L’8 aprile 2025, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato le Guidelines 02/2025 on the processing of personal data through blockchain technologies segnando un significativo passo avanti nel chiarire come le soluzioni basate sulla blockchain possano essere conformi al GDPR. Il progetto di linee guida resterà aperto a consultazione pubblica fino al 9 giugno 2025.

Executive Summary

La natura distribuita della blockchain e i complessi concetti matematici coinvolti implicano un elevato grado di complessità e incertezza che porta a sfide specifiche per quanto riguarda il trattamento dei dati personali. In questo contesto, per garantire che il trattamento dei dati personali sia conforme al GDPR, è necessario valutare attentamente i rischi per i diritti e le libertà degli interessati. Alcuni di questi rischi possono essere mitigati attraverso misure tecniche in anticipo, mentre trovare una soluzione per altri rischi di non conformità potrebbe essere più impegnativo in questa fase. Inoltre, le blockchain hanno alcune proprietà che possono comportare delle sfide quando si tratta di soddisfare i requisiti del GDPR. Tali proprietà richiedono il rafforzamento della protezione dei dati mediante misure di progettazione al fine di implementare principi e diritti, ad esempio il principio di limitazione della conservazione e i diritti degli interessati, come il diritto di rettifica e il diritto all’oblio. Pertanto, il titolare del trattamento deve valutare attentamente la soluzione blockchain che intende utilizzare per evitare rischi di non conformità e rischi specifici per i diritti e le libertà degli interessati.

Queste linee guida forniscono un quadro di riferimento per le organizzazioni che stanno valutando l’utilizzo della tecnologia blockchain, delineando le principali considerazioni di conformità al GDPR per le attività di trattamento previste. Esse forniscono una panoramica dei principi fondamentali della tecnologia blockchain, valutando le diverse architetture possibili e le loro implicazioni per il trattamento dei dati personali. Inoltre, chiariscono che i ruoli e le responsabilità dei diversi attori in un trattamento legato alla blockchain devono essere valutati durante la progettazione di un trattamento e quali elementi devono essere presi in considerazione a questo proposito.

A seconda della finalità del trattamento per cui viene utilizzata la tecnologia blockchain, possono essere trattate diverse categorie di dati personali. Le linee guida evidenziano la necessità di una protezione dei dati by design e by default e di misure organizzative e tecniche adeguate. Forniscono inoltre esempi di diverse tecniche per la minimizzazione dei dati e per il trattamento e la conservazione dei dati personali.

Come regola generale, la memorizzazione di dati personali su una blockchain dovrebbe essere evitata se in conflitto con i principi di protezione dei dati. Per contribuire al rispetto dei principi di protezione dei dati, quando si prende in considerazione l’archiviazione di dati personali su una catena, è necessario utilizzare una delle diverse tecniche avanzate disponibili, misure organizzative adeguate e politiche di protezione dei dati appropriate. Le linee guida illustrano in dettaglio gli aspetti tecnici e le diverse modalità di implementazione di tali tecniche, evidenziandone i punti di forza e di debolezza per aiutare le organizzazioni a scegliere le misure più appropriate.

Inoltre, le linee guida discutono l’interazione tra gli aspetti tecnici della blockchain e i principi di protezione dei dati dell’articolo 5 del GDPR. Sottolineano l’importanza dei diritti degli interessati, in particolare per quanto riguarda la trasparenza, la rettifica e la cancellazione. Le linee guida evidenziano anche l’importanza di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) prima di implementare un trattamento che utilizza la tecnologia blockchain e forniscono gli aspetti chiave da considerare in modo strutturato quando si effettua una DPIA.

Infine, nell’Allegato A le linee guida forniscono una serie di raccomandazioni concise per le organizzazioni che intendono avviare un’elaborazione basata su blockchain.