Adottate le linee guida sui trattamenti di dati personali effettuati attraverso blockchain
Durante la plenaria di aprile 2025, il Comitato europeo per la protezione dei dati (EDPB) ha adottato nuove linee guida sull’uso delle tecnologie blockchain per il trattamento dei dati personali. L’obiettivo è fornire orientamenti pratici alle organizzazioni che utilizzano queste tecnologie, sempre più diffuse, affinché rispettino i requisiti del GDPR.
La blockchain, sistema di registro digitale distribuito, è in grado di confermare transazioni e attestare la proprietà di asset digitali — come le criptovalute — in un determinato momento. Ma può anche garantire la gestione e il trasferimento sicuro di informazioni, salvaguardandone l’integrità e la tracciabilità.
Nel documento pubblicato, l’European Data Protection Board analizza il funzionamento delle blockchain, valutandone le diverse architetture e l’impatto che queste possono avere sul trattamento dei dati personali. Le linee guida sottolineano l’importanza di adottare misure tecniche e organizzative sin dalle fasi iniziali di progettazione del trattamento. Viene inoltre chiarito che i ruoli e le responsabilità dei soggetti coinvolti devono essere definiti con precisione già in questa fase.
Tra le raccomandazioni principali, l’EDPB richiama l’obbligo per le organizzazioni di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) nei casi in cui l’uso della blockchain possa comportare rischi elevati per i diritti e le libertà degli interessati.
Particolare attenzione viene dedicata alla protezione dei dati personali durante tutto il trattamento: secondo il Comitato, è essenziale che le informazioni non siano accessibili in modo predefinito a un numero indefinito di soggetti.
Le Linee Guida 02/2025 forniscono inoltre esempi di tecniche utili alla minimizzazione dei dati, nonché indicazioni su come gestire e archiviare le informazioni personali. In linea generale, si raccomanda di evitare la memorizzazione di dati personali direttamente sulla blockchain, qualora ciò contrasti con i principi del GDPR.
Infine, il documento ribadisce l’importanza di garantire i diritti degli interessati, in particolare in materia di trasparenza, rettifica ed eliminazione dei dati.
Il testo resterà in consultazione pubblica fino al 9 giugno 2025, offrendo agli stakeholder l’opportunità di inviare osservazioni e commenti.
Nel corso della stessa plenaria, il board dei Garante europei ha anche annunciato una stretta collaborazione con l’Ufficio per l’Intelligenza Artificiale dell’UE, al fine di elaborare linee guida congiunte sull’interazione tra l’Artificial Intelligence Act e la normativa europea in materia di protezione dei dati.
Fonte: European Data Protection Board
