1. Blockchain e protezione dei dati: le ragioni di un conflitto
Negli ultimi anni il rapporto tra tecnologia blockchain e disciplina europea in materia di protezione dei dati personali è stato spesso descritto come strutturalmente conflittuale. Il GDPR, costruito su un modello di trattamento centralizzato, fondato sull’individuazione di un titolare responsabile e sull’esercizio effettivo dei diritti dell’interessato, si è trovato a dialogare con un’architettura tecnologica radicalmente diversa, basata su registri distribuiti, decentralizzazione e persistenza delle informazioni. In questo contesto, le prese di posizione delle autorità di controllo e dell’European Data Protection Board hanno più volte evidenziato punti di attrito difficilmente componibili, in particolare con riferimento alla pubblicità dei dati on-chain, alla loro immutabilità e alla tensione con diritti quali la cancellazione o la limitazione del trattamento.

2. La qualificazione dei dati on-chain e il ruolo della pseudonimizzazione
Il nodo centrale del dibattito ha riguardato sin dall’inizio la qualificazione giuridica delle informazioni registrate su blockchain. Le chiavi pubbliche, gli hash crittografici e gli identificatori tecnici utilizzati per validare e collegare le transazioni sono stati generalmente ricondotti alla categoria dei dati pseudonimizzati. Già il Gruppo di lavoro Articolo 29 aveva chiarito che l’hashing non equivale ad anonimizzazione, poiché l’informazione rimane potenzialmente ricollegabile a una persona fisica attraverso dati o elementi aggiuntivi. Questa impostazione, consolidatasi anche nella prassi successiva al 2018, ha comportato l’estensione dell’ambito di applicazione del GDPR a tutti i soggetti coinvolti nella rete, con evidenti difficoltà operative soprattutto nelle blockchain pubbliche e permissionless.

3. Il Digital Omnibus e il superamento di una concezione oggettiva del dato personale
In questo scenario si inserisce il pacchetto di riforme noto come Digital Omnibus, presentato dalla Commissione europea nel novembre 2025, che rappresenta il più ampio tentativo di revisione del quadro normativo digitale europeo dall’adozione del GDPR. Tra le proposte più rilevanti per l’ecosistema Web3 emerge la ridefinizione del concetto di pseudonimizzazione e, più in generale, l’adozione di un approccio soggettivo e relazionale alla nozione di dato personale, in linea con la recente giurisprudenza della Corte di giustizia dell’Unione europea. L’informazione non viene più considerata dato personale in astratto, ma in relazione alla concreta capacità del soggetto che la tratta di identificare l’interessato mediante mezzi ragionevolmente utilizzabili.

4. Le implicazioni dell’approccio soggettivo per la blockchain
Applicata alla blockchain, questa impostazione apre scenari nuovi. Nei registri pubblici e decentralizzati, i nodi che replicano il ledger hanno accesso a hash, chiavi pubbliche e stringhe alfanumeriche, ma non dispongono normalmente delle informazioni aggiuntive necessarie per identificare una persona fisica. In base all’approccio delineato dal Digital Omnibus, tali informazioni potrebbero non qualificarsi come dati personali per questi soggetti, attenuando l’applicazione diretta degli obblighi del GDPR. Resta invece pienamente ferma la responsabilità dei soggetti che controllano le chiavi di correlazione o che, attraverso altri mezzi, sono in grado di reidentificare gli utenti, come exchange, wallet provider e piattaforme che integrano procedure di identificazione.

5. Diritto alla cancellazione e prospettive evolutive
Anche il tema dell’immutabilità della blockchain e del diritto alla cancellazione potrebbe essere riletto alla luce di questo nuovo paradigma. Se i dati on-chain non sono qualificabili come dati personali per la maggior parte dei soggetti che vi accedono, il conflitto con l’articolo 17 del GDPR risulta attenuato. L’obbligo di cancellazione continuerebbe a gravare sui soggetti che rendono possibile l’identificazione, mentre la persistenza dell’hash sul registro distribuito non costituirebbe di per sé una violazione. Pur trattandosi di una riforma ancora in evoluzione, il Digital Omnibus segnala un tentativo di riallineare il diritto alla realtà tecnologica, offrendo all’ecosistema startup e Web3 uno spazio regolatorio più coerente, nel quale soluzioni privacy-by-design e architetture ibride on-chain/off-chain possono trovare una collocazione più solida.