TUTELA DEI DATI PERSONALI
Comitato europeo per la protezione dei dati personali: approvate definitivamente, dopo la consultazione pubblica, le Linee Guida 2/2025 sul rapporto tra tecnologia Blockchain e GDPR.
Dopo la consultazione pubblica, l’EDPB ha adottato la versione definitiva delle Linee guida 02/2025 sul trattamento dei dati personali mediante tecnologie blockchain. Il documento chiarisce come le diverse architetture — pubbliche o private, permissioned o permissionless — incidano sugli obblighi previsti dal GDPR.
Il principio di fondo è che la compatibilità della blockchain con il GDPR dipende dall’architettura adottata, dalla governance e dalle garanzie incorporate fin dalla progettazione, non dalle caratteristiche della tecnologia considerate in astratto. Né la blockchain costituisce un’eccezione alla disciplina privacy. Prima di utilizzarla, l’organizzazione deve dimostrarne la necessità e la proporzionalità, individuare correttamente titolari, contitolari e responsabili del trattamento e verificare se le finalità possano essere raggiunte con soluzioni meno invasive.
L’EDPB raccomanda, in linea generale, di evitare la registrazione diretta di dati personali on-chain. Anche hash, wallet address, chiavi pubbliche, identificativi di transazione e metadati possono infatti costituire dati personali quando consentono di distinguere o collegare una persona. Cifratura e hashing restano misure di sicurezza e non determinano automaticamente l’anonimizzazione.
Particolare attenzione deve essere riservata all’immutabilità della blockchain, che può entrare in conflitto con i diritti di rettifica, cancellazione e limitazione. Il sistema deve quindi essere progettato fin dall’origine per consentire l’effettiva rimozione o anonimizzazione dei dati, ad esempio mantenendo le informazioni personali off-chain e registrando sulla catena solo elementi strettamente necessari.
Le Linee guida richiamano inoltre l’esigenza di individuare una valida base giuridica, gestire i trasferimenti internazionali derivanti dalla presenza di nodi extra SEE e svolgere una DPIA quando il trattamento presenta rischi elevati.
La versione finale delle Linee Guida rafforza i riferimenti alle tecnologie di tutela della riservatezza, comprese le prove a conoscenza zero, ma ribadisce che nessuna soluzione tecnica garantisce da sola la conformità.