Premessa
Chiunque si sia dedicato alla lettura di testi relativi alla tecnologia blockchain, avrà sicuramente notato come questa infrastruttura incontra molteplici casi d’uso, in diversi settori.
Dal FinTech al Manufacturing, nel B2B e nel B2C, laddove vi sia esigenza di ottenere l’immutabilità delle informazioni, che si traduce nella certezza delle transazioni, la blockchain conferisce all’informazione una forte garanzia alternativa, rispetto ai singoli centri di potere che si sono formati spontaneamente o che sono stati incaricati normativamente di effettuare il controllo della legittimità delle operazioni.
Il meccanismo di Timestamp, la marca temporale che attesta l’inalterabilità, contribuisce a far sì che diventi un’infrastruttura alternativa e sicura, in quanto l’informazione è anche decentralizzata e criptata. Per questi motivi difficile da distruggere, alterare e condividere al di fuori della rete.
Il contesto normativo
In relazione alla normativa sulla protezione dei dati personali (GDPR – Regolamento n. 679/2016), questo tipo di tecnologia è stata a più riprese oggetto di un’analisi puntuale.
Del resto, la Commissione Nationale d’Informatique e Libertes, nota come CNIL, già nel 2018, ha analizzato se e come gli adempimenti imposti dal Regolamento (UE) possono essere attuati o violati nel contesto di una blockchain.
La blockchain, quando è sia scopo che mezzo, deve rispettare i framework normativi e l’eventuale gap con essi che non può e, soprattutto, non deve essere trascurato.
Il punto ad oggi in ambito privacy
Per comprendere come la blockchain possa cambiare drasticamente non solo l’esercizio, ma anche l’esistenza stessa di un diritto in ambito data protection, è necessario immaginare il lifecycle che attualmente compie il nostro dato personale, ad esempio il nostro nome e cognome, che circola normalmente tra più Titolari e tra catene di Responsabili, i quali lo comunicano ad altrettanti Sub responsabili.
Questi trasferimenti avvengono tra autorizzazioni e divieti al trattamento, legati a presupposti concernenti la tipologia del dato, la categoria dell’interessato e l’individuazione delle finalità del trattamento.
Non solo, il trattamento avviene nei confini europei e al di fuori di essi, dove ad essere valutata è l’adeguatezza della normativa dello Stato di destinazione del dato rispetto alla tutela della privacy. Ricordiamoci che il nostro dato viaggia per mezzo dei nostri consensi e dinieghi al singolo trattamento.
Ne consegue che, dietro una richiesta di accesso da parte di un Interessato, si cela una complessità organizzativa che comporta un forte impatto sul processo di predisposizione della risposta da parte del Titolare.
Attualmente, accade che l’Interessato, quando esercita il diritto di accesso (art. 15 par. 1 GDPR), si rivolge al Titolare per avere la conferma se sia in corso o meno un trattamento di dati personali che lo riguardano e l’indicazione di chi siano destinatari a cui gli stessi sono comunicati. Tale richiesta, seppur tutelata dalla norma con una logica assolutamente garantista, attiva nel Titolare un farraginoso processo interno ed esterno, che coinvolge vari uffici al fine di rintracciare l’iter percorso da quel nome e cognome.
Blockchain come strumento privacy by design: gli ostacoli e i vantaggi
La blockchain stessa è di per sé una soluzione al problema esposto. Il nostro dato ben potrebbe essere immesso e circolare in un’infrastruttura blockchain in forma ctiptata.
Il vantaggio sarebbe quello di poter verificare in ogni momento dove sia collocato, chi lo possiede e le transazioni successive che si verificano sullo stesso.
Non solo, per mezzo dell’applicazione di smart contracts, è possibile prevedere le condizioni di autorizzazione o diniego al trattamento dello stesso.
Le obiezioni verso l’utilizzo di questa tecnologia, sollevate da autorità europee, ricercatori e studiosi della materia, sono che la blockchain, per la sua stessa natura, non consente l’esercizio del diritto di rettifica e di cancellazione del dato (artt. 16 e 17 GDPR).
Se, da un lato, l’obiezione concernente il diritto di cancellazione potrebbe avere una risposta per mezzo dell’eliminazione dell’algoritmo di decriptazione del dato, che renderebbe difficoltosa ed economicamente gravosa l’alterazione del dato, dall’altro, quella relativa al diritto di rettifica potrebbe essere superata mediante una sovrascrittura nella rete.
Tali soluzioni sarebbero fattibili soltanto nel modello permissioned, in quanto andrebbe a creare un ambiente rivolto al Titolare e non un ambiente datocentrico. Così facendo verrebbero coinvolti meno soggetti, ovvero coloro che sono coinvolti direttamente con il Titolare e non tutti i soggetti legati al dato dell’interessato.
Va evidenziato come l’applicazione della blockchain incontri meno resistenze normative nella gestione dei Cookies, dove le regole possono essere predefinite e l’esercizio del diritto di rettifica, per quanto concerne i dati di navigazione, non ha significativi sviluppi applicativi. In tale contesto, la catena degli attori coinvolti nel trattamento, elencata al paragrafo che precede, è la stessa.
Nella gestione dei Cookies e quindi, del passaggio dell’informazione, la blockchain sarebbe uno strumento posto, da un lato, a garanzia della legittima circolazione dei dati per mezzo di Smart Contracts in cui sono stabilite le tipologie del Cookies, ovvero la classificazione e le autorizzazioni e, dall’altro, di controllo da parte dell’Interessato della liceità del percorso dei propri dati di navigazione.
Tale soluzione risponde a problematiche su cui ad oggi vi sono molteplici interventi normativi, che impongono che sia rivolta maggiore attenzione agli aspetti di compliance relativi al trattamento dei dati e al trasferimento degli stessi verso paesi terzi. Si ricordi il provvedimento Linee guida Cookies del Garante Italiano per la protezione dei dati personali del 10 giugno 2021 e il provvedimento del 22 dicembre 2021 dell’Autorità garante austriaca, che sanziona l’utilizzo di google analytics.
Conclusione
Nonostante esistano molteplici soluzioni tecnologiche per ottemperare agli adempimenti formali previsti dalla normativa europea sulla protezione dei dati personali, solo poche di esse forniscano un contributo sostanziale nell’implementazione della normativa. La blockchain è uno strumento che può operare a supporto del Titolare e dell’Interessato nel processo di attuazione del principio di privacy by design e by default.
Per questo motivo deve essere oggetto di studio e approfondimento costante, al fine di aggiornare il punto d’incontro tra il processo di sviluppo tecnologico e il contesto normativo.