La natura distribuita delle tecnologie blockchain e la loro complessità matematica intrinseca pongono sfide significative in termini di conformità al Regolamento (UE) 2016/679 (“GDPR”). L’European Data Protection Board (EDPB), consapevole di questi rischi, ha pubblicato l’8 aprile 2025 le Linee Guida 02/2025, attualmente in consultazione pubblica fino al 9 giugno 2025.
Le linee guida forniscono un quadro di riferimento dettagliato per le organizzazioni che intendono utilizzare tecnologie blockchain, evidenziando:
- le implicazioni sulla protezione dei dati derivanti dalle architetture distribuite;
- le misure tecniche e organizzative da adottare per assicurare la compliance al GDPR;
- i principi e i diritti degli interessati più a rischio, come il diritto alla cancellazione e alla rettifica;
- l’importanza della Data Protection by Design and by Default;
- la necessità di evitare, in linea generale, la memorizzazione di dati personali on-chain, laddove ciò sia incompatibile con i principi del GDPR.
In particolare, il Comitato sottolinea che l’utilizzo della blockchain:
- non può giustificare l’inadempimento normativo, anche quando vi sono ostacoli tecnici legati all’immutabilità della catena;
- richiede un’attenta valutazione ex ante, sia sotto il profilo dei rischi per i diritti e le libertà fondamentali delle persone fisiche, sia per quanto riguarda la scelta del tipo di architettura (permissionless, permissioned, pubblica o privata);
- presuppone un’analisi puntuale dei ruoli e delle responsabilità, soprattutto nei casi in cui più attori contribuiscono al trattamento attraverso la rete.
Tra i principali elementi di attenzione richiamati dall’EDPB vi sono:
- l’importanza della minimizzazione dei dati;
- l’utilizzo di tecniche avanzate per garantire l’integrità senza compromettere la riservatezza (hash, encryption, commitment);
- l’obbligo di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per ogni trattamento che implichi rischi elevati legati all’uso di blockchain.
Infine, il documento si conclude con l’Allegato A, che contiene una serie di raccomandazioni operative per le organizzazioni che intendono progettare sistemi basati su blockchain nel rispetto del GDPR.
1. Cosa si intende per Blockchain secondo l’EDPB
Il termine “blockchain” si riferisce a una tecnologia che implementa un registro distribuito e coerente, privo di un’autorità centrale, utilizzato in modo coordinato da un insieme di partecipanti – aperto o predefinito – secondo regole comuni.
In un’accezione più ampia, questa tecnologia è spesso inclusa nel concetto di Distributed Ledger Technologies (DLT). Le DLT consentono di sostituire meccanismi di intermediazione tradizionali. Ad esempio, una transazione finanziaria può essere validata senza il coinvolgimento di banche o notai, grazie alla capacità della blockchain di certificare la titolarità di un bene o di un’informazione in modo autonomo.
Le caratteristiche fondamentali delle blockchain
Secondo l’EDPB, le blockchain sono progettate per presentare le seguenti proprietà chiave:
- Distribuite: i dati sono replicati tra i partecipanti attraverso un sistema peer-to-peer e archiviati in più luoghi;
- Disintermediate: la validazione delle transazioni avviene senza l’approvazione di un’autorità centrale, ma tramite consenso tra i nodi della rete;
- Coerenti e immodificabili (tamperproof): eventuali modifiche o cancellazioni vengono rilevate come anomalie;
- Trasparenti: l’accesso ai dati e alle verifiche è disponibile per tutti i partecipanti autorizzati.
Tuttavia, non esiste un’unica modalità di implementazione della blockchain. Ogni soluzione può modificare, estendere o limitare tali caratteristiche – ad esempio, limitando l’accesso pubblico alle informazioni memorizzate.
Le Linee Guida EDPB si concentrano sul trattamento dei dati personali nell’ambito dell’utilizzo della blockchain e utilizzano questo termine per indicare quelle tecnologie che presentano almeno alcune delle proprietà sopra descritte.
1.1 Le promesse e i rischi della blockchain
Le blockchain offrono garanzie tecniche avanzate in termini di integrità e disponibilità dei dati, basandosi su strumenti crittografici come l’hashing e le firme digitali, oltre che su un sistema decentralizzato di archiviazione.
Tuttavia, l’EDPB sottolinea che:
- non esiste un accordo standardizzato o formalizzato sul livello di affidabilità o qualità del servizio fornito dalle blockchain;
- alcune caratteristiche intrinseche – come l’immutabilità – possono ostacolare la conformità al GDPR, soprattutto per quanto riguarda:
- il diritto alla rettifica e alla cancellazione;
- la limitazione della conservazione;
- la minimizzazione dei dati.
Una volta registrata, una transazione non può essere modificata o eliminata individualmente, senza alterare la coerenza dell’intera catena. Inoltre, la tecnologia non consente un’adozione graduale, poiché manca un processo predefinito per rimuovere le informazioni memorizzate.
1.2 Le criticità per la protezione dei dati
La blockchain può generare rischi specifici di non conformità, soprattutto quando vengono trattati dati personali. Tra i problemi evidenziati figurano:
- la difficoltà di applicare alcuni principi fondamentali del GDPR (art. 5), come la cancellazione o l’aggiornamento dei dati;
- l’impossibilità di “fare marcia indietro” dopo l’adozione della tecnologia;
- i potenziali impatti negativi sul rispetto dei diritti e delle libertà degli interessati, specie se i nodi sono situati in paesi terzi (con conseguenti trasferimenti internazionali);
- la complessità nella definizione delle responsabilità tra i vari attori coinvolti nel trattamento;
- la necessità di un sistema di governance efficace e ben documentato.
2. Contesto di applicazione e ambito delle Linee Guida
Le tecnologie blockchain possono essere impiegate in molteplici modalità e per finalità di trattamento estremamente diverse. Di conseguenza, queste Linee Guida non trattano la blockchain come una forma univoca di trattamento di dati personali, ma si concentrano sull’interazione tra le caratteristiche tecniche della tecnologia e i principi di protezione dei dati previsti dal GDPR.
L’obiettivo dichiarato dell’EDPB è fornire orientamenti pratici ai titolari del trattamento che stanno valutando o già utilizzano soluzioni blockchain.
2.1 Focus sulle implicazioni normative, non sull’uso “per sé” della blockchain
Le Linee Guida non intendono fornire una valutazione astratta della blockchain come tecnologia, ma piuttosto:
- identificare le criticità normative che emergono dal suo utilizzo concreto;
- analizzare come le proprietà tecniche (immutabilità, decentralizzazione, trasparenza) interagiscano con i principi del GDPR (minimizzazione, limitazione della conservazione, accountability, ecc.);
- offrire soluzioni per una gestione compatibile dei dati personali in ambienti distribuiti.
2.2 Attenzione ai trasferimenti internazionali e al cloud
Molte implementazioni blockchain coinvolgono automaticamente trasferimenti di dati verso paesi terzi, ad esempio quando uno o più nodi si trovano al di fuori dell’Unione Europea.
Allo stesso modo, l’uso di infrastrutture cloud per supportare nodi, wallet, strumenti di accesso o archivi off-chain può comportare trasferimenti transfrontalieri. In tali casi:
- i titolari del trattamento devono valutare i propri obblighi legali in base al Capo V del GDPR;
- si applicano anche altre Linee Guida EDPB già pubblicate sui trasferimenti internazionali e l’uso del cloud.
2.3 Esclusione (parziale) delle blockchain centralizzate
Le Linee Guida escludono in parte dal loro ambito le blockchain:
- controllate e generate da un singolo soggetto;
- utilizzate esclusivamente per fini interni a tale soggetto.
Tuttavia, anche in questi casi, se viene effettuato un trattamento di dati personali, è necessario:
- condurre comunque una valutazione della necessità della tecnologia rispetto agli scopi perseguiti;
- applicare le misure di mitigazione indicate nel documento.
2.4 Gli elementi tecnici analizzati nelle Linee Guida
L’EDPB specifica che ogni implementazione blockchain ha proprietà tecniche determinate dalla scelta dei suoi componenti costitutivi. Le Linee Guida considerano in particolare:
- la struttura dei blocchi e i dati memorizzati on-chain (es. account, smart contract, log);
- la definizione dei ruoli e delle responsabilità dei partecipanti;
- l’algoritmo di consenso, che stabilisce le regole per aggiungere e validare i blocchi;
- il meccanismo di governance (centralizzato o distribuito);
- le reti di comunicazione tra i nodi e gli utenti;
- l’ecosistema di interazione, comprensivo di wallet, exchange, strumenti di esplorazione della catena, protocolli di identificazione, database locali;
- le soluzioni di archiviazione off-chain, spesso fondamentali per la privacy.
3. Descrizione della tecnologia blockchain
3.1 Funzionamento e principi fondamentali
La blockchain è una forma di registro distribuito che memorizza in modo condiviso e permanente una serie di transazioni specifiche per uno o più casi d’uso (es. pagamenti, gestione contratti, scambi digitali). I partecipanti alla rete possono:
- eseguire un nodo proprio, conservando una copia integrale del registro;
- oppure fare affidamento su nodi terzi.
L’integrità e la coerenza dell’intero sistema si basano su due pilastri principali:
- Ogni gruppo di transazioni è racchiuso in un blocco, collegato crittograficamente al blocco precedente, creando così una “catena” immutabile;
- L’aggiunta di nuovi blocchi avviene tramite un algoritmo di consenso, che permette alla rete di concordare su un’unica versione valida della catena.
Ogni nodo della rete è connesso agli altri, partecipa alla validazione delle transazioni e mantiene lo stato aggiornato della blockchain. Questo approccio distribuito:
- evita punti singoli di vulnerabilità;
- aumenta la resistenza contro manipolazioni e attacchi;
- rende più difficile per un attore malevolo alterare i dati quanto più cresce la rete.
I meccanismi di consenso più comuni includono:
- Proof of Work (PoW): come in Bitcoin, richiede la risoluzione di calcoli complessi da parte dei nodi;
- Proof of Stake (PoS): come in Ethereum, sceglie il nodo validatore in base a fattori quali saldo, età o altri parametri di partecipazione.
La validità di ogni transazione è confermata dai nodi e, una volta aggiunta in un blocco consolidato, la transazione diventa definitiva e non può essere modificata, pena l’invalidazione dell’intera catena. Per verificare la blockchain, è necessario accedere a tutti i blocchi precedenti.
In molti casi, le blockchain supportano smart contract: programmi auto-eseguibili registrati direttamente sulla catena, che eseguono automaticamente determinate azioni al verificarsi di condizioni predefinite.
3.2 Tipologie di blockchain
Le blockchain possono essere classificate secondo due criteri fondamentali:
- Accesso alla rete:
- Pubbliche: chiunque può partecipare e leggere/validare dati (es. Bitcoin, Ethereum).
- Private: accesso ristretto a soggetti autorizzati.
- Permessi di partecipazione:
- Permissionless: tutti i nodi hanno uguali diritti.
- Permissioned: i nodi possono leggere, scrivere o creare blocchi solo se autorizzati da un’entità (singola o consorzio).
Alcune blockchain più avanzate integrano tecniche di anonimizzazione crittografica, come le zero-knowledge proofs, permettendo di nascondere le identità dei partecipanti senza compromettere la validità delle transazioni.
3.3 Quali dati sono contenuti nella blockchain?
Una transazione su blockchain è composta da:
- Metadati, che includono identificatori dei partecipanti (es. chiavi pubbliche);
- Payload (contenuto), che può includere criptovalute, link, documenti o dati personali.
Gli identificatori crittografici (es. chiavi pubbliche) sono pseudonimi, ma possono comunque costituire dati personali se collegabili a una persona fisica (soprattutto in caso di data breach).
Alcune transazioni includono anche dati espliciti su individui, come informazioni contenute in uno smart contract o documenti collegati. In questi casi, l’EDPB sottolinea l’importanza di:
- evitare lo storage on-chain di dati personali in chiaro;
- preferire tecniche come:
- cifratura simmetrica/asimmetrica (accesso solo con chiave);
- hash salati o HMAC;
- cryptographic commitments (vincoli crittografici che consentono la verifica dell’integrità senza rivelare i dati).
La memorizzazione on-chain di dati personali in chiaro è fortemente sconsigliata, poiché viola diversi principi del GDPR (es. minimizzazione, limitazione della conservazione, integrità e riservatezza).
3.4 Ruoli e responsabilità: chi è titolare? chi è responsabile?
La natura decentralizzata della blockchain comporta la partecipazione simultanea di molteplici attori, rendendo complessa l’attribuzione delle responsabilità previste dal GDPR.
L’EDPB ricorda che:
- Titolare del trattamento è chi determina finalità e mezzi del trattamento;
- Responsabile del trattamento è chi tratta dati per conto del titolare.
Poiché le blockchain possono ospitare trattamenti costruiti “sopra” la struttura tecnica di base, occorre valutare caso per caso, considerando:
- la natura del servizio fornito;
- la governance del sistema blockchain (centralizzata o distribuita);
- i rapporti contrattuali e tecnici tra i partecipanti.
Nel caso delle blockchain pubbliche e permissionless, i nodi possono:
- essere semplici esecutori di operazioni tecniche → non sono titolari;
- oppure esercitare scelte significative e autonome (es. selezione transazioni, modifica protocollo) → possono diventare contitolari o titolari.
L’EDPB raccomanda la creazione di consorzi o entità giuridiche che raccolgano i nodi partecipanti, in modo da fornire un referente unitario e responsabile per il trattamento dei dati.
4. Valutazione dei trattamenti basati su blockchain
4.1 Introduzione
Sebbene la blockchain non sia di per sé un trattamento di dati personali, la scelta di adottare questa tecnologia influenza direttamente la conformità del trattamento al GDPR (art. 24). La blockchain, al pari del cloud o delle reti peer-to-peer, non è neutra: l’adozione di un’infrastruttura distribuita implica infatti una valutazione preventiva dei rischi per i diritti e le libertà degli interessati.
I titolari del trattamento devono eseguire un’attenta analisi preliminare prima di implementare una soluzione blockchain, che andrà inclusa nella Valutazione d’impatto sulla protezione dei dati (DPIA), ove prevista (v. sez. 4.9).
Le domande chiave da considerare:
- I dati memorizzati sulla blockchain sono dati personali?
- Perché la blockchain è necessaria per questo trattamento? Esistono alternative?
- Che tipo di blockchain è più adatto (privata, permissioned, zero-knowledge)?
- Quali misure tecniche e organizzative sono previste? Si usano tecnologie di privacy-enhancing?
Il principio di necessità (art. 5.1.c GDPR) impone di giustificare la scelta tecnologica, preferendo soluzioni che minimizzino l’esposizione e la pubblicità dei dati personali.
4.2 Trattamento dei dati personali
Ai sensi dell’art. 25(2) GDPR, i dati personali non devono essere accessibili a un numero indefinito di persone senza l’intervento dell’interessato. Questo vale per blockchain pubbliche e non pubbliche.
Pertanto:
- l’accesso ai dati deve essere limitato al minimo necessario per le finalità del trattamento;
- l’uso di blockchain pubbliche è giustificato solo se la pubblicità è funzionale allo scopo del trattamento.
In caso di necessità di memorizzare dati personali on-chain:
- è preferibile l’uso di “proof of existence”: hash con chiave, commitment crittografici o puntatori;
- i dati originali vanno conservati off-chain in modo riservato;
- la cifratura avanzata può essere impiegata, ma non elimina gli obblighi GDPR;
- l’“anonimizzazione efficace” deve essere reale e dimostrabile.
Lo stoccaggio in chiaro di dati identificabili on-chain è fortemente sconsigliato.
4.3 Principi di protezione dei dati
I principi dell’art. 5 GDPR devono essere implementati in modo efficace e dimostrabile:
- Liceità, correttezza, trasparenza: obbligo di informare chiaramente gli interessati e garantire esercizio dei diritti (artt. 12-22 GDPR);
- Limitazione della finalità: ogni uso dei dati deve essere legato a scopi specifici e legittimi;
- Minimizzazione: solo i dati strettamente necessari devono essere trattati;
- Esattezza: i dati devono essere aggiornati; nella blockchain serve massima attenzione al momento della raccolta;
- Limitazione della conservazione: una volta raggiunte le finalità, i dati devono essere cancellati o anonimizzati; architetture ad hoc sono necessarie per consentire l’eliminazione efficace anche in ambienti distribuiti;
- Integrità e riservatezza: si devono adottare misure per garantire la sicurezza dei dati e prevenire accessi non autorizzati.
Particolare attenzione va posta a:
- anonimizzazione reale e disaccoppiamento tra transazioni passate e future;
- controllo della visibilità e pubblicità dei metadati;
- uso di blockchain permissioned per rafforzare la governance e la protezione della riservatezza.
4.4 Liceità del trattamento
Ogni trattamento deve avere una base giuridica valida (art. 6 GDPR):
- Consenso (art. 6.1.a) deve essere libero, informato, specifico, revocabile;
- Obbligo legale, interesse pubblico, obblighi anti-riciclaggio (art. 23) possono giustificare restrizioni, ma solo se previste dalla legge e proporzionate;
- Interesse legittimo (art. 6.1.f) richiede un attento bilanciamento.
In caso di revoca del consenso, i dati devono essere cancellati o resi anonimi.
4.5 Trasferimenti internazionali
Se i nodi si trovano fuori dallo Spazio Economico Europeo (SEE), si configura un trasferimento internazionale di dati (Capo V GDPR). Anche nelle blockchain pubbliche, i titolari devono:
- identificare i trasferimenti;
- usare meccanismi idonei (es. Clausole Contrattuali Standard);
- prevedere sin dalla progettazione misure per garantire la compliance.
4.6 Data Protection by Design and by Default
Come stabilito dalle Linee Guida EDPB 4/2019, i titolari devono:
- implementare misure specifiche e proporzionate per ogni trattamento;
- integrare tecnologie di protezione avanzate (PETs) dove necessario;
- dimostrare l’efficacia delle misure implementate.
Nel contesto blockchain, ciò richiede un approccio combinato tra:
- ingegneria del sistema;
- governance documentata;
- valutazioni di impatto dinamiche;
- monitoraggio continuo della sicurezza e dei partecipanti.
Il principio di privacy by design deve essere attuato concretamente, non solo formalmente.
4.7 Periodi di conservazione dei dati
I titolari del trattamento devono definire il periodo di conservazione dei dati personali in base alle finalità del trattamento, e non coinciderlo automaticamente con la durata della blockchain. L’immutabilità della catena non giustifica, di per sé, una conservazione illimitata.
Si dovranno applicare tecniche di mitigazione (vedi sez. 4.2) per evitare la persistenza ingiustificata dei dati, specie se identificabili. Anche gli identificatori pseudonimi (es. chiavi pubbliche) sono soggetti a questo principio.
Se si decide di conservare dati per tutta la vita della blockchain, è necessario giustificare documentatamente tale scelta in base al principio di proporzionalità.
4.8 Sicurezza
Le proprietà della blockchain (distribuzione, disintermediazione, coerenza, immutabilità, trasparenza) richiedono:
- comportamenti affidabili degli attori;
- robustezza crittografica;
- rete sufficientemente ampia.
Il titolare deve:
- prevenire abusi come attacchi del 51%;
- gestire i privilegi dei nodi (soprattutto in blockchain permissioned);
- garantire la sicurezza delle chiavi segrete;
- prevenire accessi non autorizzati, inclusi casi di compromissione di wallet o identità;
- documentare le regole di governance e aggiornamento del protocollo.
Devono inoltre essere predisposti:
- piani di emergenza in caso di vulnerabilità crittografiche;
- procedure di disclosure responsabile;
- misure contro vulnerabilità infrastrutturali.
In caso non sia possibile garantire un livello di sicurezza adeguato, non si dovrebbe utilizzare la blockchain per trattare dati personali.
4.9 Valutazione d’Impatto sulla Protezione dei Dati (DPIA)
L’impiego della blockchain può comportare rischi aggiuntivi per i diritti e le libertà degli interessati. Una DPIA è obbligatoria quando il trattamento presenta rischi elevati.
La DPIA deve considerare:
- l’intero ecosistema del trattamento, inclusi i rischi specifici legati alla tecnologia blockchain;
- la possibilità di mitigare tali rischi tramite misure tecniche e organizzative;
- l’opportunità di usare modelli blockchain alternativi o altre tecnologie meno invasive.
Fonti di rischio tipiche:
- comunicazione dei blocchi e delle transazioni;
- gestione di dati off-chain collegati a identificatori on-chain;
- trattamento di metadati di comunicazione;
- gestione di informazioni crittografiche (chiavi, semi, salt);
- eventuale trattamento di dati da parte di terzi nel contesto distribuito.
Aspetti da includere nella DPIA:
- descrizione sistematica del trattamento (finalità, casi d’uso, modelli, smart contract, ruoli, trasferimenti);
- valutazione della necessità e proporzionalità: la blockchain è davvero necessaria? Esistono alternative meno invasive?
- valutazione dei rischi per i diritti degli interessati (breach, trasferimenti, attori coinvolti);
- misure per gestire tali rischi (accountability, PETs, crittografia, gestione violazioni, esercizio dei diritti);
La DPIA dovrebbe essere aggiornata nel tempo, specie se:
- si usa una blockchain permissionless non sotto il controllo del titolare;
- si prevedono trattamenti futuri o trasferimenti internazionali;
- cambiano gli attori o le tecnologie usate.
La progettazione deve includere anche la gestione dell’obsolescenza crittografica e delle eventuali vulnerabilità, considerando anche le sfide poste dai computer quantistici.
Infine, la DPIA deve garantire che i diritti degli interessati siano sempre tutelati, anche con misure innovative, purché efficaci e non peggiorative rispetto ai livelli di protezione attesi.
5. Diritti degli interessati
5.1 Diritto all’informazione, accesso e portabilità dei dati
Il titolare del trattamento ha l’obbligo di fornire informazioni chiare, accessibili e comprensibili all’interessato prima dell’invio dei dati personali ai nodi per la validazione. Questo principio vale anche per:
- il diritto di accesso (art. 15 GDPR);
- il diritto alla portabilità (art. 20 GDPR).
Secondo l’EDPB, questi diritti possono essere compatibili con le caratteristiche tecniche della blockchain, a condizione che il titolare assicuri pienamente le condizioni previste dal GDPR per il loro esercizio.
5.2 Diritto alla cancellazione e di opposizione
Il diritto alla cancellazione (art. 17) e il diritto di opposizione (art. 21) devono essere garantiti fin dalla fase di progettazione (privacy by design).
L’EDPB evidenzia che può essere tecnicamente impossibile cancellare effettivamente un dato immesso on-chain. Tuttavia:
- la blockchain non può giustificare la non conformità al GDPR;
- occorre evitare l’uso della blockchain quando la proprietà di integrità assoluta non è essenziale;
- è raccomandato anonimizzare i dati memorizzati, rendendoli irriconducibili all’interessato;
- ogni dato identificativo off-chain collegato al dato on-chain va eliminato al ricevimento della richiesta.
I dati personali non devono essere registrati su blockchain in chiaro, né criptati o hashati, se non si può garantire una rettifica o cancellazione efficace. In tali casi, i dati vanno conservati off-chain.
5.3 Diritto alla rettifica
Anche il diritto alla rettifica (art. 16 GDPR) deve essere garantito by design.
- In alcuni casi, può essere esercitato mediante una nuova transazione che annulli simbolicamente quella precedente;
- Se la rettifica implica una cancellazione, si applicano le stesse soluzioni del diritto all’oblio;
- I dati errati non dovrebbero essere registrati on-chain, ma conservati off-chain, ove possono essere aggiornati.
5.4 Diritto a non essere sottoposto a decisioni automatizzate
L’esecuzione di smart contract può costituire una decisione automatizzata ai sensi dell’art. 22 GDPR.
Il titolare deve:
- garantire meccanismi di intervento umano sul processo decisionale;
- consentire all’interessato di contestare la decisione anche dopo l’esecuzione dello smart contract;
- prevedere queste tutele indipendentemente da ciò che è registrato nella blockchain.
Appendici
Le nostre news
Rimani informato su tutte le novità di questo affascinante mondo