
Index
Intro
L’entrata in vigore del Regolamento EU 679/2016 il 25 maggio 2018 ha consentito di riportare nuovamente l’attenzione sui principi inerenti l’importanza della tutela del dato personale alla quale, oggi, si guarda con maggiore interesse ed attualità. I nuovi concetti introdotti come l’accountability, privacy by design, data breach, data retention, anonimizzazione, minimizzazione e pseudonimizzazione, diritto all’oblio (solo per citarne alcuni) hanno posto in evidenza le nuove modalità di trattamento e le relative potenziali vulnerabilità dei nostri dati e dei danni, prima ancora delle sanzioni, derivanti dalla loro mancata protezione e/o errato trattamento ma soprattutto ci hanno indicato come la corretta gestione dei dati personali costituisca un percorso in continua evoluzione che coinvolge diversi ambiti anche interconnessi tra loro.
Di pari passo l’affermazione delle “disruptive technologies”, in particolare la blockchain, con la sua inarrestabile evoluzione tecnologica rende, in alcuni casi, difficoltosa la coesistenza dei rispettivi principi.
Contrasti
Alcune tra le differenze riguardano la natura decentralizzata della blockchain, l’immutabilità e la tracciabilità dei dati in essa contenuti, seppur in maniera anonimizzata e protetta, non sempre si conciliano con quelle previste dal GDPR proprio perché, in maniera opposta, esso richiede la centralità dei dati, la precisa individuazione di tutti i soggetti attivi, ovvero le modalità di conservazione ed elaborazione, la modifica degli stessi e la cancellazione (ove richiesta).
Proprio in merito ai soggetti attivi si evidenzia la difficoltà di stabilire con certezza quali sono i ruoli e le responsabilità ricoperte dai vari attori che operano in una blockchain (soprattutto permissionless) così come vorrebbero i precetti dettati dal GDPR i quali, ancora una volta, per la natura decentralizzata di questa tecnologia non si prestano ad essere identificati.
Mentre nella blockchain la necessità di identificazione risponde ad una necessità tecnica di certezza della transazione, di sicurezza, di anonimato e verificabilità affinchè essa possa andare a buon fine e garantire il buon andamento dell’intera rete nel GDPR questa necessità è finalizzata alla protezione del dato personale ed alla conseguente attribuzione di responsabilità in caso di violazione.
La figura del “titolare del trattamento” è definita dal regolamento come “la persona fisica o giuridica, l’Autorità Pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali” (1)e quindi deve essere individuato all’interno di una blockchain tra tutti i partecipanti della rete.
Pertanto, solo a titolo di esempio, ogni nodo della rete potrà essere considerato un data controller (titolare, appunto) per se stesso e data processor (responsabile) per gli altri nodi ricoprendo allo stesso tempo due ruoli diversi, con diversi obblighi e responsabilità difficili da adattare al paradigma previsto dal GDPR.
Si comprende facilmente come in relazione alle diverse e molteplici figure che operano all’interno di una blockchain (miners, oracoli, utenti finali, Blockchain Service Providers, Exchange, etc..) tale classificazione risulta essere di difficile applicabilità.
Queste differenze di ruoli si intensificano ancor più allorquando si aggiungono anche le diverse tipologie di “reti blockchain” con le quali si opera, ad esempio tra le più rappresentative, “blockchain permissioned” e “blockchain permissionless”.
Mentre per il primo tipo alcuni hanno individuato due ipotesi di casi specifici ovvero: 1) quando una persona fisica decide di partecipare ad un consorzio con la gestione di una blockchain chiusa ed in tal caso questo soggetto accetterà preventivamente che tutti i partecipanti potranno trattare i dati che andrà a inserire nel network ed a sua volta convalidare transazioni di altri. Troverà applicazione la “contitolarità del trattamento” prevista dall’art. 26 GDPR con relativa stipula di un accordo tra tutti i partecipanti per regolare le responsabilità di ciascuno; 2) quando un consorzio offra servizi agli utenti finali registrando tutti i dati su una “permissioned” ed anche in tal caso si farà ricorso ad una contitolarità del trattamento e gli utenti finali si inquadreranno come interessati (2), per il secondo tipo tale classificazione apparirà decisamente più complessa per la forte decentralizzazione che caratterizza una rete permissionless e la molteplicità di attori che intervengono nell’intero ciclo di una “transazione” senza la possibilità di individuare ruoli e responsabilità ben definiti.
Soluzione
Ad oggi abbiamo visto come siano state presentate diverse proposte tecniche che hanno portato ad altrettante soluzioni che, seppur non esaustive e risolutorie di tutti i possibili ostacoli, tracciano il percorso per una necessaria coesistenza tra tecnologia e normativa.
L’“off-chain storage”, che sembra essere quella più velocemente praticabile, consente di memorizzare tutte le informazioni sensibili in un archivio (database) esterno al ledger utilizzato soltanto come meccanismo successivo per la verifica dell’integrità e accesso ai dati originari e per tale motivo la scelta non ricade su un normale database. Questa memoria esterna alla “catena di blocchi” consente di tenere separate le informazioni (ed i dati personali) vere e proprie dal loro corrispondente valore di hash che sarà registrato materialmente nel ledger. In questo modo ci si propone di tenere al sicuro il dato originario tutelando le informazioni che esso contiene ed utilizzarlo solo per le operazioni di accessibilità e verifica dell’integrità richieste dalle operazioni della rete.
La “zero-knowledge proof” (ZKF) o dimostrazione a conoscenza zero è una tecnica decisamente promettente da affiancare ad una gestione della privacy in ambito blockchain conferendo un maggior grado di sicurezza ed anonimato.
Essa consiste nella possibilità per un soggetto di dimostrare ad un altro soggetto che una affermazione (solitamente matematica) è vera senza rivelare nient’altro oltre alla veridicità della stessa (4).
Tale tecnica si rivela particolarmente utile soprattutto nelle blockchain permissionless che per la loro natura completamente pubblica richiederebbero la necessità di mantenere alcune informazioni riservate oscurandole all’interno delle transazioni stesse. Ancor più utile ed anche di più rapida implementazione, manco a dirlo, nelle blockchain private dove, per la gestione di processi interaziendali confidenziali le organizzazioni potranno mantenere private le informazioni necessarie alle loro interazione utilizzando la blockchain come strumento di validazione e controllo attraverso la notarizzazione delle stesse (5).
Conclusioni
E’ importante ricordare che il Regolamento UE 679/2016 ha introdotto diversi principi per tutelare al massimo la “privacy” per questo motivi ci si augura che in futuro vengano sviluppate altrettante soluzioni per ognuno dei nuovi concetti introdotti con il GDPR. Nello specifico è auspicabile che ci sia uno sviluppo parallelo di soluzioni tecniche e normativa senza ulteriori ritardi.
Tutte le disruptive technologies ed in particolar modo la blockchain che in questi anni caratterizzano l’avanzamento tecnologico fanno già parte di molte attività che solo qualche anno fa chiamavamo “futuro”. Tutte queste tecnologie interconnesse tra loro stanno già sviluppando processi di crescita molto veloci che si evolvono enormemente e con tempistiche brevissime che in alcuni casi creano nuovi mercati dalle potenzialità esponenziali. A tal fine diventa di fondamentale importanza un adeguamento immediato del quadro normativo, burocratico ed operativo nel nostro Paese ed una apertura privilegiata nei confronti della blockchain come leva tecnologica ormai indispensabile.
Dott. Americo De Gruttola
Bibliografia
- Regolamento UE 679/2016, art.4, co1, n.7;
- Diritto della Blockchain, Intelligenza Artificiale e IoT, Fulvio Sarzana di S.Ippolito e Massimiliano Nicotra, IPSOA – Wolters Kluwer, 2018 – pag.76,77; Così Luis- Ibanez, Kieron O’Hara and Elena Simperl – On Blockchains and the General Data Protection Regulation;
- Fabrizio Baiardi e Cosimo Comella GDPR e blockchain, tutte le sfide di un rapporto complesso | Agenda Digitale del 04.08.2021;
- Dimostrazione a conoscenza zero – Wikipedia
- Nicola Attico – Enterprise Blockchain: Legaltech e altri strumenti per professionisti ed imprese. GueriniNext (2021) pp.121,122.