Con l’adozione delle Linee Guida sul Trattamento dei Dati Personali Tramite Tecnologie Blockchain, il Comitato Europeo per la Protezione dei Dati (Edpb, European Data Protection Board) offre una bussola normativa per orientarsi nel delicato equilibrio tra innovazione tecnologica e rispetto dei diritti fondamentali. Approvate nella sessione plenaria all’inizio di aprile (2025) e rese pubbliche poi a metà mese, le linee guida analizzano in profondità le implicazioni della blockchain – e più in generale delle Distributed Ledger Technologies (Dlt) – in relazione al trattamento dei dati personali, delineando un quadro di compliance coerente con il Regolamento generale sulla protezione dei dati (Gdpr).
Nel documento, l’Edpb parte da una constatazione fondamentale: le caratteristiche intrinseche delle blockchain – distribuzione, immutabilità, trasparenza – possono entrare in tensione con alcuni principi cardine del Gdpr.
La disintermediazione, ad esempio, pur riducendo la necessità di terze parti fidate, rende più complesso identificare chiaramente i titolari e responsabili del trattamento. L’immutabilità dei blocchi ostacola la cancellazione o la rettifica dei dati, mentre la replicazione dei ledger su più nodi solleva interrogativi sul rispetto del principio di minimizzazione e sulle modalità di esercizio dei diritti degli interessati. Il comitato raccomanda allora alle organizzazioni di non adottare la blockchain in modo acritico, ma solo previa valutazione rigorosa dell’idoneità della tecnologia rispetto agli scopi del trattamento.
In tal senso, viene richiesto lo svolgimento di una valutazione d’impatto sulla Protezione dei Dati (Dpia) qualora sussistano rischi elevati per i diritti e le libertà degli interessati. La Dpia dovrà includere una descrizione puntuale dell’architettura blockchain, della governance, della tipologia di dati trattati (on-chain e off-chain), dei soggetti coinvolti e delle misure tecniche e organizzative implementate.
L’Edpb distingue tra blockchain pubbliche permissionless – come Bitcoin o Ethereum – e blockchain private o permissioned, dove l’accesso alla rete è controllato da un’autorità. Sebbene entrambe possano essere impiegate in conformità al Gdpr, il Comitato suggerisce di favorire le soluzioni permissioned, che permettono un più agevole controllo delle responsabilità e una gestione più strutturata della sicurezza. Quanto ai dati personali, il principio guida è semplice: la registrazione di dati direttamente identificabili sulla blockchain dovrebbe essere evitata, salvo giustificazione specifica e proporzionata. La memorizzazione off-chain, accompagnata da tecniche di hash, crittografia o impegni crittografici (i cryptographic commitments), rappresenta la modalità preferita per ridurre i rischi di non conformità.
Protezione dati by-design e by-default
Le linee guida insistono quindi sull’obbligo di adottare misure di protezione dei dati sin dalla fase di progettazione del trattamento. Questo significa, tra le altre cose, implementare tecnologie privacy-preserving, documentare la scelta della blockchain rispetto ad alternative meno invasive, e minimizzare l’accessibilità dei dati da parte di terzi non autorizzati. È inoltre necessario configurare sistemi in grado di garantire l’integrità, la riservatezza e la cancellazione dei dati secondo criteri tecnici efficaci, anche se non sempre simmetrici rispetto ai paradigmi “tradizionali” di cancellazione fisica. La possibilità di esercitare i diritti previsti – in particolare dagli articoli 15-22 del Gdpr (relativi ad accesso, rettifica, cancellazione, opposizione, portabilità) deve essere assicurata a prescindere dalla tecnologia sottostante. Il Comitato riconosce che l’immutabilità dei ledger pone sfide significative, ma ricorda che “l’impossibilità tecnica” non può essere addottata come scusa per eludere gli obblighi normativi. Viene quindi incoraggiata la progettazione di architetture che consentano l’anonimizzazione efficace dei dati o la revoca dei riferimenti attraverso l’eliminazione di chiavi off-chain. Nel caso di smart contract che comportino decisioni automatizzate, l’Edpb richiama l’attenzione in particolare sull’art. 22 del Gdpr, che prevede specifiche tutele per gli interessati, incluso il diritto a ottenere l’intervento umano e a contestare la decisione.
Guida operativa di conformità, estensione del confronto all’AI
A supporto delle organizzazioni, l’Edpb include nelle linee guida un allegato con un set di sedici raccomandazioni operative che sintetizza i punti salienti delle linee guida e affronta quindi i temi delle specifiche da seguire riguardo la documentazione dell’architettura e delle finalità del trattamento e i concetti di minimizzazione dei dati e di conservazione proporzionata. Indirizza quindi l’adozione di tecnologie crittografiche aggiornate e tratta il tema della gestione dei rischi di obsolescenza. Indica inoltre le misure per la gestione di vulnerabilità software e la governance evolutiva dei protocolli e affronta il tema della chiarezza informativa verso gli interessati, specialmente al momento dell’inserimento dei dati nella blockchain.
Parallelamente all’adozione delle linee guida sulla blockchain, il Comitato esprime l’intenzione di avviare la collaborazione con l’Ufficio per l’intelligenza artificiale dell’UE. L’obiettivo è quello di definire congiuntamente linee guida sull’interazione tra il Regolamento sull’Intelligenza Artificiale (AI Act), approvato nel marzo 2024, e la normativa europea sulla protezione dei dati. Una sinergia che si rende necessaria per affrontare una molteplicità di scenari in cui le tecnologie AI e blockchain coesistono, come nella gestione dei dati sanitari, nella tracciabilità delle supply chain o nell’analisi predittiva di identità digitali. L’intento dichiarato è evitare conflitti interpretativi tra le due normative e fornire alle imprese un quadro di compliance integrato.
Ora le guideline sono aperte alla consultazione pubblica fino al 9 giugno. Tutti gli stakeholder – sviluppatori, titolari del trattamento, esperti legali, autorità pubbliche – sono invitati a esprimere il proprio parere attraverso i canali istituzionali con l’obiettivo di affinare un documento destinato a diventare il punto di riferimento europeo per la gestione dei dati personali su blockchain.
In un contesto normativo europeo sempre più strutturato, le linee guida rappresentano un passo cruciale per colmare il divario tra l’innovazione tecnologica e la tutela dei diritti digitali. L’Edpb non si limita a elencare rischi e divieti, ma fornisce strumenti concreti per innovare in modo responsabile. Una postura che assume particolare rilevanza alla luce della crescente adozione di soluzioni blockchain in settori critici come la finanza decentralizzata (DeFi), l’identità digitale, la gestione documentale e la supply chain. Come ha osservato la presidente dell’Edpb, Anu Talus, nel documento ufficiale: “È essenziale che le nuove tecnologie siano implementate in un modo che rispetti i diritti fondamentali delle persone, e ciò include il diritto alla protezione dei dati personali”
© RIPRODUZIONE RISERVATA
