Nel contesto regolamentare europeo, l’uso della tecnologia blockchain solleva questioni complesse e spesso controintuitive in relazione alla protezione dei dati personali. Le nuove Guidelines 02/2025 dell’European Data Protection Board (EDPB), adottate lo scorso 8 aprile e attualmente in consultazione pubblica, offrono un quadro interpretativo articolato che impone una riflessione critica e approfondita per tutti i soggetti che intendono adottare soluzioni basate su blockchain.
1. Il paradosso della disintermediazione: più controllo, meno protezione
La promessa di un maggiore controllo degli utenti sui propri dati si infrange contro la natura immutabile e distribuita delle blockchain. La persistenza delle informazioni, una volta registrate, rende difficoltosa – se non impossibile – l’esercizio dei diritti fondamentali sanciti dal GDPR, come il diritto alla cancellazione o alla rettifica.
L’EDPB lo chiarisce senza ambiguità: se non è tecnicamente possibile garantire tali diritti, l’intero trattamento potrebbe risultare non conforme.
2. Blockchain non è un trattamento, ma influenza tutto il trattamento
La blockchain, di per sé, non costituisce un trattamento ai sensi del GDPR. Nonostante ciò, la sua adozione condiziona in modo significativo la modalità del trattamento dei dati, ponendo vincoli strutturali che possono impedire l’applicazione dei principi di minimizzazione, limitazione della conservazione, e protezione per impostazione e per default.
3. Stoccaggio on-chain? Meglio evitarlo
L’indicazione è netta: evitare lo stoccaggio di dati personali sulla blockchain. Quando inevitabile, è necessario ricorrere a tecniche avanzate come:
- crittografia (con cancellazione delle chiavi in caso di revoca del consenso);
- hashing con salting o chiave segreta;
- commitment crittografici.
Tutte queste misure, però, non garantiscono l’anonimato in senso pieno e richiedono controlli rigorosi.
4. Accountability e governance: elementi imprescindibili
Il principio di responsabilizzazione (art. 5(2) GDPR) impone che le organizzazioni definiscano in modo chiaro i ruoli e le responsabilità nella gestione della blockchain. Ciò è particolarmente sfidante nei modelli permissionless, dove i partecipanti non agiscono “per conto di” un titolare, ma possono diventare autonomamente contitolari.
Per mitigare il rischio, l’EDPB raccomanda la costituzione di un consorzio o di una entità giuridica comune tra i nodi.
5. Data Protection Impact Assessment: obbligo imprescindibile
L’impiego di blockchain per trattamenti che comportano dati personali richiede, nella maggior parte dei casi, la redazione di una DPIA formale e articolata, che:
- giustifichi la necessità della blockchain rispetto ad alternative meno invasive;
- identifichi chiaramente tutte le categorie di dati trattati, anche off-chain;
- valuti la gestione dei rischi di sicurezza crittografica nel tempo, compreso il rischio di obsolescenza algoritmica.
6. I 16 comandamenti del Garante europeo
L’allegato A delle Linee Guida riassume le raccomandazioni operative in sedici punti. Tra le più incisive:
- non archiviare dati personali sulla blockchain senza possibilità di anonimizzazione;
- limitare l’accessibilità tramite blockchain permissioned;
- documentare ogni scelta architetturale e tecnica;
- pianificare la gestione dei fallimenti algoritmici;
- garantire la riservatezza anche nei contesti obbligatori per legge.
La blockchain non è (ancora) uno scudo per la privacy
Se da un lato la blockchain è celebrata per la sua trasparenza, sicurezza e affidabilità, dall’altro il suo utilizzo nel trattamento dei dati personali richiede una accurata ponderazione giuridico-tecnica. Le Linee Guida dell’EDPB tracciano un perimetro chiaro: senza garanzie effettive per i diritti degli interessati, la blockchain non può essere adottata nei trattamenti soggetti al GDPR.
L’approccio deve essere pragmatico, basato su un’analisi di impatto documentata, una governance consapevole, e un bilanciamento costante tra innovazione e legalità.