Uno dei temi più dibattutiti nel settore digital degli ultimi tempi è quello delle Blockchain ma, precisamente, cosa significa questo nuovo sistema? Quale impiego può avere e, soprattutto, può essere legittimo in vista della normativa privacy introdotta con il Regolamento Europeo n. 679/2016?
Il sistema Blockchain è parte della macro tecnologia di Distributed Ledger, vale a dire piattaforme basate su un registro distribuito, consultabile e modificabile da molteplici nodi di una rete i quali, in assenza di un gestore centrale, devono raccogliere consensi in vista della modificazione degli stessi dati. Il consenso in tal senso, così come la struttura assegnata ai registri, dipendono dalle peculiarità delle differenti tecnologie Distributed Ledger.
Pertanto, possiamo sinteticamente definire il sistema Blockchain come un insieme di tecnologie nel quale mediante una catena di blocchi vengono raccolti tutti i dati inerenti a transazioni accorse fra diversi soggetti e validati mediante i consensi raccolti fra le validazioni dei medesimi intervenute a livello dei vari nodi della rete.
Pur trattandosi di uno strumento nato nel mondo delle criptovalute, è innegabile la sua enorme potenzialità e l’evoluzione che sembra destinato ad avere.
Tuttavia, per il meccanismo con il quale si formano i registri con il sistema Blockchain, numerose criticità sorgono in ordine alla sua legittimità alla luce delle direttive in materia di privacy introdotte con il Regolamento Europeo n. 679/2016.
Per cercare di capire quali sono i profili di collisione fra G.D.P.R. e sistema Blockchain è necessario, innanzitutto, focalizzare l’attenzione sul concetto di “dati personali” rilevante ai fini dell’applicabilità della disciplina europea. Quest’ultima, infatti, all’art. 4 comma II definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” precisando, altresì, come debba considerarsi identificabile “la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Di tal guisa, ecco che i principi in materia di protezione dei dati personali sanciti dalla normativa in parola non trovano applicazione al cospetto di informazioni anonime ovvero di dati personali resi sufficientemente anonimi.
Allora, se così stanno le cose allo stato della vigente disciplina, non è l’intero sistema Blockchain a porre profili di illegittimità ma solamente alcune sue implicazioni.
Infatti, la tecnologia Blockchain, come già detto in apertura del presente elaborato, consente transazioni fra le parti senza dover rivelare le identità dei soggetti coinvolti sicché, da tal punto di vista, si rientra nel novero dei dati personali resi sufficientemente anonimi che, come tali, esulano dalla normativa G.D.P.R.; il problema si determina, allora, laddove una volta conclusa la transazione questa viene pubblicata e collegata a una chiave pubblica volta a rappresentare uno pseudonimo di utente ed è proprio tale chiave pubblica che potrebbe far risalire alla identificazione degli utenti coinvolti nell’operazione di transazione. Dunque, è proprio la chiave pubblica che, una volta associata a un certo utente può dar luogo alla definizione di dato personale di cui all’art. 4 del Regolamento n. 679/2016.
Dallo slittamento fra dato anonimo e dato personale perviene la necessità, affinché possa dirsi rispettata la disciplina sulla privacy, di individuare il titolare del trattamento dei dati al quale l’interessato possa eventualmente rivolgersi per far valere i suoi diritti ma, considerando che il sistema Blockchain si basa sulla creazione di soluzioni decentralizzate atteso che le piattaforme di Blockchain e Distributed Ledger Permissioned sono progettate per essere gestite da parti diverse, tutte in grado di impattare sulla finalità dell’impiego dei dati raccolti, non pare troppo agevole poter limitare la figura del responsabile del trattamento e utilizzo dei dati personali a un solo livello.
Alla luce di tale criticità, il Parlamento Europeo ha intavolato uno studio volto a trovare una soluzione operante su tre policy precisando a chiare lettere come la compatibilità fra sistema Blockchain e normativa G.D.P.R. vada analizzata avendo riguardo ai singoli casi concreti e ponendo in evidenza ulteriori punti di frizione fra i due ambiti.
Se gli art. 16 e 17 del Regolamento UE n. 679/2016 consentono al titolare di chiedere la cancellazione o modifica dei propri dati inesatti, deve ricordarsi come il sistema Blockchain lavori su dati che una volta raccolti e archiviati sono per lo più immutabili con ulteriori tensioni per quanto concerne al diritto all’oblio dell’interessato, nonché con il principio di minimizzazione in tema di utilizzazione dei dati personali.
Le soluzioni prospettate dal Parlamento Europeo si muovono su tre direzioni.
In primo luogo, a livello istituzionale si avanza la opportunità di pervenire all’introduzione di un Regolamento interpretativo volto a offrire linee guida armoniche per tutto il sistema dell’Unione Europea che permetta di rendere applicabile i principi del G.D.P.R. al settore digital, magari con l’introduzione di linee guida a livello di European Data Protection Board.
In secondo luogo, l’attenzione del Parlamento di Strasburgo si sposta sul piano degli operatori, auspicando l’adozione di Codici di Condotta da parte degli operatori e dei sistemi di certificazione delle catene, in osservanza di quanto previsto dagli artt. 40 e 42 del G.D.P.R., settorializzati in modo tale da rispondere alle esigenze del singolo ambito di riferimento.
In ultima battuta, si profila l’esigenza di approcci di ricerca interdisciplinari per superare l’empasse nascente dai meccanismi di governance diversificati e coordinare le reti decentralizzate del sistema Blockchain.
Dal tempo di tali riflessioni, i lavori del Parlamento Europeo hanno condotto alla Risoluzione n. 2772/2017 in ordine alle “tecnologie di registro distribuito e Blockchain” nell’ambito della quale la tecnologia Blockchain è stata vagliata alla stregua di uno strumento volto a rafforzare l’autonomia dei cittadini dando loro l’opportunità di controllare i propri dati e decidere quali condividere nel registro, nonché la possibilità di scegliere chi possa vedere tali dati, così da favorire la trasparenza delle transazioni sottostanti. In tale occasione, peraltro, è stata precisata la vicinanza fra G.D.P.R. e Blockchain laddove entrambi condividono gli stessi principi ispiratori: garantire la sicurezza dei dati e restituire ai soggetti interessati l’arbitrio sui medesimi.
Ad avviso di chi scrive, però, più che un intervento risolutivo, quello del Parlamento Europeo sembra, piuttosto, un timido tentativo per mitigare le problematiche di compatibilità fra i due settori ora mettendo in luce profili di assonanza più che mai disarmonici.
Vale a dire, senza dubbio il sistema Blockchain è da incentivare e favorire nella sua evoluzione che, secondo la scrivente, non potrà che essere inesorabile e pandemica ma certo occorre che si provveda a livello legislativo a strutturare meccanismi di controllo e valutazione in merito all’utilizzo dei dati raccolti da rivolgere, in primo luogo, al fornitore delle risorse di elaborazione e archiviazione e poi da estendere anche ai vari sistemi delocalizzati che impattano sul trattamento e utilizzo dei dati così raccolti; solo così potrà esservi armonia fra Blockchain e G.D.P.R., non certo volendo paventare assonanze inesistenti.
