L’8 aprile 2025, il Comitato europeo per la protezione dei dati (“EDPB“) ha adottato le Linee Guida 02/2025 sul trattamento dei dati personali attraverso le tecnologie blockchain (le “Linee Guida“), finalizzate ad approfondire il delicato e complesso rapporto tra la tecnologia blockchain e il Regolamento Generale sulla Protezione dei Dati (“GDPR“). Le Linee Guida, attualmente sottoposte a una consultazione pubblica che si chiuderà il promssimo 9 giugno 2025, forniscono un’analisi approfondita per le organizzazioni che trattano dati personali attraverso l’utilizzo di tecnologie blockchain, chiarendo le prospettive e i metodi di messa in conformità per un settore da tempo intricato di profonde incertezze legali.
Le Linee Guida si concentrano sull’impatto dell’applicazione degli stringenti requisiti del GDPR alla blockchain, caratterizzata da decentralizzazione, immutabilità e assenza di frontiere. Nello svolgere la sua analisi, l’EDPB ha evidenziato l’importanza di valutare le caratteristiche delle diverse architetture blockchain, distinguendo tra blockchain pubbliche “permissionless” (come Bitcoin ed Ethereum) e blockchain private “permissioned” (che rappresentano una scelta comune per le applicazioni aziendali). Mentre le blockchain pubbliche permissionless sono decentralizzate, con la conseguenza che tutti i partecipanti hanno pari diritti e capacità e possono leggere, scrivere o candidarsi per creare nuovi blocchi, le blockchain private permissioned presentano generalmente un piccolo gruppo di soggetti con l’autorità di concedere il permesso di partecipare: solo i nodi selezionati possono leggere, scrivere o candidarsi per creare nuovi blocchi, sulla base delle regole che si applicano alla singola blockchain.
Definizione di ruoli e responsabilità
In conformità con il principio di accountability definito dal GDPR, le Linee Guida sottolineano la necessità che le operazioni condotte su blockchain rispecchino una governance chiara, con ruoli e responsabilità definiti. Secondo la posizione dell’EDPB, tutti gli attori coinvolti nel trattamento basato su blockchain devono definire e documentare i propri ruoli, distinguendo in particolare tra titolari e responsabili trattamento. L’applicazione di questo principio si rende particolarmente impegnativo nelle blockchain pubbliche e permissionless, in cui i partecipanti possono agire sulla rete distribuita con diversi livelli di influenza. Per ovviare a questo problema, l’EDPB incoraggia la formazione di consorzi o entità giuridiche composte da più nodi, che possano agire come titolari del trattamento ai fini del rispetto del GDPR.
Protezione dei dati by-design e by-default
Come osservato dall’EDPB, l’approccio alla protezione dei dati by design e by default è molto importante nel contesto della blockchain, dal momento che le caratteristiche di questa tecnologia si pongono in netto contrasto con alcuni principi definiti nell’ambito della protezione dei dati. I titolari del trattamento dovrebbero implementare misure tecniche e organizzative efficaci fin dai primi passaggi di sviluppo e adozione della blockchain, riducendo al minimo l’esposizione dei dati e garantendo, per impostazione predefinita, che i dati personali non vengano resi accessibili a un numero indefinito di persone. Ciò implica anche un’attenta selezione delle architetture blockchain, con la predilizione di blockchain private o autorizzate rispetto a quelle pubbliche, che secondo l’EDPB dovrebbero essere utilizzate solo quando la loro apertura è strettamente necessaria per lo scopo del trattamento.
Trasferimenti internazionali di dati: la sfida della distribuzione dei nodi
Tra le questioni più complesse affrontate dalle Linee Guida vi è il trasferimento internazionale dei dati personali. Le blockchain, in particolare quelle pubbliche, coinvolgono in genere nodi situati in più giurisdizioni che non sono necessariamente selezionati o controllati, con conseguente rischio per la tutela dei dati. Le Linee Guida chiariscono che la partecipazione di nodi situati al di fuori dello Spazio economico europeo (SEE) costituisce un trasferimento internazionale di dati personali, che richiede garanzie adeguate come le clausole contrattuali standard.
Sulla base dell’analisi contenuta nelle Linee Guida, i responsabili del trattamento dovrebbero mappare l’ubicazione di tutti i nodi e valutare le implicazioni legali dei flussi di dati transfrontalieri. Per le blockchain pubbliche, dove l’ubicazione dei nodi può essere sconosciuta o in continuo cambiamento, ciò rappresenta una sfida significativa.
Conservazione dei dati e diritti degli interessati: conciliare l’immutabilità con la limitazione della conservazione
Il principio di limitazione della conservazione del GDPR richiede che i dati personali non siano conservati più a lungo di quanto necessario per le finalità per cui sono stati raccolti. Tuttavia, poiché l’immutabilità è una delle caratteristiche principali della blockchain, i dati, una volta scritti su di essa, difficilmente possono essere cancellati o modificati.
Le Linee Guida affrontano questa problematica riconoscendo l’impossibilità tecnica di rispettare i diritti e gli obblighi di cancellazione, opposizione e rettifica dei dati sulla blockchain, concludendo che quando la cancellazione dei dati non è stata prevista fin dalla progettazione, potrebbe essere necessario cancellare l’intera blockchain. Questa proposta radicale ha suscitato preoccupazione nella comunità blockchain, che teme che la prevalenza di interessi legati alla conformità alla protezione dei dati possa insidiare i vantaggi associati all’adozione della tecnologia blockchain stessa. Tuttavia, l’EDPB suggerisce che, se la combinazione di dati on-chain e off-chain è presa in considerazione dalla progettazione, la cancellazione dei dati off-chain può rendere la transazione on-chain non più riconducibile a un soggetto identificato o identificabile, garantendo così l’integrità della blockchain e consentendo al contempo la conformità ai principi del GDPR
L’EDPB ha inoltre ritenuto che, nei casi in cui il trattamento non richieda un periodo di conservazione pari alla durata della blockchain, i dati personali non dovrebbero essere scritti sulla blockchain a meno che ciò non avvenga in un modo che consenta di prevenire efficacemente l’identificazione degli interessati. Inoltre, l’EDPB ha sottolineato che i responsabili del trattamento hanno l’obbligo di giustificare qualsiasi periodo di conservazione che si estenda per la durata della blockchain, dimostrandone la necessità e la proporzionalità.
La valutazione d’impatto sulla protezione dei dati (DPIA) come passaggio obbligato
Come ricordato dall’EDPB nelle stesse Linee Guida, la DPIA è obbligatoria per qualsiasi trattamento che possa comportare rischi elevati per i diritti e le libertà delle persone, una soglia quasi sempre raggiunta considerando le criticità del rapporto tra la tecnologia blockchain e i principi del GDPR. La DPIA dovrebbe quindi:
- Valutare la necessità e la proporzionalità del trattamento: Illustrare chiaramente perché la blockchain è necessaria per il trattamento previsto e se esistono alternative meno invasive.
- Valutare i rischi legati all’immutabilità della blockchain: Analizzare l’impatto dell’immutabilità della blockchain sui diritti degli interessati, in particolare sui diritti di rettifica e cancellazione.
- Esaminare l’adozione di Privacy Enhancing Technologies (PET): Esaminare l’efficacia delle PET (ad esempio, metodi zero-knowledge proof, crittografia) nel ridurre i rischi derivanti dall’utilizzo della blockchain.
- Tenere in considerazione i trasferimenti internazionali: Analizzare le implicazioni dei flussi di dati transfrontalieri, soprattutto nelle catene pubbliche con nodi presenti in tutto il mondo.
- Documentare le misure di mitigazione: Proporre misure di mitigazione tecniche e organizzative, compresi i controlli di accesso, l’archiviazione di dati personali off-chain e la scelta delle strutture di governance.
- Descrivere il meccanismo per l’esercizio dei diritti dell’interessato: Delineare le procedure per rispondere alle richieste degli interessati, comprese le potenziali limitazioni e le alternative nel caso in cui la cancellazione non sia tecnicamente possibile.
Se il risultato dell’analisi condotta con la DPIA rende evidente che la conformità alla normativa sulla protezione dei dati non può essere realisticamente garantita con l’adozione di specifiche misure tecniche e organizzative, il titolare del trattamento dovrebbe ricorrere a una diversa tipologia di blockchain o a un’altra tecnologia che riduca, o non introduca, simili rischi.
L’adozione delle Linee Guida e le prospettive future
La decisione dell’EDPB di adottare queste Linee Guida riflette la rapida espansione delle applicazioni blockchain al di là delle criptovalute – dalla finanza, alle supply chain, all’assistenza sanitaria e ai progetti di identità digitale, tutte attività che spesso comportano il trattamento di dati personali. Finora, la mancanza di chiare indicazioni normative ha rappresentato un ostacolo all’adozione della tecnologia blockchain da parte di molte organizzazioni attente alla privacy. Le Linee Guida mirano a colmare questa lacuna, garantendo che l’innovazione non vada a scapito dei diritti fondamentali.
Tuttavia, l’enfasi posta dalle Linee Guida sulla governance e sull’accountability posiziona in alto la soglia di conformità al GDPR, alzando la posta in gioco per i progetti blockchain. La definitiva approvazione delle Linee Guida potrebbe accelerare lo spostamento verso blockchain private e autorizzate per qualsiasi caso d’uso che coinvolga dati personali, a scapito di architetture più decentralizzate e aperte. Infatti, l’ipotesi che le blockchain pubbliche e prive di autorizzazioni possano esser interamente cancellate, se i dati personali non possono essere eliminati singolarmente, rappresenta una minaccia esistenziale per i sistemi decentralizzati.
Un bivio normativo
Le Linee Guida dell’EDPB segnano un momento cruciale per la blockchain in Europa. La comunità blockchain le ha infatti accolte con grande preoccupazione, con professionisti ed esperti che dichiarano di aver riscontrato in esse più ostacoli che soluzioni. Il forte disincentivo dell’EDPB all’archiviazione dei dati personali sulla blockchain, la preferenza per le blockchain autorizzate rispetto a quelle pubbliche e la posizione secondo cui i nodi sulle blockchain pubbliche possono qualificarsi come contitolari ai sensi del GDPR sollevano forti criticità e dubbi per tutti i partecipanti che in precedenza potevano considerarsi soggetti neutrali rispetto alla catena.
Il periodo di consultazione pubblica offre alle parti interessate l’opportunità di influenzare il testo finale, ma a meno che non vengano apportate modifiche significative, le Linee Guida sono destinate a rimodellare il panorama europeo delle blockchain, favorendo potenzialmente i modelli più centralizzati e creando ostacoli all’adozione delle blockchain pubbliche e decentralizzate.
Su un argomento simile può essere d’interesse l’articolo ” Gian Luca Comandini sul ruolo degli NFT, della blockchain e dell’innovazione”
Autori: Andrea Pantaleo e Marianna Riedo
About the Author: Andrea Pantaleo
