EDPB: arrivano le Linee Guida sulle blockchain. Al via la consultazione pubblica

Una blockchain è una tecnologia che consente l’implementazione di un registro digitale distribuito in grado di confermare le transazioni e stabilire chi possedeva un asset digitale (come una criptovaluta) in un dato momento senza una gestione centralizzata: le transazioni finanziarie sono così possibili senza l’intermediazione di banche o altri intermediari finanziari, la proprietà di un bene può essere dimostrata senza l’intermediazione di un notaio. In pratica, le blockchain sono:

• distribuite (i dati sono condivisi su una rete di computer, senza un server – un controllo – centrale);
• disintermediate (la convalida dei dati aggiunti al database non richiede l’approvazione di una parte fidata o centrale, ma piuttosto il consenso dei partecipanti alla blockchain);
• coerenti e a prova di manomissione (qualsiasi aggiornamento o rimozione di dati convalidati può essere rilevata), protetti da crittografia;
• trasparenti (l’accesso ai dati e la loro verifica sono disponibili a tutti i partecipanti alla blockchain).

Blockchain e GDPR

Non esiste un meccanismo di implementazione univoco: una sua effettiva utilizzazione potrebbe modificare, estendere o limitare le sue proprietà generali. Sicuramente promettono solide garanzie tecniche in termini di integrità e disponibilità grazie agli strumenti crittografici utilizzati e al sistema di archiviazione decentralizzato che sono in grado di supportare la gestione e il trasferimento sicuri dei dati, garantendone l’integrità e la tracciabilità.

Si tratta, però, solo di presupposti generali che devono essere resi concreti: nella pratica, potrebbe non esistere un accordo standardizzato o formalizzato che determini il livello di garanzie e tutele o la qualità del servizio fornito.

Le blockchain presentano quindi una serie di caratteristiche che potenzialmente possono presentare profili di non conformità e rischi per i diritti e le libertà delle persone fisiche nel trattamento di dati personali.

È proprio la sempre maggiore diffusione di tali tecnologie che ha spinto l’EDPB ad indicare misure che possano aiutare le organizzazioni che le utilizzano a conformarsi al GDPR.

Molti sono, infatti, le implicazioni con la disciplina della protezione dei dati: dalla privacy by design e by default alla minimizzazione e limitazione al trattamento, alla conservazione, nonché all’esercizio effettivo di diritti da parte dei soggetti interessati, in particolare la cancellazione, la rettifica e il diritto all’oblio, ma anche ai rischi connessi ai potenziali trasferimenti internazionali e alla presenza di molteplici stakeholder. Un particolare attenzione va anche rivolta alla corretta attribuzione delle responsabilità e connessi temi di governance e gestione.

I contenuti

Nelle linee guida, l’EDPB spiega il funzionamento delle blockchain[1], valutando le diverse possibili architetture e le relative implicazioni per il trattamento dei dati personali: le blockchain presentano, infatti, proprietà e caratteristiche che richiedono il rafforzamento delle misure di protezione dei dati fin dalla progettazione ai fini di assicurare la compliance con i principi e diritti del GDPR.

Pertanto, il titolare del trattamento deve valutare attentamente la soluzione blockchain che intende utilizzare per evitare rischi di non conformità e rischi specifici per i diritti e le libertà degli interessati. Le linee guida forniscono un quadro di riferimento per le organizzazioni delineando e sottolineando le principali implicazioni di conformità al GDPR.

Le linee guida sottolineano l’esigenza di implementare, fin dalle prime fasi della progettazione del trattamento, misure tecniche e organizzative adeguate a garantire la conformità al GDPR e definire con chiarezza ruoli e responsabilità dei diversi attori coinvolti nel trattamento di dati personali, ma anche provvedono ad indicare gli elementi che devono essere attenzionati.

Si evidenzia come, prima di elaborare dati personali tramite tecnologie blockchain, occorre anche effettuare una valutazione d’impatto sulla protezione dei dati, laddove il trattamento possa comportare un rischio elevato per i diritti e le libertà degli interessati. Durante il trattamento, infatti, deve essere garantita la massima protezione dei dati personali, anche per assicurare che non siano resi accessibili a un numero indefinito di persone per impostazione predefinita. Ampio spazio deve essere garantito alla tutela dei diritti anche per quanto riguarda in particolare per quanto riguarda la rettifica, la cancellazione e, soprattutto, la trasparenza “il titolare del trattamento deve fornire all’interessato informazioni concise, facilmente accessibili e formulate in termini chiari prima di inviare i dati personali ai nodi per la convalida”.

Le linee guida forniscono esempi di diverse tecniche per la minimizzazione dei dati, nonché per la gestione e l’archiviazione dei dati personali. Come regola generale, l’archiviazione dei dati personali in una blockchain dovrebbe essere evitata se ciò è in conflitto con i principi di protezione dei dati. Per favorire il rispetto dei principi di protezione dei dati è necessario utilizzare le più avanzate tecnologie disponibili, misure organizzative appropriate e politiche di protezione dei dati coerenti.

Le linee guida illustrano dettagliatamente gli aspetti tecnici e le diverse modalità di implementazione di tali tecniche, evidenziandone i punti di forza e di debolezza al fine di aiutare le organizzazioni nella scelta delle misure appropriate.

Temi tutti che ritroviamo nell’Annex A – Recommendations alle Linee Guida 2/2025

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] EDPB – Guidelines 02/2025 on processing of personal data through blockchain technologies – Version 1.1 Adopted on 08 April 2025