I dati pseudonimizzati sono sempre personali? La CJEU dice no e cambia le regole per blockchain

Rete blockchain con doppia prospettiva: dati identificabili a sinistra, anonimi a destra, divisi da soglia luminosa dinamica che rappresenta principio CJEU

La blockchain promette immutabilità e trasparenza, il GDPR impone cancellazione e minimizzazione. Due logiche in conflitto? La sentenza CJEU C-413/23 P introduce una via d'uscita: la natura "personale" del dato non è assoluta, ma relativa. Chi decide? La capacità tecnica del destinatario di re-identificare. Ma come si applica questa soglia mobile ai validatori decentralizzati che processano transazioni senza chiavi private?

Nel caso EDPS v SRB (C-413/23 P), la Corte di Giustizia UE ha emesso una decisione che ridisegna l'applicazione del GDPR agli ecosistemi decentralizzati. La sentenza stabilisce che i dati pseudonimizzati non sono automaticamente dati personali per tutti gli attori coinvolti nel trattamento. La qualificazione dipende dalla prospettiva del destinatario: se non dispone di mezzi ragionevoli per re-identificare le persone, quei dati potrebbero uscire dal perimetro del regolamento europeo sulla protezione dei dati.

🏦 Il caso Banco Popular

La vicenda nasce dalla risoluzione di Banco Popular Español nel 2017. Il Single Resolution Board (SRB), l'autorità europea competente, aveva invitato azionisti e creditori a presentare osservazioni sulla procedura. Dopo aver raccolto oltre 23.000 commenti, l'SRB li ha pseudonimizzati sostituendo i nomi con codici alfanumerici casuali. Successivamente, 1.104 commenti rilevanti sono stati trasferiti a Deloitte tramite server sicuro, per una valutazione indipendente. Deloitte non ha mai ricevuto i dati identificativi né la chiave per ricollegare i codici alle persone.

Alcuni partecipanti hanno però lamentato di non essere stati informati del trasferimento a terzi. Hanno presentato reclamo all'European Data Protection Supervisor (EDPS), sostenendo una violazione degli obblighi di trasparenza previsti dal GDPR. L'EDPS ha dato loro ragione, ma il Tribunale dell'UE ha inizialmente annullato quella decisione, ritenendo che i dati trasferiti fossero anonimizzati. L'EDPS ha fatto appello, portando il caso davanti alla Corte di Giustizia.

⚖️ I tre principi della sentenza

La Corte ha chiarito tre aspetti fondamentali:

  • Le opinioni personali sono sempre dati personali, in quanto espressione del pensiero di una persona. Non serve analizzarne contenuto, scopo o effetto per qualificarle come tali
  • I dati pseudonimizzati restano personali per chi detiene la chiave di re-identificazione (come SRB), ma potrebbero non esserlo per chi li riceve senza mezzi ragionevoli per ricollegarli a persone fisiche (come Deloitte)
  • L'obbligo di informare gli interessati si applica comunque al titolare iniziale, al momento della raccolta, indipendentemente dalla pseudonimizzazione successiva

In altre parole, la natura "personale" del dato non è assoluta, ma relativa alla posizione di chi lo processa. Questo approccio contestuale rappresenta una svolta rispetto alla posizione tradizionale delle autorità di protezione dati europee.

🔗 Impatto su blockchain e validatori

Per validatori e nodi che processano transazioni su blockchain pubbliche, senza accesso a chiavi private o dataset esterni che permettano l'identificazione, questa sentenza apre uno spazio di compliance più sostenibile. Se un validatore elabora hash crittografici senza poter risalire agli utenti reali, secondo il principio stabilito dalla Corte, potrebbe non stare processando dati personali. Di conseguenza, il GDPR potrebbe non applicarsi a quella specifica attività.

Non si tratta però di un'esenzione automatica. Serve una valutazione caso per caso, documentata e aggiornata nel tempo, che consideri:

  • Fattori tecnici: quali dati sono conservati on-chain, quale architettura blockchain viene utilizzata, se esistono meccanismi di re-identificazione
  • Fattori organizzativi: chi ha accesso alle chiavi, quali procedure di sicurezza sono in atto, come vengono gestiti i dataset complementari
  • Fattori legali: quali clausole contrattuali regolano il trasferimento dati, se esistono obblighi di condivisione, quale giurisdizione si applica

🧩 Architetture modulari e Layer-2

Le architetture blockchain modulari, che separano l'esecuzione dalla data availability attraverso soluzioni Layer-2 e rollup, potrebbero beneficiare particolarmente di questa interpretazione. Un rollup che processa transazioni off-chain e pubblica solo prove crittografiche su mainnet potrebbe sostenere di non trattare dati personali, se non dispone di elementi per identificare gli utenti.

Resta però un problema aperto: l'EDPB, nelle sue Guidelines 01/2025 sulla pseudonimizzazione, continua ad affermare che i dati pseudonimizzati sono sempre dati personali. Una contraddizione frontale con la sentenza della Corte, che genera incertezza operativa per gli operatori del settore.

📌 Cosa devono fare i CASP

I crypto-asset service provider (CASP) e gli sviluppatori di protocolli decentralizzati devono ora:

  • Mappare i flussi di dati e identificare chi ha mezzi di re-identificazione in ogni fase
  • Aggiornare contratti e documentazione per riflettere le diverse qualificazioni a seconda del destinatario
  • Implementare privacy-enhancing technologies (PETs) robuste che rendano la re-identificazione tecnicamente impossibile o sproporzionata
  • Prevedere meccanismi di trasparenza ex ante, informando gli utenti su chi riceverà i dati, anche se pseudonimizzati

La pseudonimizzazione non è più solo una misura tecnica di sicurezza. È diventata la soglia giuridica che determina se il GDPR si applica o meno. Per blockchain, questo significa ripensare ruoli, responsabilità e documentazione lungo tutta la catena di trattamento. Un'analisi approfondita del Future Privacy Forum evidenzia tutte le implicazioni pratiche per controller e processor.

#pseudonimizzazione #blockchain #gdprcompliance #validatori #dataprotection

Articoli correlati

Torna in alto