Blockchain e GDPR: nuove Linee Guida EDPB

Data Protection | Blockchain

L’8 aprile 2025 l’EDPB ha adottato le Linee Guida 02/2025 sul trattamento di dati personali tramite tecnologie blockchain, ora in consultazione pubblica fino al 9 giugno. Il documento rappresenta un riferimento fondamentale per chiarire i principali punti di frizione tra l’architettura immutabile e decentralizzata della blockchain e i principi del GDPR.

Tra i temi affrontati, spiccano:

• diritti degli interessati e immutabilità: l’EDPB affronta il nodo del diritto alla cancellazione, rettifica e opposizione, suggerendo tecniche alternative come la segregazione dei dati off-chain, la de-referenziazione e la revoca delle chiavi;
• automazione e smart contract: si richiama l’attenzione sull’art. 22 GDPR in relazione a decisioni automatizzate tramite smart contract, ribadendo la necessità di garantire intervento umano e diritto di contestazione;
• scelta dell’architettura e data protection by design: le linee guida promuovono un approccio consapevole e proporzionato alla selezione della tecnologia blockchain (public vs permissioned), in funzione dei rischi per i diritti degli interessati;
• aggiornamento della documentazione privacy: è raccomandato l’adeguamento del registro dei trattamenti, della DPIA e delle informative, con focus sui flussi on/off-chain, sulle misure di mitigazione adottate e sulla governance;
• ruoli e responsabilità: il documento invita a chiarire la titolarità e contitolarità del trattamento anche nei contesti decentralizzati, per garantire accountability.

Infine, viene annunciata una futura collaborazione tra EDPB e AI Office, volta all’elaborazione di linee guida congiunte su AI Act e GDPR, con l’obiettivo di armonizzare le tutele nei sistemi digitali complessi che integrano blockchain e intelligenza artificiale.

Per un approfondimento completo, leggi il nostro articolo qui >

AI e privacy: l’analisi dell’EDPB sui rischi associati ai modelli linguistici di grandi dimensioni (LLM)

Data protection & Artificial Intelligence

Il 10 aprile 2025 il Support Pool of Experts dell’European Data Protection Board (“EDPB”) ha pubblicato un documento intitolato “AI Privacy Risks & Mitigations – Large Language Models (LLMs)”, che analizza la gestione dei rischi privacy legati all’utilizzo dei modelli AI di grandi dimensioni in grado di comprendere, generare e manipolare il linguaggio naturale, comunemente noti come LLM.

La prima operazione di rilievo consiste nella tipizzazione sistematica delle principali categorie di rischio presenti nell’intero ciclo di vita del modello. Tra i rischi più significativi:

• la memorizzazione non intenzionale di dati personali (data leakage);
• il trattamento indiretto di dati tramite i prompt degli utenti;
• la difficoltà nel garantire i diritti degli interessati;
• l’assenza di trasparenza sugli algoritmi.

Il documento dell’EDPB propone una metodologia strutturata per la valutazione del rischio privacy, basata principalmente sull’art. 35 del GDPR relativo alla valutazione di impatto sulla protezione dei dati (DPIA). La DPIA è da concepirsi come uno strumento dinamico, da tenere costantemente aggiornato. La valutazione proposta dall’EDPB porta a una classificazione del rischio privacy sotto forma di matrice (rischio basso/medio/alto, combinando probabilità e impatto), integrabile con l’AI Risk Assessment previsto dall’AI Act.

Una delle questioni più complesse riguarda l’individuazione dei ruoli privacy, specialmente nel contesto dei LLM-as-a-Service (ad es. GPT-4 integrato via API in applicazioni web). Il documento identifica tre livelli di attori: il provider, il deployer e l’utente finale. Ferma restando la necessità di effettuare una valutazione caso per caso, risulta opportuno strutturare una rete di accountability condivisa, con obblighi espliciti, verificabili e proporzionati al rischio.

Infine, l’EDPB individua una serie di misure di mitigazione tecniche (ad es. data filtering e machine unlearning), organizzative (ad es. policy interne e audit) e contrattuali (ad es. formalizzazione dei ruoli privacy).

Il documento elaborato dall’EDPB rappresenta un importante riferimento europeo, da leggersi in un contesto internazionale caratterizzato da approcci differenti, tra i quali spiccano quelli di Stati Uniti, Regno Unito e Canada.

Per approfondire il tema del rischio privacy nell’utilizzo dei LLM e acquisire maggiori informazioni sul documento pubblicato dall’EDPB, ti invitiamo a visitare il nostro articolo completo, cliccando qui.

NIS 2: al via la seconda fase di adeguamento per soggetti essenziali e importanti

Cybersecurity

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha ufficialmente avviato la seconda fase di attuazione del D.Lgs. 138/2024 (“Decreto NIS”), attuativo della Direttiva (UE) 2022/2555 (“NIS 2”). Mediante la pubblicazione della determinazione n. 164179 del 14 aprile 2025 e dei relativi allegati tecnici ACN ha definito gli obblighi, in particolare, di cui agli articoli 23, 24, 25 e 29 del Decreto NIS.

Con la prima fase attuativa del Decreto NIS, terminata con la notifica pec ricevuta nell’aprile 2025, si è provveduto alla costituzione dell’elenco nazionale dei soggetti “essenziali” e “importanti” ai fini dell’applicazione della normativa. La seconda fase, in linea con quanto già indicato a suo tempo in relazione alle deadline del Decreto NIS, avviata con la determinazione ACN del 14 aprile 2025, definisce in modo operativo le misure di sicurezza minime per la gestione dei rischi per la sicurezza informatica e gli obblighi di notifica di incidenti che hanno un impatto significativo sulla fornitura dei servizi a carico dei soggetti Nis.

Gli allegati tecnici alla determinazione sono stati predisposti a seguito di consultazioni con autorità di settore e associazioni di categoria, nell’ambito dei tavoli previsti dal Decreto NIS. La definizione delle misure ha tenuto conto dei contributi emersi durante tale confronto.

Per quanto riguarda le misure di sicurezza, entro 18 mesi (indicativamente ottobre 2026) dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS:

• i soggetti importanti sono tenuti ad adottare le misure di sicurezza riportate nell’allegato 1 della determinazione ACN del 14 aprile 2025;
• mentre i soggetti essenziali sono tenuti ad adottare le misure di sicurezza riportate nell’allegato 2 della medesima determina.

Per facilitare inoltre l’implementazione delle misure di sicurezza di base per i soggetti Nis, ACN ha messo a disposizione dei file excel per facilitare l’adeguamento. Ogni misura di sicurezza è caratterizzata da un codice identificativo, una descrizione e da uno o più requisiti. Ai fini dell’adozione della misura di sicurezza occorre implementare tutti i requisiti riferiti alle singole misure di sicurezza.

A titolo esemplificativo, l’ACN all’allegato 1, al fine di soddisfare la misura di sicurezza riguardante la sensibilizzazione del personale (Codice PR.AT.-01) per i soggetti importanti, prevede che sia attuato e documentato un piano di formazione in materia di sicurezza informatica del personale, indicandone forma, modalità di documentazione e aggiornamenti.

Per ciò che riguarda la notifica degli incidenti di base, entro 9 mesi (indicativamente gennaio 2026) dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, i soggetti Nis sono tenuti a notificare al CSRIT Italia i seguenti incidenti:

• i soggetti importanti devono notificare gli incidenti significativi riportati nell’allegato 3 della predetta determinazione,
• mentre i soggetti essenziali sono tenuti a notificare gli incidenti significativi riportati nell’allegato 4 della medesima determina.

Sono infine stabiliti ulteriori obblighi specifici per i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio in materia di sicurezza, stabilità e resilienza dei sistemi di nomi di dominio.

Si profila pertanto di primaria importanza stabilire un piano di adeguamento che rispetti le scadenze stabilite dal Decreto NIS, affiancando competenze tecniche, organizzative e giuridiche per un adeguamento omogeneo e metodico.

Il team Data & Technology Innovation di LEXIA è a disposizione nell’affiancare i soggetti NIS nelle fasi di adeguamento al Decreto NIS, mediante consulenza personalizzata, affiancamento operativo e formazione specifica.

Ubisoft sotto indagine: quando la modalità offline viola il GDPR

Data Protection & Gaming

NOYB, nota associazione per le azioni a tutela della privacy, ha presentato un reclamo contro Ubisoft presso l’autorità austriaca per presunte violazioni del GDPR. Al centro della vicenda c’è l’obbligo per gli utenti di mantenere una connessione internet attiva anche durante sessioni di gioco single player, come in “Far Cry Primal”, che non prevede funzionalità online.

Un’analisi tecnica ha rilevato che in soli dieci minuti di utilizzo il gioco genera circa 150 richieste DNS verso server di Ubisoft, Amazon, Google e Datadog, senza consenso esplicito da parte dell’utente; tutto il traffico risulta cifrato, rendendo opaco il contenuto e la finalità del trattamento.

Il reclamo si fonda sull’art. 6(1) del GDPR e, in particolare, secondo NOYB la connessione non sarebbe tecnicamente necessaria per verificare la legittima proprietà del gioco e la raccolta di dati avverrebbe senza base giuridica valida, rendendo di fatto inutilizzabile la modalità offline.

Se confermate, le violazioni potrebbero comportare per Ubisoft sanzioni fino a 92 milioni di Euro: il caso rappresenta un importante precedente per l’intero settore tech e gaming, mettendo in evidenza l’importanza di garantire reale trasparenza, minimizzazione dei dati e rispetto del consenso, anche nei servizi digitali apparentemente “offline”.

Per le aziende, è un richiamo forte alla necessità di verificare le proprie pratiche di trattamento dati. Ogni funzione, ogni raccolta, ogni trasferimento verso terzi deve essere giustificato, documentato e comunicato in modo chiaro all’utente.

Il team Data & Technology Innovation di LEXIA è a disposizione per supportare le imprese nella gestione della compliance privacy in ambito digitale.