Digital Omnibus e pseudonimizzazione: una svolta per la compatibilità tra blockchain e GDPR?
Il 19 novembre 2025 la Commissione europea ha presentato il pacchetto Digital Omnibus, un insieme di tre proposte legislative che rappresenta la più ampia revisione del quadro normativo digitale dell'Unione dall'entrata in vigore del GDPR nel 2018.Tra le molteplici innovazioni contenute in questo ambizioso progetto di riforma, merita particolare attenzione la ridefinizione del concetto di pseudonimizzazione e, più in generale, l'adozione di un approccio soggettivo alla qualificazione del dato personale.

Questa svolta concettuale potrebbe avere ripercussioni significative su uno dei nodi giuridici più intricati degli ultimi anni: la compatibilità tra la tecnologia blockchain e il Regolamento generale sulla protezione dei dati.
Per comprendere la portata di questa innovazione occorre richiamare brevemente la tensione strutturale che caratterizza il rapporto tra blockchain e GDPR. Il Regolamento europeo è stato costruito su un modello centralizzato di trattamento dei dati, che presuppone l'esistenza di un titolare chiaramente identificabile, referente delle operazioni di trattamento e in grado di garantire l'esercizio dei diritti degli interessati.
La blockchain, al contrario, opera secondo una logica radicalmente diversa: è un database distribuito, decentralizzato e, soprattutto, immutabile. Queste caratteristiche, che costituiscono il principale valore aggiunto della tecnologia, rappresentano al contempo il suo tallone d'Achille sotto il profilo della conformità normativa.
La questione centrale riguarda la qualificazione dei dati presenti sulla blockchain. Le chiavi pubbliche con cui vengono sottoscritte le transazioni, gli hash crittografici e gli altri identificatori tecnici sono stati tradizionalmente ricondotti alla categoria dei dati pseudonimizzati. Il Gruppo di lavoro articolo 29, già nel 2014, aveva chiarito che l'hashing rientra tra le tecniche di pseudonimizzazione e non di anonimizzazione, in quanto i dati contenuti nell'hash possono essere comunque collegati a dati personali esterni. Questa interpretazione comporta conseguenze rilevanti: anche l'hash registrato sulla blockchain costituisce un dato personale, determinando l'applicazione integrale del GDPR a tutti i soggetti che partecipano alla rete.
È proprio su questo punto che il Digital Omnibus introduce un cambiamento paradigmatico. La proposta codifica la recente giurisprudenza della Corte di Giustizia dell'Unione europea, in particolare la sentenza C-413/23 P (cosiddetta sentenza Deloitte), stabilendo che le informazioni non devono essere considerate dati personali per un determinato soggetto se quest'ultimo non dispone di mezzi ragionevolmente utilizzabili per identificare la persona fisica a cui si riferiscono. Si tratta di un passaggio concettuale di notevole portata: dalla logica dell'universalità, secondo cui una volta che un dato assume la qualità di personale quella qualità permea qualsiasi contesto di trattamento, si passa a una logica relazionale, centrata sul rapporto tra il singolo operatore e l'informazione.
In termini pratici, la proposta prevede che i dataset pseudonimizzati possano essere condivisi con terze parti senza che questo costituisca trasferimento di dati personali, a condizione che il soggetto ricevente non abbia la possibilità di reidentificare gli individui. Un identificatore pseudonimo come una stringa alfanumerica non sarebbe più considerato dato personale per chi riceve il dataset senza disporre della tabella di correlazione che consente di risalire all'identità dell'interessato. La Commissione europea si riserva inoltre la facoltà di adottare atti di esecuzione per specificare i mezzi e i criteri volti a determinare quando i dati risultanti dalla pseudonimizzazione non costituiscono più dati personali per determinati soggetti, valutando lo stato dell'arte delle tecniche disponibili e l'evoluzione tecnologica.
Le implicazioni di questa impostazione per l'ecosistema blockchain sono potenzialmente dirompenti. In una blockchain pubblica, i nodi che conservano hash crittografici o chiavi pubbliche, ma che non dispongono delle informazioni aggiuntive per ricondurre tali dati a persone fisiche identificate, potrebbero non essere più considerati titolari di trattamenti di dati personali. Questo consentirebbe di superare alcune delle criticità strutturali che hanno finora ostacolato lo sviluppo di applicazioni blockchain conformi al diritto europeo. Si pensi, ad esempio, alla difficoltà di individuare il titolare del trattamento in una rete completamente decentralizzata: con l'approccio soggettivo, la responsabilità si concentrerebbe sui soggetti che effettivamente dispongono della capacità di reidentificazione, come gli exchange, i wallet provider o le piattaforme che gestiscono smart contract con raccolta di dati identificativi.
Anche la questione del diritto all'oblio, tradizionalmente considerata uno degli ostacoli insormontabili alla compatibilità blockchain-GDPR, potrebbe trovare una nuova prospettiva interpretativa.
L'immutabilità della blockchain non contrasterebbe più frontalmente con l'articolo 17 del GDPR se i dati registrati sulla catena fossero qualificabili come non personali per i soggetti che vi accedono senza possibilità di reidentificazione. Naturalmente, chi detiene le chiavi di correlazione rimarrebbe pienamente soggetto agli obblighi del Regolamento, incluso quello di garantire la cancellazione quando richiesta legittimamente dall'interessato. Si delineerebbe così un sistema a geometria variabile, in cui la qualificazione del dato e i conseguenti obblighi dipendono dalla posizione del singolo operatore rispetto all'informazione trattata.
(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
È opportuno tuttavia mantenere un atteggiamento di prudente realismo. La proposta del Digital Omnibus è ancora in fase di esame da parte del Parlamento europeo e del Consiglio, che potrebbero apportare modifiche anche sostanziali.
Inoltre, la Commissione ha precisato che i titolari del trattamento che hanno pseudonimizzato l'insieme di dati continuano a sostenere tutti gli obblighi previsti dal GDPR. Non si tratta dunque di una deregolamentazione, ma di un riallineamento del quadro normativo alla realtà tecnologica, che riconosce come la qualifica di dato personale non sia una proprietà ontologica dell'informazione, bensì una qualificazione relazionale dipendente dalla capacità effettiva del soggetto che tratta il dato di risalire all'interessato.
La proposta ha suscitato reazioni contrastanti. Alcune organizzazioni per i diritti digitali hanno espresso preoccupazione per il rischio che la semplificazione si traduca in un indebolimento delle tutele, con impatti significativi su settori come il tracking online, la profilazione comportamentale e la pubblicità digitale. Altri osservatori, invece, vedono nella riforma un pragmatico adeguamento che finalmente consente di sviluppare tecnologie innovative nel rispetto dei principi fondamentali, spostando l'attenzione dalla natura astratta del dato alla concreta capacità di identificazione del singolo operatore. Il dibattito è destinato a proseguire nei prossimi mesi, mentre il processo legislativo europeo seguirà il suo corso.
Per il mondo blockchain, il Digital Omnibus rappresenta comunque un segnale importante. Per la prima volta, il legislatore europeo sembra prendere atto delle specificità di questa tecnologia e della necessità di un approccio normativo che tenga conto della sua architettura distribuita.
Le soluzioni tecniche già sperimentate in questi anni, come la memorizzazione dei dati personali off-chain con registrazione sulla blockchain del solo hash, o l'utilizzo di sistemi di crittografia che consentono la cancellazione funzionale attraverso la distruzione delle chiavi, potrebbero trovare una più agevole collocazione nel nuovo quadro normativo. Allo stesso modo, le blockchain permissioned, che consentono una maggiore governance e controllo sui partecipanti alla rete, potrebbero beneficiare di una maggiore chiarezza nella distribuzione delle responsabilità.
In definitiva, il Digital Omnibus apre una finestra di opportunità per riconciliare due mondi che finora sembravano procedere su binari paralleli. La sfida sarà trovare il giusto equilibrio tra innovazione tecnologica e tutela dei diritti fondamentali, evitando sia l'eccesso di rigidità che ha caratterizzato l'applicazione del GDPR alla blockchain negli ultimi anni, sia derive permissive che potrebbero compromettere le conquiste europee in materia di protezione dei dati. Il percorso è ancora lungo, ma la direzione intrapresa dalla Commissione europea merita attenzione e, nei limiti del possibile, un contributo costruttivo da parte di tutti gli operatori del settore.







