Linee guida sui trattamenti di dati personali effettuati attraverso blockchain dell’EDPB in consultazione

30 Aprile 2025

La tecnologia blockchain, originariamente concepita come registro distribuito e immutabile, ha rapidamente esteso il suo potenziale a una vasta gamma di applicazioni, trasformando settori che spaziano dalla finanza alla logistica, dalla sanità alla gestione dell’identità digitale. In sostanza, una blockchain è una catena di blocchi di dati, ciascuno contenente un certo numero di transazioni, collegati tra loro attraverso la crittografia. Questa struttura decentralizzata e la natura intrinsecamente immodificabile dei dati registrati conferiscono alla blockchain caratteristiche uniche in termini di trasparenza, sicurezza e tracciabilità.

Come funziona la blockchain?

In un sistema di blockchain, ogni transazione viene immediatamente registrata all’interno di un blocco, dotato di un header^[1], all’interno del quale è reperibile l’hash^[2] di tutte le transazioni registrate nel blocco stesso e in quello precedente. Una nuova transazione si compie solo se è coerente con l’hash del blocco nel quale viene conservato.

I blocchi si collegano in sequenza tramite un hash parentale: ogni blocco include l’hash del blocco che lo precede. Ogni blocco ha una copia locale dell’intera catena e si aggiorna ad ogni creazione di nuovi blocchi: quando un nodo riceve nuovi blocchi dalla rete, il nodo li valida immediatamente e crea con loro un collegamento alla blockchain esistente.

L’aggiunta di nuovi blocchi è eseguita da nodi specifici, denominati validation nodes, in base a regole prestabilite dal protocollo informatico e condivise dalla rete.

Le transazioni sono ordinate cronologicamente – attraverso dei server di marcatura temporale, o timestamps – mediante la divisione in blocchi, identificati univocamente con una stringa alfanumerica (vale a dire l’hash), che include anche l’hash del blocco precedente, formando una concatenazione di blocchi: da qui nasce il termine “blockchain”.

Tentare di manipolare i dati risulta estremamente difficoltoso: modificare un hash spezzerebbe la catena, causando il mutamento degli hash susseguenti, e si renderebbe evidente l’alterazione a causa dell’incoerenza con le copie della blockchain presenti negli altri nodi della rete. Ciò conferisce alla blockchain una sorta di immutabilità unilaterale. La crittografia asimmetrica risulta fondamentale per l’inserimento dei dati in blockchain, poiché consente che siano decriptati solo da chi sia in possesso della relativa chiave privata. Ciò è funzionale al mantenimento della trasparenza propria della blockchain, necessaria per un corretto funzionamento, vale a dire la condivisione dei blocchi tra gli utenti, potendo pur mantenere un certo grado, seppur limitato, di riservatezza.

Sulla base dell’architettura informatica si possono, inoltre, individuare 3 macro-insiemi:

blockchain pubbliche (c.d. permissionless), nelle quali chiunque può compiere transazioni, se valide, e partecipare al meccanismo di formazione del consenso. Queste blockchain sono garantite dalla cryptoeconomia. Fungono altresì da database globale per i documenti che hanno la necessità di essere immutabili, salvo meccanismi di consenso complessi. Tuttavia, l’eccessiva simmetria informativa e trasparenza potrebbe sollevare criticità. Infatti, società concorrenti potrebbero venire a conoscenza di informazioni della società che opera nella blockchain;
blockchain private (c.d. permissioned), ove i permessi di scrittura sono accentrati presso un’organizzazione, così come quelli di lettura, che possono essere anche pubblici; e
consorzi, ove il procedimento di formazione del consenso è controllato da un set di nodi preselezionato.

In ogni caso, la peculiare architettura e le complesse implicazioni tecniche della blockchain sollevano questioni significative nel contesto della protezione dei dati personali. La natura distribuita del registro, la potenziale difficoltà nell’identificare i titolari del trattamento e i responsabili del trattamento, l’immutabilità dei dati e le sfide legate all’esercizio dei diritti degli interessati, come il diritto di rettifica e di cancellazione, rappresentano soltanto alcune delle problematiche che emergono dall’applicazione di questa tecnologia.

Proprio in considerazione di tali complessità e del crescente interesse verso l’utilizzo della blockchain in svariati ambiti che implicano il trattamento di dati personali, l’EDPB ha ritenuto necessario fornire un quadro interpretativo e operativo uniforme. La pubblicazione delle Linee Guida 02/2025 sui trattamenti di dati personali effettuati attraverso blockchain, avvenuta lo scorso 8 aprile 2025 e in consultazione pubblica fino al 9 giugno 2025, riveste un’importanza cruciale.

Le Linee Guida e le indicazioni operative

Le Linee Guida mirano a chiarire come i principi e le disposizioni del GDPR si applichino specificamente ai trattamenti che utilizzano la tecnologia blockchain, fornendo indicazioni pratiche e raccomandazioni alle aziende che intendono adottare o già utilizzano tali soluzioni. L’obiettivo primario è quello di garantire un elevato livello di protezione dei diritti e delle libertà fondamentali degli individui in un contesto tecnologico in rapida evoluzione, promuovendo al contempo l’innovazione in modo responsabile e conforme alla normativa in materia di protezione dei dati personali.

Come specificato nelle Linee Guida stesse, le blockchain memorizzano i metadati della transazione unitamente a un payload[3]. I metadati delle transazioni includono sia gli identificativi degli utenti sia altri metadati. Ciascun utente che partecipa a una transazione può, ad esempio, essere associato a un identificativo composto da una serie di caratteri alfanumerici che all’apparenza potrebbero risultare casuali, ma che costituiscono una chiave pubblica ottenuta da una chiave privata a disposizione dell’utente. Se l’utente è una persona fisica e tali chiavi possono essere utilizzate per identificare gli individui con mezzi ragionevolmente utilizzabili, allora tali dati saranno qualificabili come dati personali.

Tra le principali criticità derivanti dall’immutabilità della blockchain vi sono, a titolo esemplificativo e non esaustivo, la non conformità a:

l’art. 5(1)(e) del GDPR e, pertanto, violazione del principio di limitazione della conservazione per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati personali sono trattati;
l’art. 16 del GDPR, poiché, in caso di modifica, si spezzerebbe la catena della blockchain;
l’art. 17 del GDPR, in quanto l’immutabilità impedirebbe all’interessato di esercitare il proprio diritto alla cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.

Le Linee Guida, oltre a suggerire diverse tecniche da implementare per rendere il trattamento tramite tecnologia blockchain conforme al GDPR (ad es. crittografia, hashing dei dati personali, proof of existence[4]), forniscono ulteriori indicazioni operative:

effettuare un’analisi e individuare in modo adeguato i ruoli privacy dei soggetti coinvolti, considerando la peculiare architettura della tecnologia blockchain;
effettuare una valutazione d’impatto sulla protezione dei dati personali (DPIA) prima di utilizzare sistemi di blockchain, in considerazione della relativa tecnologia e dei potenziali rischi per i diritti e le libertà degli interessati;
in relazione al diritto di rettifica dell’interessato, valutare l’implementazione della possibilità di inserire in una transazione successiva l’annullamento espresso della transazione precedente;
rispettare i principi di privacy by design e by default, implementando sin dalla progettazione misure tecniche che, seppur non possano cancellare i dati personali, possano anonimizzarli.

Come emerge dalle Linee Guida, non tutte le problematiche possono essere mitigate da misure tecniche e organizzative adeguate. Tuttavia, l’EDPB non ostacola l’utilizzo della tecnologia blockchain, ma adotta approccio costruttivo, guidando le aziende verso implementazioni conformi, ma specificando che la difficoltà tecnica non ne giustifica la mancata conformità.

[1] L’header, nel gergo informatico, è la componente che contiene informazioni di controllo necessarie al funzionamento del blocco.

[2] L’hash è contenuta nell’header. La sua funzione è consentire di trasformare una serie di dati di lunghezza arbitraria in una stringa alfanumerica determinata, univocamente riconducibile al contenuto originario.

[3] Nel linguaggio informatico, il payload o carico utile indica la parte di dati trasmessi effettiva che è destinata all’utilizzatore.

[4] La proof of existence consiste nel registrare l’hash stesso sulla blockchain.

Osservatori Morri Rossetti & Franzosi

Portali verticali dedicati alla Sharing Knowledge Specialistica

Compliance 231

Insolvenza

TMT e Data Protection

Fiscalità internazionale

Diritto Amministrativo

Family Law

Archivio newsletter (ultimo anno)

Monthly Roundup - Aprile 2025

Monthly Roundup - Marzo 2025

Monthly Roundup - Febbraio 2025

Monthly Roundup - Gennaio 2025

Monthly Roundup - Ottobre 2024

Monthly Roundup - Settembre 2024

Monthly Roundup - Luglio 2024

Monthly Roundup - Giugno 2024

Monthly Roundup - Maggio 2024

Iscriviti alla Newsletter

Per ricevere tutte le novità in materia di TMT e Data Protection, iscriviti alla newsletter utilizzando il form.

2025 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

note legali

informativa sulla privacy

informativa sull'uso dei cookies