La natura distribuita delle tecnologie blockchain e la loro complessità matematica intrinseca pongono sfide significative in termini di conformità al Regolamento (UE) 2016/679 (“GDPR”). L’European Data Protection Board (EDPB), consapevole di questi rischi, ha pubblicato l’8 aprile 2025 le Linee Guida 02/2025, attualmente in consultazione pubblica fino al 9 giugno 2025.

Le linee guida forniscono un quadro di riferimento dettagliato per le organizzazioni che intendono utilizzare tecnologie blockchain, evidenziando:

  • le implicazioni sulla protezione dei dati derivanti dalle architetture distribuite;
  • le misure tecniche e organizzative da adottare per assicurare la compliance al GDPR;
  • i principi e i diritti degli interessati più a rischio, come il diritto alla cancellazione e alla rettifica;
  • l’importanza della Data Protection by Design and by Default;
  • la necessità di evitare, in linea generale, la memorizzazione di dati personali on-chain, laddove ciò sia incompatibile con i principi del GDPR.

In particolare, il Comitato sottolinea che l’utilizzo della blockchain:

  • non può giustificare l’inadempimento normativo, anche quando vi sono ostacoli tecnici legati all’immutabilità della catena;
  • richiede un’attenta valutazione ex ante, sia sotto il profilo dei rischi per i diritti e le libertà fondamentali delle persone fisiche, sia per quanto riguarda la scelta del tipo di architettura (permissionless, permissioned, pubblica o privata);
  • presuppone un’analisi puntuale dei ruoli e delle responsabilità, soprattutto nei casi in cui più attori contribuiscono al trattamento attraverso la rete.

Tra i principali elementi di attenzione richiamati dall’EDPB vi sono:

  • l’importanza della minimizzazione dei dati;
  • l’utilizzo di tecniche avanzate per garantire l’integrità senza compromettere la riservatezza (hash, encryption, commitment);
  • l’obbligo di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per ogni trattamento che implichi rischi elevati legati all’uso di blockchain.

Infine, il documento si conclude con l’Allegato A, che contiene una serie di raccomandazioni operative per le organizzazioni che intendono progettare sistemi basati su blockchain nel rispetto del GDPR.

1. Cosa si intende per Blockchain secondo l’EDPB

Il termine “blockchain” si riferisce a una tecnologia che implementa un registro distribuito e coerente, privo di un’autorità centrale, utilizzato in modo coordinato da un insieme di partecipanti – aperto o predefinito – secondo regole comuni.

In un’accezione più ampia, questa tecnologia è spesso inclusa nel concetto di Distributed Ledger Technologies (DLT). Le DLT consentono di sostituire meccanismi di intermediazione tradizionali. Ad esempio, una transazione finanziaria può essere validata senza il coinvolgimento di banche o notai, grazie alla capacità della blockchain di certificare la titolarità di un bene o di un’informazione in modo autonomo.

Le caratteristiche fondamentali delle blockchain

Secondo l’EDPB, le blockchain sono progettate per presentare le seguenti proprietà chiave:

  • Distribuite: i dati sono replicati tra i partecipanti attraverso un sistema peer-to-peer e archiviati in più luoghi;
  • Disintermediate: la validazione delle transazioni avviene senza l’approvazione di un’autorità centrale, ma tramite consenso tra i nodi della rete;
  • Coerenti e immodificabili (tamperproof): eventuali modifiche o cancellazioni vengono rilevate come anomalie;
  • Trasparenti: l’accesso ai dati e alle verifiche è disponibile per tutti i partecipanti autorizzati.

Tuttavia, non esiste un’unica modalità di implementazione della blockchain. Ogni soluzione può modificare, estendere o limitare tali caratteristiche – ad esempio, limitando l’accesso pubblico alle informazioni memorizzate.

Le Linee Guida EDPB si concentrano sul trattamento dei dati personali nell’ambito dell’utilizzo della blockchain e utilizzano questo termine per indicare quelle tecnologie che presentano almeno alcune delle proprietà sopra descritte.

1.1 Le promesse e i rischi della blockchain

Le blockchain offrono garanzie tecniche avanzate in termini di integrità e disponibilità dei dati, basandosi su strumenti crittografici come l’hashing e le firme digitali, oltre che su un sistema decentralizzato di archiviazione.

Tuttavia, l’EDPB sottolinea che:

  • non esiste un accordo standardizzato o formalizzato sul livello di affidabilità o qualità del servizio fornito dalle blockchain;
  • alcune caratteristiche intrinseche – come l’immutabilità – possono ostacolare la conformità al GDPR, soprattutto per quanto riguarda:
    • il diritto alla rettifica e alla cancellazione;
    • la limitazione della conservazione;
    • la minimizzazione dei dati.

Una volta registrata, una transazione non può essere modificata o eliminata individualmente, senza alterare la coerenza dell’intera catena. Inoltre, la tecnologia non consente un’adozione graduale, poiché manca un processo predefinito per rimuovere le informazioni memorizzate.

1.2 Le criticità per la protezione dei dati

La blockchain può generare rischi specifici di non conformità, soprattutto quando vengono trattati dati personali. Tra i problemi evidenziati figurano:

  • la difficoltà di applicare alcuni principi fondamentali del GDPR (art. 5), come la cancellazione o l’aggiornamento dei dati;
  • l’impossibilità di “fare marcia indietro” dopo l’adozione della tecnologia;
  • i potenziali impatti negativi sul rispetto dei diritti e delle libertà degli interessati, specie se i nodi sono situati in paesi terzi (con conseguenti trasferimenti internazionali);
  • la complessità nella definizione delle responsabilità tra i vari attori coinvolti nel trattamento;
  • la necessità di un sistema di governance efficace e ben documentato.

2. Contesto di applicazione e ambito delle Linee Guida

Le tecnologie blockchain possono essere impiegate in molteplici modalità e per finalità di trattamento estremamente diverse. Di conseguenza, queste Linee Guida non trattano la blockchain come una forma univoca di trattamento di dati personali, ma si concentrano sull’interazione tra le caratteristiche tecniche della tecnologia e i principi di protezione dei dati previsti dal GDPR.

L’obiettivo dichiarato dell’EDPB è fornire orientamenti pratici ai titolari del trattamento che stanno valutando o già utilizzano soluzioni blockchain.

2.1 Focus sulle implicazioni normative, non sull’uso “per sé” della blockchain

Le Linee Guida non intendono fornire una valutazione astratta della blockchain come tecnologia, ma piuttosto:

  • identificare le criticità normative che emergono dal suo utilizzo concreto;
  • analizzare come le proprietà tecniche (immutabilità, decentralizzazione, trasparenza) interagiscano con i principi del GDPR (minimizzazione, limitazione della conservazione, accountability, ecc.);
  • offrire soluzioni per una gestione compatibile dei dati personali in ambienti distribuiti.

2.2 Attenzione ai trasferimenti internazionali e al cloud

Molte implementazioni blockchain coinvolgono automaticamente trasferimenti di dati verso paesi terzi, ad esempio quando uno o più nodi si trovano al di fuori dell’Unione Europea.

Allo stesso modo, l’uso di infrastrutture cloud per supportare nodi, wallet, strumenti di accesso o archivi off-chain può comportare trasferimenti transfrontalieri. In tali casi:

  • i titolari del trattamento devono valutare i propri obblighi legali in base al Capo V del GDPR;
  • si applicano anche altre Linee Guida EDPB già pubblicate sui trasferimenti internazionali e l’uso del cloud.

2.3 Esclusione (parziale) delle blockchain centralizzate

Le Linee Guida escludono in parte dal loro ambito le blockchain:

  • controllate e generate da un singolo soggetto;
  • utilizzate esclusivamente per fini interni a tale soggetto.

Tuttavia, anche in questi casi, se viene effettuato un trattamento di dati personali, è necessario:

  • condurre comunque una valutazione della necessità della tecnologia rispetto agli scopi perseguiti;
  • applicare le misure di mitigazione indicate nel documento.

2.4 Gli elementi tecnici analizzati nelle Linee Guida

L’EDPB specifica che ogni implementazione blockchain ha proprietà tecniche determinate dalla scelta dei suoi componenti costitutivi. Le Linee Guida considerano in particolare:

  • la struttura dei blocchi e i dati memorizzati on-chain (es. account, smart contract, log);
  • la definizione dei ruoli e delle responsabilità dei partecipanti;
  • l’algoritmo di consenso, che stabilisce le regole per aggiungere e validare i blocchi;
  • il meccanismo di governance (centralizzato o distribuito);
  • le reti di comunicazione tra i nodi e gli utenti;
  • l’ecosistema di interazione, comprensivo di wallet, exchange, strumenti di esplorazione della catena, protocolli di identificazione, database locali;
  • le soluzioni di archiviazione off-chain, spesso fondamentali per la privacy.

3. Descrizione della tecnologia blockchain

3.1 Funzionamento e principi fondamentali

La blockchain è una forma di registro distribuito che memorizza in modo condiviso e permanente una serie di transazioni specifiche per uno o più casi d’uso (es. pagamenti, gestione contratti, scambi digitali). I partecipanti alla rete possono:

  • eseguire un nodo proprio, conservando una copia integrale del registro;
  • oppure fare affidamento su nodi terzi.

L’integrità e la coerenza dell’intero sistema si basano su due pilastri principali:

  • Ogni gruppo di transazioni è racchiuso in un blocco, collegato crittograficamente al blocco precedente, creando così una “catena” immutabile;
  • L’aggiunta di nuovi blocchi avviene tramite un algoritmo di consenso, che permette alla rete di concordare su un’unica versione valida della catena.

Ogni nodo della rete è connesso agli altri, partecipa alla validazione delle transazioni e mantiene lo stato aggiornato della blockchain. Questo approccio distribuito:

  • evita punti singoli di vulnerabilità;
  • aumenta la resistenza contro manipolazioni e attacchi;
  • rende più difficile per un attore malevolo alterare i dati quanto più cresce la rete.

I meccanismi di consenso più comuni includono:

  • Proof of Work (PoW): come in Bitcoin, richiede la risoluzione di calcoli complessi da parte dei nodi;
  • Proof of Stake (PoS): come in Ethereum, sceglie il nodo validatore in base a fattori quali saldo, età o altri parametri di partecipazione.

La validità di ogni transazione è confermata dai nodi e, una volta aggiunta in un blocco consolidato, la transazione diventa definitiva e non può essere modificata, pena l’invalidazione dell’intera catena. Per verificare la blockchain, è necessario accedere a tutti i blocchi precedenti.

In molti casi, le blockchain supportano smart contract: programmi auto-eseguibili registrati direttamente sulla catena, che eseguono automaticamente determinate azioni al verificarsi di condizioni predefinite.

3.2 Tipologie di blockchain

Le blockchain possono essere classificate secondo due criteri fondamentali:

  • Accesso alla rete:
    • Pubbliche: chiunque può partecipare e leggere/validare dati (es. Bitcoin, Ethereum).
    • Private: accesso ristretto a soggetti autorizzati.
  • Permessi di partecipazione:
    • Permissionless: tutti i nodi hanno uguali diritti.
    • Permissioned: i nodi possono leggere, scrivere o creare blocchi solo se autorizzati da un’entità (singola o consorzio).

Alcune blockchain più avanzate integrano tecniche di anonimizzazione crittografica, come le zero-knowledge proofs, permettendo di nascondere le identità dei partecipanti senza compromettere la validità delle transazioni.

3.3 Quali dati sono contenuti nella blockchain?

Una transazione su blockchain è composta da:

  • Metadati, che includono identificatori dei partecipanti (es. chiavi pubbliche);
  • Payload (contenuto), che può includere criptovalute, link, documenti o dati personali.

Gli identificatori crittografici (es. chiavi pubbliche) sono pseudonimi, ma possono comunque costituire dati personali se collegabili a una persona fisica (soprattutto in caso di data breach).

Alcune transazioni includono anche dati espliciti su individui, come informazioni contenute in uno smart contract o documenti collegati. In questi casi, l’EDPB sottolinea l’importanza di:

  • evitare lo storage on-chain di dati personali in chiaro;
  • preferire tecniche come:
    • cifratura simmetrica/asimmetrica (accesso solo con chiave);
    • hash salati o HMAC;
    • cryptographic commitments (vincoli crittografici che consentono la verifica dell’integrità senza rivelare i dati).

La memorizzazione on-chain di dati personali in chiaro è fortemente sconsigliata, poiché viola diversi principi del GDPR (es. minimizzazione, limitazione della conservazione, integrità e riservatezza).

3.4 Ruoli e responsabilità: chi è titolare? chi è responsabile?

La natura decentralizzata della blockchain comporta la partecipazione simultanea di molteplici attori, rendendo complessa l’attribuzione delle responsabilità previste dal GDPR.

L’EDPB ricorda che:

  • Titolare del trattamento è chi determina finalità e mezzi del trattamento;
  • Responsabile del trattamento è chi tratta dati per conto del titolare.

Poiché le blockchain possono ospitare trattamenti costruiti “sopra” la struttura tecnica di base, occorre valutare caso per caso, considerando:

  • la natura del servizio fornito;
  • la governance del sistema blockchain (centralizzata o distribuita);
  • i rapporti contrattuali e tecnici tra i partecipanti.

Nel caso delle blockchain pubbliche e permissionless, i nodi possono:

  • essere semplici esecutori di operazioni tecniche → non sono titolari;
  • oppure esercitare scelte significative e autonome (es. selezione transazioni, modifica protocollo) → possono diventare contitolari o titolari.

L’EDPB raccomanda la creazione di consorzi o entità giuridiche che raccolgano i nodi partecipanti, in modo da fornire un referente unitario e responsabile per il trattamento dei dati.

4. Valutazione dei trattamenti basati su blockchain

4.1 Introduzione

Sebbene la blockchain non sia di per sé un trattamento di dati personali, la scelta di adottare questa tecnologia influenza direttamente la conformità del trattamento al GDPR (art. 24). La blockchain, al pari del cloud o delle reti peer-to-peer, non è neutra: l’adozione di un’infrastruttura distribuita implica infatti una valutazione preventiva dei rischi per i diritti e le libertà degli interessati.

I titolari del trattamento devono eseguire un’attenta analisi preliminare prima di implementare una soluzione blockchain, che andrà inclusa nella Valutazione d’impatto sulla protezione dei dati (DPIA), ove prevista (v. sez. 4.9).

Le domande chiave da considerare:

  • I dati memorizzati sulla blockchain sono dati personali?
  • Perché la blockchain è necessaria per questo trattamento? Esistono alternative?
  • Che tipo di blockchain è più adatto (privata, permissioned, zero-knowledge)?
  • Quali misure tecniche e organizzative sono previste? Si usano tecnologie di privacy-enhancing?

Il principio di necessità (art. 5.1.c GDPR) impone di giustificare la scelta tecnologica, preferendo soluzioni che minimizzino l’esposizione e la pubblicità dei dati personali.

4.2 Trattamento dei dati personali

Ai sensi dell’art. 25(2) GDPR, i dati personali non devono essere accessibili a un numero indefinito di persone senza l’intervento dell’interessato. Questo vale per blockchain pubbliche e non pubbliche.

Pertanto:

  • l’accesso ai dati deve essere limitato al minimo necessario per le finalità del trattamento;
  • l’uso di blockchain pubbliche è giustificato solo se la pubblicità è funzionale allo scopo del trattamento.

In caso di necessità di memorizzare dati personali on-chain:

  • è preferibile l’uso di “proof of existence”: hash con chiave, commitment crittografici o puntatori;
  • i dati originali vanno conservati off-chain in modo riservato;
  • la cifratura avanzata può essere impiegata, ma non elimina gli obblighi GDPR;
  • l’“anonimizzazione efficace” deve essere reale e dimostrabile.

Lo stoccaggio in chiaro di dati identificabili on-chain è fortemente sconsigliato.

4.3 Principi di protezione dei dati

I principi dell’art. 5 GDPR devono essere implementati in modo efficace e dimostrabile:

  • Liceità, correttezza, trasparenza: obbligo di informare chiaramente gli interessati e garantire esercizio dei diritti (artt. 12-22 GDPR);
  • Limitazione della finalità: ogni uso dei dati deve essere legato a scopi specifici e legittimi;
  • Minimizzazione: solo i dati strettamente necessari devono essere trattati;
  • Esattezza: i dati devono essere aggiornati; nella blockchain serve massima attenzione al momento della raccolta;
  • Limitazione della conservazione: una volta raggiunte le finalità, i dati devono essere cancellati o anonimizzati; architetture ad hoc sono necessarie per consentire l’eliminazione efficace anche in ambienti distribuiti;
  • Integrità e riservatezza: si devono adottare misure per garantire la sicurezza dei dati e prevenire accessi non autorizzati.

Particolare attenzione va posta a:

  • anonimizzazione reale e disaccoppiamento tra transazioni passate e future;
  • controllo della visibilità e pubblicità dei metadati;
  • uso di blockchain permissioned per rafforzare la governance e la protezione della riservatezza.

4.4 Liceità del trattamento

Ogni trattamento deve avere una base giuridica valida (art. 6 GDPR):

  • Consenso (art. 6.1.a) deve essere libero, informato, specifico, revocabile;
  • Obbligo legale, interesse pubblico, obblighi anti-riciclaggio (art. 23) possono giustificare restrizioni, ma solo se previste dalla legge e proporzionate;
  • Interesse legittimo (art. 6.1.f) richiede un attento bilanciamento.

In caso di revoca del consenso, i dati devono essere cancellati o resi anonimi.

4.5 Trasferimenti internazionali

Se i nodi si trovano fuori dallo Spazio Economico Europeo (SEE), si configura un trasferimento internazionale di dati (Capo V GDPR). Anche nelle blockchain pubbliche, i titolari devono:

  • identificare i trasferimenti;
  • usare meccanismi idonei (es. Clausole Contrattuali Standard);
  • prevedere sin dalla progettazione misure per garantire la compliance.

4.6 Data Protection by Design and by Default

Come stabilito dalle Linee Guida EDPB 4/2019, i titolari devono:

  • implementare misure specifiche e proporzionate per ogni trattamento;
  • integrare tecnologie di protezione avanzate (PETs) dove necessario;
  • dimostrare l’efficacia delle misure implementate.

Nel contesto blockchain, ciò richiede un approccio combinato tra:

  • ingegneria del sistema;
  • governance documentata;
  • valutazioni di impatto dinamiche;
  • monitoraggio continuo della sicurezza e dei partecipanti.

Il principio di privacy by design deve essere attuato concretamente, non solo formalmente.

4.7 Periodi di conservazione dei dati

I titolari del trattamento devono definire il periodo di conservazione dei dati personali in base alle finalità del trattamento, e non coinciderlo automaticamente con la durata della blockchain. L’immutabilità della catena non giustifica, di per sé, una conservazione illimitata.

Si dovranno applicare tecniche di mitigazione (vedi sez. 4.2) per evitare la persistenza ingiustificata dei dati, specie se identificabili. Anche gli identificatori pseudonimi (es. chiavi pubbliche) sono soggetti a questo principio.

Se si decide di conservare dati per tutta la vita della blockchain, è necessario giustificare documentatamente tale scelta in base al principio di proporzionalità.

4.8 Sicurezza

Le proprietà della blockchain (distribuzione, disintermediazione, coerenza, immutabilità, trasparenza) richiedono:

  • comportamenti affidabili degli attori;
  • robustezza crittografica;
  • rete sufficientemente ampia.

Il titolare deve:

  • prevenire abusi come attacchi del 51%;
  • gestire i privilegi dei nodi (soprattutto in blockchain permissioned);
  • garantire la sicurezza delle chiavi segrete;
  • prevenire accessi non autorizzati, inclusi casi di compromissione di wallet o identità;
  • documentare le regole di governance e aggiornamento del protocollo.

Devono inoltre essere predisposti:

  • piani di emergenza in caso di vulnerabilità crittografiche;
  • procedure di disclosure responsabile;
  • misure contro vulnerabilità infrastrutturali.

In caso non sia possibile garantire un livello di sicurezza adeguato, non si dovrebbe utilizzare la blockchain per trattare dati personali.

4.9 Valutazione d’Impatto sulla Protezione dei Dati (DPIA)

L’impiego della blockchain può comportare rischi aggiuntivi per i diritti e le libertà degli interessati. Una DPIA è obbligatoria quando il trattamento presenta rischi elevati.

La DPIA deve considerare:

  • l’intero ecosistema del trattamento, inclusi i rischi specifici legati alla tecnologia blockchain;
  • la possibilità di mitigare tali rischi tramite misure tecniche e organizzative;
  • l’opportunità di usare modelli blockchain alternativi o altre tecnologie meno invasive.

Fonti di rischio tipiche:

  • comunicazione dei blocchi e delle transazioni;
  • gestione di dati off-chain collegati a identificatori on-chain;
  • trattamento di metadati di comunicazione;
  • gestione di informazioni crittografiche (chiavi, semi, salt);
  • eventuale trattamento di dati da parte di terzi nel contesto distribuito.

Aspetti da includere nella DPIA:

  • descrizione sistematica del trattamento (finalità, casi d’uso, modelli, smart contract, ruoli, trasferimenti);
  • valutazione della necessità e proporzionalità: la blockchain è davvero necessaria? Esistono alternative meno invasive?
  • valutazione dei rischi per i diritti degli interessati (breach, trasferimenti, attori coinvolti);
  • misure per gestire tali rischi (accountability, PETs, crittografia, gestione violazioni, esercizio dei diritti);

La DPIA dovrebbe essere aggiornata nel tempo, specie se:

  • si usa una blockchain permissionless non sotto il controllo del titolare;
  • si prevedono trattamenti futuri o trasferimenti internazionali;
  • cambiano gli attori o le tecnologie usate.

La progettazione deve includere anche la gestione dell’obsolescenza crittografica e delle eventuali vulnerabilità, considerando anche le sfide poste dai computer quantistici.

Infine, la DPIA deve garantire che i diritti degli interessati siano sempre tutelati, anche con misure innovative, purché efficaci e non peggiorative rispetto ai livelli di protezione attesi.

5. Diritti degli interessati

5.1 Diritto all’informazione, accesso e portabilità dei dati

Il titolare del trattamento ha l’obbligo di fornire informazioni chiare, accessibili e comprensibili all’interessato prima dell’invio dei dati personali ai nodi per la validazione. Questo principio vale anche per:

  • il diritto di accesso (art. 15 GDPR);
  • il diritto alla portabilità (art. 20 GDPR).

Secondo l’EDPB, questi diritti possono essere compatibili con le caratteristiche tecniche della blockchain, a condizione che il titolare assicuri pienamente le condizioni previste dal GDPR per il loro esercizio.

5.2 Diritto alla cancellazione e di opposizione

Il diritto alla cancellazione (art. 17) e il diritto di opposizione (art. 21) devono essere garantiti fin dalla fase di progettazione (privacy by design).

L’EDPB evidenzia che può essere tecnicamente impossibile cancellare effettivamente un dato immesso on-chain. Tuttavia:

  • la blockchain non può giustificare la non conformità al GDPR;
  • occorre evitare l’uso della blockchain quando la proprietà di integrità assoluta non è essenziale;
  • è raccomandato anonimizzare i dati memorizzati, rendendoli irriconducibili all’interessato;
  • ogni dato identificativo off-chain collegato al dato on-chain va eliminato al ricevimento della richiesta.

I dati personali non devono essere registrati su blockchain in chiaro, né criptati o hashati, se non si può garantire una rettifica o cancellazione efficace. In tali casi, i dati vanno conservati off-chain.

5.3 Diritto alla rettifica

Anche il diritto alla rettifica (art. 16 GDPR) deve essere garantito by design.

  • In alcuni casi, può essere esercitato mediante una nuova transazione che annulli simbolicamente quella precedente;
  • Se la rettifica implica una cancellazione, si applicano le stesse soluzioni del diritto all’oblio;
  • I dati errati non dovrebbero essere registrati on-chain, ma conservati off-chain, ove possono essere aggiornati.

5.4 Diritto a non essere sottoposto a decisioni automatizzate

L’esecuzione di smart contract può costituire una decisione automatizzata ai sensi dell’art. 22 GDPR.

Il titolare deve:

  • garantire meccanismi di intervento umano sul processo decisionale;
  • consentire all’interessato di contestare la decisione anche dopo l’esecuzione dello smart contract;
  • prevedere queste tutele indipendentemente da ciò che è registrato nella blockchain.

Appendici

Raccomandazione 1 – Architettura: documentazione

I titolari e i responsabili del trattamento devono documentare:

  • Se i dati trattati sulla blockchain includono dati personali;
  • Perché l’utilizzo della blockchain è uno strumento necessario e proporzionato rispetto al trattamento previsto;
  • Quale tipo di blockchain sarà impiegato (privata, permissioned, con architettura “zero-knowledge”, ecc.);
  • Quali misure tecniche e organizzative sono state adottate (es. memorizzazione off-chain, uso di tecnologie di privacy-preserving).

Raccomandazione 2 – Architettura: archiviazione off-chain

Si raccomanda di archiviare off-chain qualsiasi dato personale aggiuntivo, oltre agli identificatori inclusi nei metadati delle transazioni on-chain, al fine di ridurre i rischi per la protezione dei dati.

Raccomandazione 3 – Informativa agli interessati

I titolari devono informare in modo chiaro e accessibile gli interessati circa:

  • la logica del trattamento;
  • i loro diritti;
  • le modalità per esercitarli.

L’informativa dovrebbe essere fornita:

  • al momento dell’inserimento dei dati nella blockchain;
  • alla creazione della blockchain;
  • e resa disponibile anche successivamente, ad esempio sul sito web del titolare.

Raccomandazione 4 – Minimizzazione dei dati

Devono essere trattati solo dati pertinenti e limitati a quanto necessario per le finalità perseguite. Occorre minimizzare:

  • la quantità di dati personali memorizzati on/off-chain;
  • il periodo di conservazione;
  • l’accessibilità dei dati.

L’analisi deve riguardare sia i metadati che il payload delle transazioni.

Raccomandazione 5 – Meccanismi di fiducia

L’implementazione deve includere meccanismi per assicurare la fiducia, ad esempio:

  • certificazioni di sicurezza software;
  • validazione delle identità dei nodi tramite standard riconosciuti o terze parti.

Raccomandazione 6 – Uso obbligatorio previsto dalla legge

Nel caso in cui l’uso della blockchain sia imposto da normative UE o nazionali, queste dovrebbero:

  • prevedere un livello accettabile di pubblicità;
  • scoraggiare qualsiasi violazione della riservatezza.

Raccomandazione 7 – Vulnerabilità software

Devono essere previste procedure per:

  • la disclosure responsabile delle vulnerabilità;
  • l’aggiornamento urgente degli algoritmi vulnerabili;
  • la notifica dei data breach alle autorità competenti e agli interessati.

Raccomandazione 8 – Governance del software

La governance delle modifiche al software e ai protocolli di validazione deve essere:

  • documentata;
  • accompagnata da procedure per garantire coerenza tra specifica tecnica e implementazione pratica.

Raccomandazione 9 – Consenso

In caso si utilizzi il consenso come base giuridica, occorre garantire:

  • libertà di scelta e possibilità di revoca senza pregiudizio;
  • l’assenza di dati on-chain non anonimizzabili;
  • procedure efficaci per garantire la cancellazione dei dati off-chain in caso di revoca.

Se la blockchain non consente la cancellazione dei dati delle parti coinvolte, il consenso non deve essere utilizzato come base giuridica.

Raccomandazione 10 – Protezione dei dati by design e by default

Tutti i principi del GDPR devono essere integrati fin dall’inizio e durante tutto il ciclo di vita del trattamento. I dati personali non devono essere resi pubblicamente accessibili su una blockchain senza l’intervento diretto dell’interessato.

Raccomandazione 11 – Periodi di conservazione

Il periodo di conservazione dei metadati e del payload deve:

  • rispettare gli artt. 17 e 25(1) GDPR;
  • influenzare la scelta della blockchain e del formato dati.

Se il periodo di conservazione è inferiore alla durata della blockchain, occorre una soluzione tecnica che:

  • consenta la cancellazione dei dati o la loro anonimizzazione;
  • in mancanza di tale soluzione, non devono essere registrati dati personali on-chain.

Raccomandazione 12 – Sicurezza: valutazione

Effettuare una valutazione delle misure di sicurezza adeguate ai rischi connessi al trattamento basato su blockchain.

Raccomandazione 13 – Sicurezza: failure algoritmici

Definire misure tecniche e organizzative per limitare l’impatto di eventuali fallimenti algoritmici (es. compromissione di primitive crittografiche).

Raccomandazione 14 – Sicurezza: evoluzione del software

Documentare e governare l’evoluzione dei protocolli e del software, garantendo l’allineamento tra progettazione e implementazione.

Raccomandazione 15 – Sicurezza: riservatezza

Quando non è necessario l’uso di una blockchain pubblica, devono essere implementate misure per limitare l’accessibilità e garantire la riservatezza. Tali misure vanno documentate e verificate.

Raccomandazione 16 – Diritti degli interessati

I diritti degli interessati non possono essere limitati né dalla tecnologia né dal consenso.

Occorre garantire:

  • l’effettivo esercizio dei diritti ai sensi degli artt. 17 e 21 GDPR;
  • la cancellazione o l’anonimizzazione dei dati su richiesta.

Le scelte tecniche devono rendere possibile il rispetto pieno del GDPR, in qualunque scenario di trattamento blockchain-based.

  1. Disintermediato (Disintermediated)
    Si riferisce alla rimozione di intermediari o soggetti terzi in una transazione o processo.
    Nel contesto della blockchain, la disintermediazione significa che le transazioni possono essere effettuate direttamente tra le parti, senza la necessità di un’autorità centrale o di un intermediario, come una banca.
    Tuttavia, va notato che, sebbene una transazione su blockchain non richieda un’autorità centrale, avrà generalmente comunque bisogno di altri partecipanti alla blockchain (come miner, validatori o altri, a seconda dell’implementazione specifica) per essere eseguita.
  2. Fork
    Una fork si verifica quando una blockchain si divide in due catene separate, spesso come risultato di una modifica al protocollo sottostante o a causa di un disaccordo tra i partecipanti della rete.
    Questo può comportare la creazione di una nuova blockchain oppure la continuazione della catena originale.
  3. Registro (Ledger)
    Un registro è un archivio delle transazioni che hanno avuto luogo su una blockchain.
    Si tratta di un sistema di contabilità digitale, decentralizzato e distribuito, che consente a più soggetti di concordare sullo stato di una transazione senza necessità di un’autorità centrale.
  4. Mining / Validazione (Mining/Validating)
    È il processo di verifica e aggiunta di nuove transazioni a una blockchain.
    I nodi utilizzano un meccanismo di consenso (ad esempio proof of stake o proof of work), che aiuta a garantire la sicurezza della rete e a convalidare le transazioni. In cambio, i nodi ricevono spesso ricompense in criptovaluta o altri incentivi.
  5. Nodo (Node)
    Un nodo è un computer che si connette con altri computer e forma la rete blockchain.
    I nodi possono contribuire a validare e trasmettere le transazioni. Possono essere considerati come punti individuali della rete che lavorano insieme per mantenere le proprietà della blockchain.
    Un nodo è gestito da una persona fisica o giuridica. Anche se il nodo in sé è un componente tecnico, quando queste linee guida si riferiscono alle azioni e responsabilità di un nodo, esse sono attribuite al soggetto che lo gestisce o controlla.
  6. Prova di esistenza (Proof of Existence)
    È un metodo per dimostrare che un determinato dato o bene esiste, senza rivelare il dato stesso.
    Questo può essere utile in scenari in cui la riservatezza è importante, come la verifica della proprietà intellettuale o dell’identità digitale.
  7. Proof of Stake (Prova di partecipazione)
    È un meccanismo di consenso utilizzato per garantire la sicurezza delle reti blockchain.
    Nella proof of stake, i nodi sono scelti per creare nuovi blocchi in base alla quantità di criptovaluta o altri asset che possiedono (cioè la loro “posta in gioco”).
    Questo meccanismo si contrappone alla proof of work, che si basa sulla potenza computazionale.
  8. Proof of Work (Prova di lavoro)
    È un meccanismo di consenso utilizzato per garantire la sicurezza delle reti blockchain.
    Nella proof of work, i nodi competono per risolvere complessi problemi matematici, e il primo a trovare la soluzione può aggiungere un nuovo blocco alla blockchain e ricevere una ricompensa.
    Questo richiede una notevole potenza di calcolo e consumo energetico.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Guide, Nuove tecnologie

Blockchain e protezione dei dati personali: Linee guida EDPB 02/2025

Eventi, Nuove tecnologie

Imprenditorialità femminile e innovazione: il ruolo degli ecosistemi di supporto

Eventi, Nuove tecnologie

Intelligenza Artificiale e Commercialisti: nuove prospettive e strumenti operativi per la professione all’evento dell’ODCEC di Napoli

Eventi, Nuove tecnologie

Intelligenza Artificiale e Commercialisti: nuove opportunità e applicazioni pratiche al centro del convegno ODCEC Napoli Nord

Eventi, Nuove tecnologie

A Mani Unite: Autismo e Inclusione, tra innovazione sociale e tecnologie a supporto

Eventi, Nuove tecnologie

CryptoEconomy: le Regole del Gioco tra Legge e Fiscalità – Convegno COA Napoli

Legal – Innovation – Business

Il nostro approccio al lavoro

Ti guidiamo passo dopo passo con soluzioni legali su misura che rispondono alle tue esigenze specifiche.

Step 1

Videocall conoscitiva gratuita

La sessione iniziale ci permette di identificare i punti chiave e delineare un piano d’azione.

Step 2

Preventivo chiaro

Dopo aver compreso le Tue necessità, Ti forniremo un preventivo dettagliato di ogni costo.

Step 3

Iniziamo la collaborazione

Una volta firmato l’incarico, daremo inizio alla collaborazione con un approccio strutturato.