Le tecnologie blockchain aprono nuove prospettive per il trattamento decentralizzato dei dati. Tuttavia, le loro caratteristiche particolari comportano notevoli sfide in termini di legge sulla protezione dei dati, che richiedono un attento esame nel contesto del Regolamento generale sulla protezione dei dati (GDPR) sono necessari. Il Comitato europeo per la protezione dei dati (EDPB) afferma nella sua attuale versione Linee guida una panoramica delle sfide legali e tecniche e delle raccomandazioni per l'azione.
Che cos'è una blockchain?
Una blockchain è un database distribuito e coerente che non richiede un'istanza centralizzata. Le transazioni sono memorizzate in cosiddetti blocchi, collegati tra loro in modo crittografico e documentati cronologicamente. Ciò significa che la manipolazione dei dati memorizzati è praticamente impossibile o possibile solo con un notevole sforzo. Le blockchain possono essere pubbliche o private e si differenziano in particolare per la possibilità di convalidare le transazioni da parte di tutti i partecipanti (permissionless) o solo di alcuni (permissioned).
Soprattutto, la tecnologia blockchain consente di effettuare transazioni tra diversi attori in modo diretto, trasparente e a prova di manomissione e di automatizzare i singoli processi di lavoro, ad esempio nelle operazioni di pagamento con criptovalute.
Le tecnologie blockchain aprono nuove possibilità per l'elaborazione decentralizzata dei dati. Le caratteristiche peculiari della tecnologia blockchain, come la decentralizzazione, l'immutabilità e l'affidabilità. Trasparenza Tuttavia, queste comportano notevoli problemi di protezione dei dati. Queste richiedono un attento esame nell'ambito della GDPR. Nelle sue attuali linee guida 02/2025, l'EDPB sottolinea la necessità di garantire pienamente i principi di base della protezione dei dati anche per le soluzioni blockchain.
Sfide per la protezione dei dati
Le particolari caratteristiche tecniche delle blockchain sono a volte in conflitto con i principi di base di GDPRsoprattutto il Minimizzazione dei datiil Limitazione della memoria e il Diritti di Correzione, Cancellazione e Contraddizione.
Una volta memorizzati, i dati difficilmente possono essere cancellati o modificati. Questo rende particolarmente difficile l'attuazione del diritto di Cancellazione (Art. 17 GDPR) e su Correzione (Art. 16 GDPR). Rispetto degli obblighi di trasparenza (artt. 13 e 14). GDPR) è complesso, poiché l'elevato numero di parti coinvolte rende difficile assegnare chiaramente le responsabilità.
Raccomandazioni del TOM per l'utilizzo della blockchain
Per ridurre efficacemente i rischi di protezione dei dati quando si utilizzano le tecnologie blockchain, il Comitato europeo per la protezione dei dati raccomanda una serie di misure tecniche e organizzative:
In primo luogo, se possibile, è bene evitarlo, Dati personali direttamente sulla blockchain. Al contrario, i dati dovrebbero essere memorizzati il più possibile al di fuori della blockchain. Solo i riferimenti crittografici, come i valori di hash o gli impegni che possono stabilire un collegamento alle informazioni originali senza rivelarle, dovrebbero essere memorizzati sulla blockchain stessa.
Se la memorizzazione di dati personali sulla blockchain è inevitabile, è necessario utilizzare metodi di crittografia moderni. Un forte Cifratura garantisce che solo le parti autorizzate possano accedere al contenuto. Tuttavia, l'EDPB sottolinea espressamente che anche i dati crittografati o sottoposti a hash possono essere utilizzati come Dati personali e quindi soddisfare tutti i requisiti del GDPR sono soggetti a.
Un altro aspetto fondamentale è l'implementazione della protezione dei dati attraverso la progettazione della tecnologia e le impostazioni predefinite favorevoli alla protezione dei dati (privacy by design e default). Già nella fase di pianificazione di un progetto blockchain, è necessario adottare misure per garantire che Dati personali sono fondamentalmente protetti e vengono elaborati solo nella misura necessaria per il rispettivo scopo. Ciò include, ad esempio, la decisione consapevole di utilizzare una blockchain privata e autorizzata invece di una blockchain pubblica, la chiara restrizione dei diritti di accesso e la riduzione al minimo della quantità di dati elaborati.
Nel complesso, la progettazione conforme alla protezione dei dati delle tecnologie blockchain richiede un'accurata pianificazione tecnica, uno stretto coordinamento tra le parti coinvolte e una continua Documentazione delle misure di protezione adottate.
Responsabilità e governance
La struttura decentralizzata di una blockchain non la esonera dall'obbligo di definire responsabilità chiare ai sensi dell'art. 4 n. 7. GDPR da definire. In particolare, nel caso delle blockchain autorizzate, è necessario creare una struttura di governance che definisca chiaramente ruoli e responsabilità.
Chiarire i ruoli può essere più difficile con le blockchain permissionless. Gli operatori dei nodi (nodi) potrebbero agire come (co)proprietari.Persone responsabili essere presi in considerazione se hanno un'influenza significativa sugli scopi e sui mezzi del progetto. Elaborazione hanno.
Suggerimento di lettura: L'EDPB pubblica nuove linee guida sulla pseudonimizzazione
Necessità di una valutazione d'impatto sulla protezione dei dati
I progetti blockchain richiedono regolarmente un Valutazione dell'impatto sulla protezione dei dati (DSFA) ai sensi dell'art. 35 GDPR richiesto. In particolare, una DPIA deve verificare
- se l'uso della tecnologia blockchain sia necessario e proporzionato,
- che i dati sono memorizzati sulla blockchain o al di fuori di essa,
- quali rischi si presentano per i diritti e le libertà degli interessati,
- e come vengono gestiti i trasferimenti internazionali di dati.
Una DPIA deve anche considerare soluzioni tecniche alternative e valutarne i rischi su base comparativa.
Diritti degli interessati
Le applicazioni blockchain devono essere progettate in modo tale da garantire i diritti delle persone interessate ai sensi della legge. GDPR sono pienamente salvaguardati. Ciò vale in particolare per il diritto all'informazione e all'accesso, Correzione, Cancellazioneportabilità dei dati e diritto di opposizione.
Il diritto all'informazione (artt. 13 e 14). GDPR) richiede che le persone interessate siano informate prima o al più tardi al momento dell'invio del documento. Elaborazione essere informati in modo chiaro e comprensibile sul trattamento dei dati. Questo flusso di informazioni deve essere garantito anche per le applicazioni blockchain, ad esempio quando si creano i portafogli o prima di trasferire i dati a una rete blockchain. In questo caso possono essere d'aiuto piattaforme informative centralizzate o istruzioni per l'utente all'interno delle applicazioni.
Il diritto all'informazione e alla portabilità dei dati (artt. 15 e 20). GDPR) significa che Parti interessate essere in grado di richiedere informazioni sui propri dati personali e, se necessario, il loro trasferimento in un formato strutturato e comunemente utilizzato. Anche se i dati sono distribuiti tra diversi nodi, un luogo centrale (ad esempio, la sede di Persone responsabili) e rendere disponibili queste informazioni.
I diritti di Correzione e Cancellazione (Art. 16 e 17) GDPR) rappresentano una sfida particolare nei sistemi blockchain. L'immutabilità della blockchain è in conflitto con il diritto di Correzione o Cancellazione di dati. L'EDPB raccomanda pertanto Dati personali al di fuori della blockchain, ove possibile. Se un Cancellazione Se lo si desidera, è possibile rimuovere i dati fuori catena, in modo che i dati sulla catena non siano più personalizzati. Le transazioni aggiuntive possono anche essere utilizzate per revocare o annullare le registrazioni errate.
Diritto di opposizione (art. 21) GDPR) devono essere presi in considerazione anche nell'architettura del sistema. Misure tecniche e organizzative deve prevedere che il trattamento dei dati sia effettuato quando esiste una legittima Contraddizione può essere annullato.
Sintesi e raccomandazioni
L'EDSA raccomanda:
L'uso delle tecnologie blockchain è consentito solo in presenza di una chiara Necessità e dopo un'attenta valutazione.
La preferenza per blockchain autorizzate con struttura ad accesso controllato.
Considerazione tempestiva dei requisiti di protezione dei dati nel contesto di Privacy by design e default.
Strutture di governance chiare per definire le responsabilità.
Documentazione di tutte le decisioni, soprattutto per quanto riguarda la struttura dei dati, Controllo degli accessi ai dati e la valutazione del rischio.
Fonte: Linee guida 02/2025 sul trattamento dei dati personali attraverso le tecnologie blockchain
Avete bisogno di supporto per l'implementazione nella vostra azienda? Offriamo consulenza pratica sulla protezione dei dati e soluzioni digitali - efficienti, comprensibili e conformi alla legge.
Contattateci: possiamo aiutarvi!
☎️ +49 (228) 926165-100
📧verona@2b-advice.com
German 
English 
Italian 
French