Durante la sua sessione plenaria di aprile 2025, il Comitato europeo per la protezione dei dati (EDPB) ha adottato linee guida sul trattamento dei dati personali tramite tecnologie blockchain. Una blockchain è un sistema di registro digitale distribuito in grado di confermare le transazioni e stabilire chi possedeva un asset digitale (come una criptovaluta) in un dato momento. Le blockchain possono anche supportare la gestione e il trasferimento sicuri dei dati, garantendone l’integrità e la tracciabilità.
Con l’espansione dell’uso delle tecnologie blockchain, il Comitato ritiene importante aiutare le organizzazioni che le utilizzano a conformarsi al GDPR.
Nelle sue linee guida, l’EDPB spiega il funzionamento delle blockchain, valutando le diverse possibili architetture e le relative implicazioni per il trattamento dei dati personali.
Le linee guida sottolineano l’importanza di implementare misure tecniche e organizzative fin dalle prime fasi della progettazione del trattamento. L’EDPB chiarisce inoltre che i ruoli e le responsabilità dei diversi attori in un trattamento di dati personali correlato alla blockchain dovrebbero essere valutati durante la progettazione del trattamento. Inoltre, le organizzazioni dovrebbero effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) prima di trattare dati personali tramite tecnologie blockchain, laddove il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.
Secondo il Comitato, le organizzazioni dovrebbero inoltre garantire la massima protezione dei dati personali degli individui durante il trattamento, in modo che non siano resi accessibili per impostazione predefinita a un numero indefinito di persone.
Le linee guida forniscono esempi di diverse tecniche per la minimizzazione dei dati, nonché per la gestione e l’archiviazione dei dati personali. In generale, l’archiviazione dei dati personali in una blockchain dovrebbe essere evitata se ciò è in conflitto con i principi di protezione dei dati.
Infine, il Consiglio sottolinea l’importanza dei diritti delle persone, in particolare per quanto riguarda la trasparenza, la rettifica e la cancellazione dei dati personali. Le linee guida saranno soggette a consultazione pubblica fino al 9 giugno 2025, offrendo alle parti interessate la possibilità di esprimere commenti.
Nel corso della sua ultima plenaria, il Comitato europeo per la protezione dei dati (CEPD) ha inoltre deciso di collaborare strettamente con l’Ufficio per l’intelligenza artificiale in relazione alla stesura delle linee guida sull’interazione tra la legge sull’intelligenza artificiale e la normativa UE sulla protezione dei dati.
