a cura di Edoardo Tedeschi1
In ambito europeo, nessun discorso che involga gli sviluppi futuri delle tecnologie legate ai registri distribuiti può essere affrontato senza tenere in debita considerazione le implicazioni discendenti dall’adozione del nuovo regolamento generale sulla protezione dei dati personali, meglio noto come GDPR.
In relazione, infatti, agli obblighi prescritti in quella sede, che si compendiano agevolmente nei principi di liceità, correttezza e trasparenza, esattezza, integrità e riservatezza, nonché elaborazione per le sole finalità di trattamento, la valutazione di compatibilità della tecnologia blockchain presta il fianco a qualche rilievo critico2. Resta inteso, in effetti, che il livello di tutela oggi offerto al dato personale dell’individuo è ammantato di garanzie che un sistema qual è quello congegnato dalla blockchain non riesce totalmente a rispettare, se non attraverso il meccanismo della pseudonimizzazione.
Va tenuto in giusta considerazione, infatti, il regime di piena pubblicità ed accessibilità dei dati inseriti all’interno di catene blockchain, oltre che l’illimitata conservazione dello stesso dato, a garanzia della regolarità del processo “di blocco”. Vale la pena chiedersi quanto segue: “se la tecnologia blockchain sia compatibile con le nuove regole imposte dallo stesso [Regolamento (UE) 679/2016], soprattutto per le caratteristiche di decentralizzazione, immodificabilità e persistenza dei dati registrati, che sembrerebbero porsi in contrasto con alcuni dei diritti riconosciuti agli interessati (…) e con i principi posti dalla nuova disciplina”3.
D’altra parte, non v’è chi non possa osservare pure le notevoli opportunità offerte dall’utilizzo di detto sistema: “il binomio blockchain e GDPR potrebbe in realtà offrire anche interessanti opportunità, per esempio dal punto di vista della cosiddetta “security by design”, garantendo la pseudonimizzazione (disaccoppiamento dei dati dall’identità virtuale) e la minimizzazione dei dati (…) Questo perché in una blockchain la protezione dei dati viene assicurata da una chiave pubblica del mittente della transazione; la chiave pubblica del destinatario della transazione; un hash crittografico del contenuto della transazione (…); la data e l’ora della transazione“4.
Proprio su questa questione si sono concentrate le attenzioni dell’Osservatorio e Forum europeo sulla blockchain, che ha attivato un workshop, nel giugno 2018, titolato “GDPR, data policy and compliance“5.
Un interessante Panel di discussione6,
in quell’occasione, si è concentrato sulla difficoltà di individuazione dei diversi profili di responsabilità nel trattamento del dato (liability), considerando come il sistema configurato dal Regolamento in parola sia un sistema relativamente gerarchico, composto su un modello tripartito, che vede affiancarsi la figura del “data controller”, “data subject” e “data processor”. Il modello blockchain, al contrario, è configurato sul “peer-to-peer”, “where individuals, entities and things become peers”.
Pertanto, ragionando su come il GDPR e la blockchain possano dialogare, bisogna partire dall’assunto per cui si dovrà guardare, caso per caso, alle modalità di trattamento del dato: in che modalità si trovi a circolare, chi lo stia controllando e chi prenda le decisioni di trattamento: “in a blockchain peer-to-peer world, it is possibile for data subjects and data controller sto be the same entity, and the GDPR doesn’t de facto stand in the way of this“7.
In quella stessa circostanza gli esperti si erano altresì confrontati su come la tecnologia blockchain potesse concretamente supportare il nuovo sistema di protezione di cui al GDPR, evidenziando come ci fossero oramai diverse tecniche (chameleon hashes, zero knowledge proof, homomorphic encryption) utili ad assicurare una miglior sicurezza del dato personale: “blockchain provides auditability and transparency, which can help in protecting data subjects and en forcing GDPR”; non solo, l’utilità della blockchain potrebbe evidenziarsi anche rispetto alla migliore portabilità e movimentazione dei dati.
D’altra parte, sul panorama della legislazione domestica, diversi restano, allo stato, gli interrogativi sul tavolo, a cominciare da chi possa essere considerato soggetto responsabile del trattamento del dato personale all’interno di una blockchain, oppure dove debba essere incardinata la giurisdizione in caso di eventuali controversie o, ancora, in che misura possano dialogare il concetto di “dato personale” con l’informazione immessa sulla blockchain.
Volendo riassumere brevemente, “ciò che caratterizza il GDPR sono tre parole chiave, centralizzazione, limitazione e rimovibilità, che vanno in netto contrasto con le parole chiave che, al contrario, caratterizzano la blockchain, ossia decentralizzazione, distribuzione ed immutabilità (…). Il primo aspetto da risolvere nel valutare le modalità di applicazione della disciplina in materia di protezione dei dati personali alle Distributed Ledger Technologies – DLT, come la blockchain, è l’individuazione dei ruoli svolti dai partecipanti al network”8. Quanto detto, infatti, diventa ancor più arduo da chiarire ove si volessero prendere in considerazione le blockchain cd. permissionless, ossia aperte e decentralizzate. In effetti, in questo caso non vi sono soggetti che “autorizzano” l’accesso alla blockchain e, soprattutto “che determinano le finalità e mezzi del trattamento, dato che per poter inserire transazioni è sufficiente reperire gli appositi software e creare le chiavi crittografiche”9.
Se i nodi non sono soggetti ad “istruzioni esterne” si potrebbe dire, come è stato sostenuto, che ogni nodo facente parte della blockchain sia configurato alla stregua di un titolare di trattamento, “ciò in quanto ogni nodo (…) decide autonomamente di aderire al network e persegue i propri obiettivi, mentre sarebbe da escludersi un’ipotesi di contitolarità del trattamento in quanto non vengono congiuntamente definite le modalità e scopi dello stesso e, pur essendo la blockchain creata dal comportamento dei vari nodi, ciascuno non può determinare le modalità di trattamento degli altri“10.
Gli Autori, comunque, non mancano di sottolineare le complicazioni discendenti da simili argomentazioni, giacché, laddove si riuscisse a stabilire l’esatto numero e la collocazione dei nodi sulla blockchain, gli stessi nodi subirebbero la “passività” del non essere i gestori del network e di avere accesso soltanto a dati già cifrati, senza poterli in alcun modo modificare. Come potrebbe allora, l’interessato, esercitare i propri diritti, ad esempio quelli di rettifica, ove si sia in presenza di una simile “titolarità diffusa”, v’è da chiedersi.
È noto, infatti, come il Regolamento richieda il rispetto del principio di “esattezza” del dato (art. 5), oltre che del diritto “all’oblio”, oggi sempre più agli onori della cronaca (art. 17). A ciò va aggiunto che esiste un’oggettiva difficoltà ad applicare gli obblighi di informativa (art. 13 GDPR), i principi di liceità del trattamento secondo un’opportuna base giuridica (art. 6 GDPR), gli obblighi previsti per la sicurezza dei trattamenti (art. 32 GDPR), nonché la disciplina del trasferimento dei dati personali in Stati extra-UE.
Proprio su quest’ultima questione, inoltre, ben si comprenderanno le criticità connesse con gli obblighi di individuare i soggetti che effettuano il trasferimento del dato in contesti extra– UE, sia in ragione della diffusione internazionale del fenomeno sia dell’idoneità alla conservazione in locale, da parte di ogni nodo, dell’intera catena dei blocchi.
Infine, i sistemi blockchain dovrebbero risultare compliant rispetto al principio di privacy by design e by default di cui all’articolo 25 del GDPR11; pur tuttavia, fa notare la dottrina, “l’esame delle problematiche che pone il rapporto tra la tecnologia blockchain ed il GDPR, impostato su una concezione centralizzata della gestione dei sistemi e piattaforme, rende evidente che la norma regolamentare è stata superata dal punto di vista tecnologico ed appare non del tutto adeguata a regolare tali nuovi fenomeni”12.
Considerazioni, quest’ultime, rinvenibili anche nell’intervento svolto dal European Data Protection Supervisor nella sua “Preliminary Opinion on Privacy by Design n. 5/2018” in data 31 maggio 2018, il quale esordiva nella considerazione per cui la tecnologia blockchain fosse ormai utilizzata per le più diverse applicazioni, incluso il trattamento dei dati personali. Nelle sue “Recommendations and Commitments” ha, infatti, sottolineato la necessità di implementare il sistema del GDPR in relazione ai concetti di “data protection by design and by default principle”, così concludendo: “The EDPS (European Data Protection Supervisor) calls on European Parliament, the Council and the European Commission to support the development of new practices and business models through the research and technology development instruments of the EU, with a special focus on emerging ones such as artificial intelligence, machine learning and the blockchain”13.
Una normativa domestica che intenda confrontarsi con la questione delle catene dei blocchi, anche ai fini di una compiuta regolamentazione sul tema, non potrà, perciò, esimersi da un serio confronto con simili considerazioni.
1 Dottorando di ricerca in Diritto e Impresa (XXXVI ciclo), presso la LUISS Guido Carli. Specializzato in Diritto d’impresa, Diritto bancario e Scienze economiche e bancarie europee.
2 Il Workshop Report del EU Blockchain Observatory and Forum, Brussels – giugno 2018 ne parlava nei termini che seguono: “Key concepts in GDPR relevant to blockchain include: personal data; controllership; data protection by design; principles of data protection (…) When processing data the first thing to do is to identify on what legal basis the processing can take place. There are six bases: consent, performance of a contract, vital interest of the data subject, legitimate interest of controller, legal obligation, public interest” – Dalla Introduction tenuta da Olivier Micol, Head of Unit, DG Just – Commissione Europea.
3 Cfr. SARZANA DI S. IPPOLITO F. E NICOTRA M., Diritto della Blockchain, Intelligenza artificiale e IoT, cit., pag. 68.
4 Vds. BOLDRINI N., Blochckain e GDPR: le sfide (e le opportunità) per la protezione dei dati, 9 luglio 2018, su https://www.blockchain4innovation.it/tag/gdpr/. Si veda anche PANETTA R., Blockchain e GDPR, ecco le compatibilità possibili e le sfide normative, in Agenda Digitale, 7 febbraio 2019, secondo il quale: “La dirompente tecnologia blockchain è sulla bocca di tutti e ha attirato l’attenzione anche della Commissione Europea per le possibili incompatibilità con il GDPR. Tuttavia, diversi sono i generi di blockchain, non sono quindi del tutto escluse possibilità di compliance con il regolamento UE”.
5 Sul sito www.eublockchainforum.eu è possibile reperire il Workshop Report (by the EU Commission, Directorate-General of Communications, Networks, Content & Technology).
6 Panel discussion –BERTOLATTI A., ERBGUTH J., FINCK M., RENIERIS E.
7 Ibidem.
8 Cfr. SARZANA DI S. IPPOLITO F. E NICOTRA M., Diritto della Blockchain, Intelligenza artificiale e IoT, cit., p. 76.
9 Ivi, p. 78.
10 Ivi, p. 79.
11 Articolo 25, Protezione dei dati fin dalla progettazione e protezione per impostazione definita: “(…) il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente Regolamento e tutelare i diritti degli interessati”.
12 Cfr. SARZANA DI S. IPPOLITO F. E NICOTRA M., Diritto della Blockchain, Intelligenza artificiale e IoT, cit., p. 88.
13 EDPS, Preliminary Opinion on Privacy by Design n. 5/2018, pag. 21, pt. 104.