Blockchain e Privacy: bisogna lavorare ancora molto
Come noto il nostro legislatore con la recente conversione in legge n. 12/2019, con modificazioni, del decreto-legge 14 dicembre 2018, n. 135, recante disposizioni urgenti in materia di sostegno e semplificazione per le imprese e per la pubblica amministrazione all’art. 8-ter ha cercato di disciplinare le tecnologie basate sui registri distribuiti ed in particolare gli smart contract. Questi ultimi vengono intesi come programmi per elaboratore che operano su tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse.
(Nella foto: L'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
La blockchain rappresenta una tecnologia, o meglio un insieme di tecnologie, in cui il registro è strutturato come una catena di blocchi (da qui “block” e “chain”) contenenti le transazioni effettuate dagli utenti e la cui validazione è affidata ad un severo meccanismo di consenso, suddiviso su tutti i nodi della rete (i vari computer), ossia, nel caso di alcune blockchain, su tutti i nodi autorizzati a partecipare al processo di validazione delle transazioni che andranno ad inserirsi nel registro.
In estrema sintesi la blockchain è una «catena di blocchi» che crea un registro digitale. Le operazioni, come un atto di compravendita o transazioni in moneta virtuale, vengono vagliate da molteplici operatori che ne garantiscono l’autenticità.
Per quanto riguarda i dati pubblici è necessario ed importante tutelare la loro natura pubblica. Contemporaneamente è altrettanto determinante salvaguardare la tutela della privacy, ovvero la natura confidenziale, delle informazioni trattate.
Queste caratteristiche, tanto importanti quanto opposte, mal si conciliano con lo stato attuale dello sviluppo tecnologico degli Smart Contracts su Blockchain rendendone l’utilizzo, ad oggi, complesso e costoso.
D’altronde come sottolineato dal Parlamento Europeo nella Risoluzione del 3 ottobre 2018 è opportuno che, per tali tecnologie di registro, si affrontino adeguatamente anche le problematiche attinenti proprio al settore della protezione dei dati personali dove il Regolamento europeo n. 2016/679 ha introdotto importanti principi come quello di accountability o il principio della privacy by design che diventa fondamentale con riferimento alla blockchain.
La presenza di dati personali all’interno di un sistema contraddistinto dalla tecnologia di registro può creare non pochi problemi in merito al rispetto dell’attuale normativa comunitaria poiché diventerebbe, innanzitutto, difficilmente gestibile la presenza di errori con riferimento agli stessi dati che rappresentano il logico presupposto di una “catena” davvero poco elastica per ragioni di sicurezza. Inoltre per le stesse ragioni, come è noto, poiché il dato personale non può essere conservato per sempre, l’eventuale cancellazione nel rispetto del GDPR diventerebbe non poco difficoltosa.
Le tipologie di blockchain permissionless sono quelle che destano maggiori perplessità in merito alla loro compatibilità con il diritto alla riservatezza e con il GDPR in generale.
Attualmente, i maggiori sviluppatori della blockchain si stanno interrogando su come creare un sistema che renda possibile la memorizzazione e il trattamento dei dati personali sui registri in maniera EU privacy compliant.
La risposta dipende dal fatto se un tale trattamento rientri o meno nel campo di applicazione del Regolamento UE 2016/679.
Ci si domanda, ad esempio, se le chiavi pubbliche e gli altri dati immagazzinati attraverso la blockchain rientrino o meno nella definizione di “dati personali” fornita dal Regolamento privacy.
Il GDPR definisce i dati personali come ogni informazione riferita ad un soggetto identificato o identificabile in maniera diretta o indiretta. Quando i dati sono anonimizzati, questi non possono essere definiti dati personali e ricadono fuori dall’ambito di applicazione materiale del GDPR. Quando, al contrario, i dati sono solamente pseudonimizzati, gli stessi sono definibili dati personali in quanto rendono possibile l’identificazione indiretta di un soggetto.
Due categorie di dati sulla blockchain possono essere potenzialmente qualificate come dati personali: le chiavi pubbliche e i dati relativi alle transazioni (come i dati relativi alle abitudini di un soggetto, alle identità digitali o ai dati finanziari e sanitari).
La caratteristica della immutabilità della tecnologia blockchain sembrerebbe far concludere per l’incompatibilità della stessa, ad esempio, con il riconosciuto diritto all’oblio dalla normativa privacy europea.
Occorre, però, anche questa volta distinguere tra dati relativi alle transazioni e chiavi pubbliche.
Con riguardo ai primi, qualora essi siano conservati fuori dalla blockchain, non sussisterebbe nessuna incompatibilità con la richiesta da parte dell’interessato di cancellazione.
Con riferimento alle chiavi pubbliche, la questione non è così semplice.
L’autorità garante della protezione dei dati personali francese, la CNIL, tuttavia, ha specificato che è tecnicamente impossibile concedere la richiesta di cancellazione dell’interessato quando i dati sono inseriti nella Blockchain; tuttavia, quando i dati sono inseriti mediante un’impronta digitale risultante da una funzione hash o una crittografia che utilizza un algoritmo asimmetrico, il titolare del trattamento può rendere il dato quasi inaccessibile, avvicinandosi molto a una vera e propria cancellazione dei dati.
Inoltre non dobbiamo dimenticare che uno dei principi generali in materia di trattamento dei dati personali riconosciuti dal GDPR all’art. 5 è proprio quello della limitazione della conservazione che è difficilmente conciliabile con le caratteristiche della blockchain.
Per non parlare poi di altre problematiche quali la corretta individuazione del titolare del trattamento, la predisposizione di un’informativa, le problematiche in tema di ambito di applicazione territoriale del GDPR, la necessità di tutelare i diritti degli interessati.
