TRATTAMENTI BLOCKCHAIN E GDPR: LE LINEE GUIDA 2025 SPIEGATE ALLE IMPRESE

L’adozione della tecnologia blockchain apre scenari di innovazione per imprese e

pubbliche amministrazioni, grazie a trasparenza, tracciabilità e integrità dei dati.

Però l’uso di Distributed Ledger Technologies (DLT) deve essere compatibile con

il Regolamento UE 679/2016 (GDPR), soprattutto quando si trattano dati personali.

Per questo, l’EDPB ha pubblicato le Linee Guida 02/2025, fornendo un quadro di

riferimento dettagliato per garantire la conformità.

Le caratteristiche della blockchain e le sfide per la privacy

La blockchain si basa su una struttura distribuita, immutabile e trasparente, che

rende ogni dato registrato visibile e persistente nel tempo.

Ciò, se da un lato garantisce integrità e tracciabilità, dall’altro solleva criticità rispetto

a principi fondamentali del GDPR, quali la limitazione della conservazione , la

minimizzazione dei dati e i diritti dell’interessato, in particolare quelli di

cancellazione, rettifica e opposizione.

L’EDPB sottolinea che la natura “immutabile” delle blockchain è difficilmente

conciliabile con tali diritti, rendendo necessaria un’attenta progettazione tecnica e

organizzativa con gli asset di privacy by design e by default.

I dati personali su blockchain: quando e come

Secondo le Linee guida, occorre EVITARE – salvo casi eccezionali e documentati –

di registrare dati personali in chiaro sulla blockchain.

È preferibile ricorrere a tecniche alternative quali:

• Memorizzazione off-chain, con eventuale hash o “commitment” salvato sulla catena;

• Crittografia avanzata, con gestione delle chiavi sicura e politiche di cancellazione efficaci attraverso policy adeguate e perimetrate;

• Blockchain permissioned o private, in luogo di quelle pubbliche e permissionless, che garantiscono maggiore controllo sui dati e sulla governance anch’esse dotate di policy interne sul loro utilizzo.

In ogni caso, anche identificatori pseudonimi (es. chiavi pubbliche) possono

costituire dati personali qualora l’identificazione sia “ragionevolmente possibile”

(considerando l’accessibilità ai metadati, IP o wallet di appoggio).

DPIA obbligatoria: valutare il rischio prima di iniziare

Uno degli aspetti chiave ribaditi dall’EDPB è l’obbligo per il titolare del trattamento

di valutare il rischio ex art. 35 GDPR, attraverso la redazione di una Data

Protection Impact Assessment (DPIA). Tale valutazione deve rispondere ad

almeno quattro quesiti fondamentali:

1. I dati trattati sulla blockchain sono personali?

2. È necessario e proporzionato usare la blockchain per questa finalità?

3. Quale tipo di blockchain è più idoneo (permissioned, privata, con zero

knowledge proof)?

4. Quali misure tecniche e organizzative sono adottate per garantire la

conformità?

Raccomandazioni per le imprese: come adottare la blockchain in modo

conforme al GDPR

Nell’Allegato A delle Linee Guida 02/2025, il Comitato Europeo per la Protezione dei

Dati (EDPB) ha individuato sedici aree strategiche in cui le organizzazioni devono

intervenire per garantire che i trattamenti di dati personali mediante tecnologie

blockchain siano pienamente conformi al Regolamento (UE) 2016/679 (GDPR).

Tali raccomandazioni coprono l’intero ciclo di vita del trattamento e costituiscono la

base per un’implementazione della blockchain che sia rispettosa dei diritti

fondamentali degli interessati e coerente con i principi di accountability,

minimizzazione, integrità, sicurezza e trasparenza.

In sintesi, le 16 raccomandazioni dell’EDPB definiscono come progettare,

documentare e gestire l’uso della blockchain affinché i dati personali siano trattati in

modo sicuro, proporzionato e conforme, assicurando un’adeguata informazione, un

consenso valido, una conservazione limitata nel tempo e il pieno esercizio dei diritti

riconosciuti dal GDPR.

Un approccio consapevole per una trasformazione digitale sostenibile

Per Dual Solution S.r.l., affiancare le imprese nel processo di innovazione

significa coniugare tecnologia e diritto, sicurezza e responsabilità.

L’adozione di soluzioni blockchain può rappresentare un vantaggio competitivo solo

se sviluppata nel rispetto della disciplina sulla protezione dei dati personali, evitando

esposizioni a rischi sanzionatori (fino a 20 milioni di euro o al 4% del fatturato

globale).

Investire in progetti conformi al GDPR non è solo un obbligo, ma un’opportunità di

rafforzare la fiducia di clienti, utenti e stakeholder, promuovendo modelli di business

trasparenti, resilienti e sostenibili.

Per ricevere assistenza nella progettazione di sistemi blockchain privacy-compliant o

per la redazione di una DPIA specifica, il team legale e tecnico di Dual Solution

S.r.l. è a disposizione con consulenze personalizzate e aggiornate alle ultime

normative europee.