Difficile rapporto tra GDPR e tecnologia blockchain

a cura di Dott. Federico Lione e Selene Borletto

La tecnologia blockchain viene spesso ricondotta al paper “ Bitcoin: “A Peer-To-Peer Electronic Cash System”, pubblicato sotto lo pseudonimo Satoshi Nakamoto, che ha teorizzato un sistema, ad oggi il più diffuso, di pagamento trustless. La tecnologia blockchain può considerarsi come un database distribuito rientrante nelle Distributed Ledger Tecnology . Queste, registrano le transazioni avvenute sulla rete eliminando le terze parti “fidate”, ossia coloro che svolgono la funzione di validatori delle transazioni: permettono, cioè, il pagamento tra persone tra loro distanti facendo a meno di un ente centrale, ma garantendo comunque la sicurezza dei movimenti.

L’entrata in vigore del Regolamento UE n.679/2016 (“GDPR”) relativo alla protezione dei dati personali, avvenuta il 25 maggio 2018, ha sollevato alcuni dubbi circa l’applicabilità dello stesso alla tecnologia blockchain, caratterizzata da decentralizzazione e persistenza dei dati registrati, caratteristiche che sembrano in contrapposizione con alcuni principi del GDPR.

Questi dubbi riguardano principalmente il fatto che il GDPR nasce con il fine di disciplinare i cosiddetti data silos ovvero i casi di trattamento centralizzato di dati personali, mentre la tecnologia blockchain si basa fondamentalmente sulla decentralizzazione e distribuzione delle operazioni di computo su un network.

Dati personali

L’art. 4 del Regolamento UE n.679/2016, definisce dati personali: ”qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente”.

La tecnologia blockchain utilizza una serie di dati che rientrerebbero in questa definizione.
Possono essere inseriti, anche se rappresentano un utilizzo anomalo della blockchain, documenti contenenti dati personali ed è, inoltre, possibile che siano registrate informazioni cifrate. Il file contenente i dati personali rimane off chain, mentre l’informazione cifrata viene registrata sulla blockchain (rendendo tracciabile la transazione).
Soprattutto, poi, le blockchain agiscono tramite l’utilizzo di chiavi asimmetriche da parte degli utenti: chi partecipa al network non conosce la chiave privata degli altri interlocutori, ma solamente la chiave pubblica che attraverso il Public Key Hash definisce gli identificativi dei destinatari delle transazioni.
Nel primo caso sicuramente si rientra nella fattispecie del trattamento dati personali come delineato dal GDPR. Negli altri due casi la questione è più complessa.

Anonimizzazione e pseudonimizzazione

E’ lo stesso GDPR nel Considerando n. 26 a chiarire che la disciplina in esso contenuta non si applicherebbe alle informazioni anonime, ovvero quelle che “ non si riferiscono a una persona identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire . l’identificazione dell’interessato”.
Se la tecnologia blockchain utilizzasse la tecnica dell’anonimizzazione ovvero trattasse il dato, modificandolo, in modo tale da impedire di risalire alla persona fisica, semplicemente esulerebbe dall’area di competenza del GDPR.
Diversa però è la tecnica di pseudonomizzazione, definita dal Regolamento come “il trattamento di dati personali in modo tale che (…) non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.” (art. 4, comma1, n.5).

La pseudonimizzazione consiste, quindi, nel sostituire un dato con un altro che non ne permetta la diretta identificazione e mantenendo separato il collegamento tra i due.

La tecnica di Hash utilizzata dalle blockchain segue questo schema (come indicato dal Working Party 29) e ciò renderebbe ad esse applicabile il GDPR. A questa conclusione perviene anche la Risoluzione del Parlamento UE P8_TA-PROV(2018)0373.
Quindi, per la potenziale riconducibilità di determinate informazioni presenti nelle blockchain a persone fisiche sembra possibile ritenere applicabile il GDPR, considerando le stesse come dati pseudonimizzati.

Le potrebbe interessare anche:” Bitcoin e Blockchain: democrazia valutaria algoritmica o colonizzazione dei margini dell’attività umana?”

Problemi di applicabilità alle blockchain permissionless

Il GDPR distingue, attribuendo diritti e obblighi specifici, tra soggetti Titolari del Trattamento che determinano “le finalità e i mezzi del trattamento dei dati personali”, Responsabili del Trattamento che trattano i dati per conto del Titolare, eventuali “destinatari” cui sono comunicati i dati ed, infine, soggetti “terzi” che non rientrano in alcuna delle suddette categorie.

Per valutare l’applicabilità del Regolamento alle blockchain è utile ricercare tali categorie nella struttura della tecnologia e qui, è necessario diversificare tra blockchain chiusa o aperta.

Nel caso di blockchain chiusa o permissioned che può riguardare l’ipotesi del soggetto (persona fisica o ente) che partecipa ad un consorzio che gestisce una blockchain chiusa o il caso di un consorzio che offre determinati servizi ai suoi utenti finali registrando i dati sulla blockchain chiusa, si ritiene si possa configurare una contitolarità del trattamento in modo da identificare i ruoli e le responsabilità che gli stessi comportano, nel rispetto del GDPR.
L’individuazione di ruoli è più complessa nei casi di blockchain permisssionless, come Bitcoin o Ehereum caratterizzate dal fatto di essere decentralizzate e aperte: non esiste, in questi casi, un’autorità che concede l’autorizzazione.

Sono state prospettate alcune soluzioni (ad esempio considerare ciascun nodo della Blockchain come titolare del trattamento), ma ciascuna offre il fianco a complicazioni.
A queste considerazioni si aggiungono anche le problematiche di applicazione dei principi individuati dal GDPR, quali la liceità del trattamento secondo un’opportuna base giuridica, gli obblighi in materia di sicurezza, la disciplina del trasferimento dei dati all’estero (essendo la natura di questi network quella di assumere dimensioni internazionali), nonché le questioni relativa al diritto di ottenere la rettifica o la cancellazione dei dati inesatti che mal si concilia con il carattere tecnico di potenziale immutabilità dei dati all’interno delle blockchain, con conseguenze anche sul diritto all’oblio.

In conclusione

La norma regolamentare non sembra essere idonea a regolare in toto questa nuova tecnologia.
A riguardo si richiama il report “Blockchain Innovation Europe” del 21 agosto 2018 redatto dall’“European Union Blockchain Observatory and Forum” che sottolinea come la tecnologia blockchain sia in realtà ancora immatura e che probabilmente, evolvendo, sarà più semplice conciliarla con quanto previsto dal Regolamento. Sono in elaborazione, infatti, nuove tecniche finalizzate ad una maggiore protezione dei dati personali che eliminano la possibilità di risalire al singolo.

Questo dovrebbe persuadere il legislatore a far operare tutte le eccezioni previste dal GDPR in modo da evitare che un’interpretazione troppo restrittiva possa comportare un freno all’innovazione.

Volume consigliato

F. Sarzana di S. Ippolito, M. Nicotra, Diritto della Blockchain, intelligenza artificiale e IoT.  Wolters Kluwers S.r.l, Milano , 2018.

Dott. Lione Federico

Scrivi un commento

Accedi per poter inserire un commento