Le Criptovalute come Dati Personali
Un indirizzo di portafoglio Bitcoin è una stringa di 26–35 caratteri alfanumerici in codifica Base58Check, che inizia con "1", "3" o "bc1". Un indirizzo Ethereum è "0x" seguito da 40 caratteri esadecimali. Questi indirizzi sono pseudonimi — non identificano direttamente gli individui — ma ai sensi del GDPR, i dati pseudonimi che possono essere collegati a un individuo attraverso un ulteriore trattamento sono dati personali.
Un exchange di criptovalute che detiene dati KYC (collegando gli indirizzi dei portafogli alle identità dei clienti verificate) detiene dati personali nell'ambito del GDPR: l'indirizzo del portafoglio, in combinazione con il record KYC, identifica una persona fisica. L'indirizzo del portafoglio da solo è un dato personale all'interno dell'ambiente dati dell'exchange, perché l'exchange può collegarlo a un individuo.
La regolamentazione EU MiCA (Markets in Crypto-Assets), in vigore da dicembre 2024, aggiunge un livello di regolamentazione finanziaria: i fornitori di servizi di asset crittografici (CASP) devono implementare controlli appropriati per la protezione dei dati dei clienti. L'intersezione tra MiCA e GDPR significa che un exchange di criptovalute europeo affronta sia la regolamentazione finanziaria (i requisiti di protezione dei dati di MiCA per i CASP) sia la legge generale sulla protezione dei dati (GDPR) per gli stessi dati degli indirizzi dei portafogli.
Il Gap di Rilevamento
Gli strumenti standard di rilevamento PII sono stati progettati per identificatori finanziari tradizionali: IBAN, numero di conto, numero di routing, SWIFT/BIC. Questi strumenti non hanno consapevolezza dei formati degli indirizzi delle criptovalute. Un documento contenente un indirizzo di portafoglio Bitcoin, un indirizzo Ethereum e un codice SWIFT avrà il codice SWIFT rilevato e i due indirizzi delle criptovalute trascurati da qualsiasi strumento che non includa i tipi di entità degli indirizzi crypto.
Per un exchange di criptovalute europeo che elabora documenti KYC: gli IBAN dei conti bancari dei clienti sono rilevati da strumenti standard. L'indirizzo del portafoglio Bitcoin del cliente utilizzato per il finanziamento iniziale non viene rilevato. Il codice SWIFT per il bonifico dalla loro banca è rilevato. L'indirizzo Ethereum utilizzato per gli acquisti di token non viene rilevato.
La mancanza di rilevamento non è un gap minore — gli indirizzi dei portafogli sono identificatori finanziari fondamentali nei contesti crypto, sensibili come i numeri di conto nei contesti bancari tradizionali.
L'Articolo 32(1)(a) del GDPR richiede la pseudonimizzazione e la crittografia come misure tecniche di base. Il 56% delle multe GDPR cita la crittografia inadeguata come fattore contribuente. Un'organizzazione che crittografa tutti i PII rilevati ma non riesce a rilevare gli indirizzi dei portafogli di criptovalute non ha crittografato nulla di rilevante per le proprie operazioni aziendali fondamentali.
Fonti: