Adresele de portofel crypto sunt date personale? Ce inseamna pentru firmele care le proceseaza

Da, in marea majoritate a cazurilor o adresa de portofel crypto este data cu caracter personal in sensul GDPR — chiar si o adresa self-custody care pare anonima. Intuitia ca "adresa de pe un dispozitiv hardware e anonima, doar adresa de exchange cu KYC e personala" este gresita din punct de vedere juridic. Acest articol explica de ce, si ce obligatii practice nasc acest lucru pentru firmele care proceseaza astfel de adrese (exchange-uri, procesatori de plati crypto, platforme Web3, firme care accepta plati in criptomonede).

Pseudonim nu inseamna anonim — distinctia care schimba totul

O adresa de wallet este un pseudonim, nu un anonim. Distinctia nu este academica: ea decide daca GDPR se aplica sau nu.

GDPR este clar in Recitalul 26: datele anonime ies din domeniul regulamentului, in timp ce datele pseudonimizate raman date personale, tocmai pentru ca exista o cale de re-identificare. O adresa de wallet nu sterge legatura cu persoana — doar o ascunde in spatele unui sir de caractere.

Pe blockchain, intregul istoric al unei adrese este public si permanent. Acest lucru face re-identificarea posibila, nu imposibila — exact opusul a ceea ce ar cere statutul de date anonime. Un registru distribuit care pastreaza pentru totdeauna toate tranzactiile unei adrese este, prin natura sa, un teren propice identificarii indirecte.

Aceasta este si pozitia Comitetului European pentru Protectia Datelor. In Guidelines 02/2025 privind prelucrarea datelor personale prin tehnologii blockchain (versiune adoptata in aprilie 2025, supusa consultarii publice incheiate in iunie 2025; forma finala nu era inca publicata la data redactarii), EDPB arata ca metadatele stocate pe blockchain, desi pseudonimizate, pot contine identificatori — cheia publica, adresele blockchain — care pot duce la identificarea indirecta a unei persoane fizice atunci cand sunt combinati cu alti identificatori.

Testul "mijloacelor rezonabile" — aceeasi adresa, statut diferit

Intrebarea-cheie nu este "are exchange-ul KYC?", ci "poate cineva, cu mijloace rezonabile, sa lege adresa de o persoana identificabila?". Aceasta reformulare schimba complet analiza.

Recitalul 26 GDPR cere sa se ia in calcul toate mijloacele susceptibile in mod rezonabil a fi utilizate — de operator sau de un tert — pentru identificare, tinand cont de cost, timp si tehnologia disponibila. Nu conteaza doar ce poti face tu, ci si ce poate face, rezonabil, altcineva.

Curtea de Justitie a UE a consacrat aceasta logica in cauza Breyer (C-582/14): abordarea relativa a identificabilitatii. O informatie este data personala pentru un operator daca acesta dispune de mijloace legale rezonabile de re-identificare, chiar daca informatia suplimentara necesara este detinuta de un tert.

Consecinta practica: aceeasi adresa poate fi simultan data personala pentru un exchange (care detine date KYC) si practic ne-identificabila pentru un observator simplu care priveste un explorer public. Statutul depinde de operator si de mijloacele de care dispune.

De ce conteaza pentru firme: daca esti operator si ai — sau poti obtine rezonabil — mijloace de re-identificare, tratezi adresa ca data personala. Nu te poti ascunde in spatele argumentului "dar e doar un sir de caractere public".

De ce si adresele self-custody pot fi date personale

In momentul in care o adresa "self-custody" interactioneaza cu un punct KYC — o depunere sau retragere pe un exchange, un on-ramp cu cardul — legatura cu identitatea reala devine posibila. Din acel moment, presupusa anonimitate dispare pentru oricine are acces la ambele capete ale legaturii.

Clusterizarea (chain analysis) permite asocierea mai multor adrese intre ele si cu o singura entitate. O mentionam aici strict ca argument pentru identificabilitate, nu ca metoda: daca re-identificarea este rezonabil posibila pentru cineva in lant, datele raman personale. Existenta acestor tehnici demonstreaza ca re-identificarea nu este ipotetica, ci practicabila.

O nuanta importanta in sens invers: acelasi sir de caractere public nu devine automat data personala doar pentru ca este accesibil pe un explorer. Devine data personala in combinatie cu identificabilitatea — adica atunci cand exista, undeva, mijloace rezonabile de a-l lega de o persoana.

Ce obligatii GDPR nasc pentru firma care proceseaza adrese de wallet

Daca adresele pe care le procesezi sunt date personale, firma ta este operator si are un set concret de obligatii:

• Temei legal (Art. 6) pentru fiecare scop

  Fiecare prelucrare are nevoie de un temei legal documentat — executarea contractului, obligatie legala (de exemplu, cerinte AML), interes legitim cu evaluare scrisa sau consimtamant. Un temei pentru toate scopurile nu este suficient.

• Informarea persoanei vizate (Art. 13-14)

  Informarea trebuie facuta inainte de prelucrare si inainte de inscrierea datelor pe lant. EDPB subliniaza importanta unei informari clare, accesibile, in termeni simpli, inainte de a transmite datele catre noduri pentru validare.

• Drepturile persoanelor vizate

  Acces, rectificare, stergere si portabilitate. Trebuie sa existe un mecanism functional prin care o persoana isi poate exercita aceste drepturi, inclusiv pe o infrastructura blockchain.

• Protectia datelor din faza de proiectare si implicit (Art. 25)

  EDPB insista pe masuri tehnice si organizatorice de la cele mai timpurii etape ale proiectarii. Conformitatea nu se adauga la final — se proiecteaza de la inceput.

• Evaluarea impactului (DPIA, Art. 35)

  EDPB recomanda un DPIA inainte de prelucrarea prin blockchain, mai ales cand infrastructura nu este sub controlul operatorului, este permissionless sau implica transferuri internationale.

Pentru detalii despre cand si cum se realizeaza o evaluare de impact, vezi articolul nostru despre DPIA — evaluare impact protectia datelor (Art. 35 GDPR).

Tensiunea dintre dreptul la stergere (Art. 17) si imutabilitatea blockchain

Aici apare cea mai dificila problema practica: cum stergi o data personala dintr-un registru care, prin design, nu poate fi modificat?

Pozitia EDPB este ferma: imposibilitatea tehnica nu poate fi invocata pentru a justifica nerespectarea GDPR. Regula generala formulata de EDPB este ca stocarea datelor personale pe blockchain ar trebui evitata daca intra in conflict cu principiile protectiei datelor.

Solutia practica de proiectare este sa nu stochezi date personale direct pe lant. Pastreaza-le off-chain si inscrie pe lant doar referinte sau amprente (hash) care pot fi rupte de identitate. "Stergerea" se realizeaza atunci prin distrugerea legaturii off-chain si a cheilor — datele de pe lant devin lipsite de sens fara elementul pastrat in afara lui.

Aici intervine consultanta de specialitate: arhitectura de prelucrare on-chain/off-chain trebuie gandita inainte de lansare, nu reparata dupa. O solutie blockchain lansata fara aceasta planificare devine adesea imposibil de adus in conformitate retroactiv.

Categorii speciale de date prin inferenta (Art. 9)

Tranzactiile publice pot dezvalui, prin analiza, date sensibile: donatii catre entitati politice sau religioase, interactiuni cu servicii de sanatate si altele. Ceea ce parea o simpla inregistrare financiara poate spune mult mai mult despre o persoana.

O adresa aparent "banala" poate ridica brusc miza la categorii speciale de date (Art. 9 GDPR), care vin cu cerinte mult mai stricte de temei legal si de protectie. Firma care proceseaza adrese trebuie sa evalueze acest risc, nu sa il ignore pentru ca "noi doar vedem adrese si sume".

Ce ar trebui sa faca o firma care lucreaza cu adrese de wallet

Un plan de actiune concret, in ordinea prioritatilor:

1. 1

   Cartografiaza unde si cum procesezi adrese de wallet (registru de prelucrari / ROPA).

2. 2

   Stabileste temeiul legal si scopul pentru fiecare prelucrare in parte.

3. 3

   Asigura informarea persoanelor vizate, inainte de prelucrare si de inscrierea pe lant.

4. 4

   Tine datele personale off-chain; pe lant pastreaza doar ce este strict necesar.

5. 5

   Realizeaza un DPIA inainte de lansare daca folosesti blockchain.

6. 6

   Pregateste mecanisme pentru exercitarea drepturilor, inclusiv "stergerea" prin ruperea legaturii off-chain.

7. 7

   Evalueaza riscul de categorii speciale de date prin inferenta.

Pentru organizatiile din sectorul financiar si Web3, abordarea integrata GDPR — de la registrul de prelucrari pana la arhitectura tehnica — este acoperita si in pagina noastra dedicata consultantei pentru sectorul financiar-bancar si DeFi.

Concluzie — adresa de wallet este data personala in majoritatea contextelor

In majoritatea contextelor de afaceri, o adresa de portofel crypto este data personala, iar firma care o proceseaza are obligatii GDPR reale: temei legal, informare, drepturi ale persoanelor vizate, protectie din faza de proiectare si, adesea, un DPIA. Argumentul ca "e doar un sir public de caractere" nu tine in fata testului mijloacelor rezonabile de re-identificare.

Cheia practica este ca arhitectura de prelucrare trebuie gandita din faza de proiectare — mai ales tensiunea dintre dreptul la stergere si imutabilitatea registrului distribuit. O solutie blockchain construita fara aceasta planificare devine, de cele mai multe ori, foarte greu de adus in conformitate ulterior.

Pentru contextul general al obligatiilor de protectie a datelor, vezi si ghidul nostru despre GDPR si protectia datelor pentru orice firma, iar pentru externalizarea functiei de conformitate, articolul despre DPO externalizat in Romania.

Intrebari frecvente despre adresele de wallet si GDPR