto specifico del tuo processing. Se non lo fa, rischi multe e dati inutilizzabili. E lo spread tra chi lo fa e chi no è il vero vantaggio competitivo del 2026.