Leggi qui l’articolo integrale su Diritto e Giustizia
Il Considerando (6) del Regolamento Generale UE 27 Aprile 2016, n. 679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali (di seguito, per brevità, “GDPR”) menziona la rapidità dell’evoluzione tecnologica e la globalizzazione …. la tecnologia attuale che consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali come mai in precedenza nello svolgimento delle loro attività come le nuove sfide per la protezione dei dati personali. Inoltre, sempre in tale Considerando, il Legislatore europeo amplia la prospettiva verso il futuro: la tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.
Come leggere tutto ciò alla luce della rapida diffusione della tecnologia blockchain, soprattutto in rapporto alla necessaria conformità di tale tecnologia al nuovo quadro legale europeo sulla data protection introdotto dal GDPR?
La risposta non è di facile formulazione, soprattutto perché per le sue peculiari caratteristiche, l’ambiente operativo e le modalità di trattamento di dati personali sottese, non è semplice far rientrare i paradigmi operativi della tecnologia Blockchain nel paradigma generale di tutela e protezione dei dati del GDPR. Anzi, ad un non approfondito esame, la tecnologia Blockchain intesa come registri distribuiti e database decentralizzati sembrerebbe addirittura depotenziare le tutele poste dal GDPR (che va ricordato è stato scritto nel 2012, quando la tecnologia blockchain era solo agli albori e di cui certamente dovrà tenere conto la Commissione UE quando procederà alla prima revisione del Regolamento il 25 Maggio 2020). E’ difatti proprio la decentralizzazione dei trattamenti (un po’ come accade con la tecnologia di cloud storage) e la molteplicità di attori che intervengono a sradicare una sorta di linearità dei flussi di comunicazione dei dati personali (dal Titolare del trattamento verso gli interessati persone fisiche cui si riferiscono i dati, e viceversa) che nel GDPR è appunto paradigmatica. Tuttavia, non va nemmeno commesso l’errore – al contrario – di ritenere la protezione dei dati e dei diritti delle persone fisiche la prospettiva esclusiva e assorbente del GDPR: esso – difatti – pone sullo stesso piano della tutela effettiva degli interessati la promozione e il supporto alla libera circolazione dei dati nel mercato digitale e globalizzato (entro il 2025 almeno il 10% del PIL del mondo sarà prodotto da attività e servizi che saranno erogati e distribuiti attraverso le tecnologie Blockchain).
Quali sono dunque le sfide che la tecnologia Blockchain pone al GDPR?
Intanto, una prima distinzione va fatta tra reti Blockchain pubbliche (su cui si basa per esempio la circolazione delle criptovalute bitcoin ed ethereum) e private: soprattutto per quelle di natura pubblica (public permissionless blockchain networks, che ad oggi rappresentano l’80% dell’intero panorama Blockchain) è nella pratica più difficile interpretare gli obblighi ed applicare i dettami del GDPR. Nel caso di consorzi o società o agenzie governative che gestiscono reti Blockchain private permissioned sarà invece più semplice applicare alla lettera il GDPR rispetto alle reti pubbliche permissionless. Infatti tali consorzi, società, etc saranno in una posizione tale da poter più facilmente definire i ruoli privacy, i trattamenti e imporre le istruzioni a tutti i partecipanti, applicare i principi di privacy-by-design, etc. Nel caso delle public permissionless blockchain networks è proprio la loro natura di radicale decentralizzazione e distribuzione dei trattamenti che rappresenta la sfida maggiore alla conformità al GDPR.
In secondo luogo, tra le varie criticità che la tecnologia Blockchain pone nell’ottica GDPR, si possono richiamare le seguenti:
- l’identificazione e la chiara applicazione degli obblighi che il GDPR pone in capo a Titolari e Responsabili del trattamento;
- la pseudonimizzazione e l’anonimizzazione dei dati personali;
- il rispetto dei principi generali del trattamento fissati dall’articolo 5 del GDPR (es: «liceità, correttezza e trasparenza», «minimizzazione dei dati», «limitazione della conservazione», etc);
- la piena ed efficace possibilità per gli interessati di esercitare effettivamente i propri diritti privacy.
Con riferimento alla prima criticità (identificazione chiara di Titolare – o Titolari o Contitolari – e Responsabile del trattamento), va evidenziato come in ambito Blockchain possono darsi situazioni e contesti assai diversi tra loro; in alcuni casi il Titolare o il Responsabile possono essere facilmente individuati e ad essi possono imputarsi gli obblighi normativi previsti in materia di trattamento dei dati. Ad esempio, nel recente documento presentato dal Garante privacy francese (CNIL) contenente alcune prime linee guida su Blockchain e GDPR (il titolo del documento – rilasciato lo scorso Settembre 2018 – è “Blockchain: primi elementi di analisi”), la CNIL evidenzia che in ambito Blockchain i partecipanti – che hanno il potere di scrittura sulla catena di blocchi e quello di sottomettere le informazioni alla validazione dei miners – sono dei Titolari del trattamento ai sensi dell’art. 4, n. (7) del GDPR («titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”). Ciò in quanto tali partecipanti, appunto, prendono le decisioni sulle finalità e sui mezzi impiegati (dal formato dei dati alla tecnologia Blockchain) nel trattamento. Ad esempio, un Notaio che iscrive un atto di proprietà di un suo cliente in una Blockchain è il titolare di tale trattamento, come lo è una banca che vi iscrive i dati dei clienti.
Tuttavia, non tutti gli attori che interagiscono in ambito Blockchain sono considerati dal Garante francese come titolari del trattamento: non lo sono – ad esempio – i miners (che si limitano alla validazione delle transazioni sul cui oggetto non hanno potere di intervento nè potere decisionale in ordine alle finalità del trattamento: anzi la CNIL li qualifica in certi casi come Responsabili del trattamento che eseguono le istruzioni del Titolare-partecipante alla Blockchain) o le persone fisiche che scrivono dati personali nella catena Blockchain per fini esclusivamente personali ai sensi della esclusione di applicabilità del GDPR prevista dall’art. 2, comma 2, lettera (c) del GDPR (“trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”). Per esempio, non è un titolare del trattamento una persona che procede per proprio conto alla vendita di bitcoin (mentre tale persona fisica sarà un titolare se procede a transazioni nell’ambito della sua attività professionale o commerciale per conto di altre persone fisiche).
Tuttavia – al di là di schemi proposti dalla CNIL – vi possono essere anche circostanze in cui è in pratica quasi impossibile identificare un titolare del trattamento: si pensi quando le transazioni Blockchain sono scritte dagli stessi soggetti cui si riferiscono i dati personali. O – ancora una volta – si pensi alle public permissionless blockchain networks: queste ultime si fondano su un modello che sostituisce il tradizionale modello relazionale Titolare/interessato (o fornitore/cliente) con un modello basato su un trattamento collettivo e distribuito attraverso protocolli condivisi, nell’ambito del quale identificare un Titolare del trattamento (come richiesto dal GDPR) è praticamente quasi impossibile (e comunque oggetto di dibattito ancora aperto, rispetto al quale non vi sono ancora indicazioni emanate dalle Corti o dai Garanti privacy europei riuniti nel Comitato Europeo per la Protezione dei dati personali).
In ogni caso, nell’ambito del dibattito che si sta sviluppando sulla titolarità del trattamento ai sensi del GDPR in questi casi, è possibile riassumere le posizioni dei vari contributi proposti, come segue:
- per alcuni sarebbe auspicabile non considerare titolari del trattamento colori i quali attivano un protocollo Blockchain sui propri PC onde agire quali nodi di validazione o nodi di partecipanti nell’ambito di public permissionless blockchain networks; altri invece sostengono esattamente il contrario: il download di software, nodi, etc li pone quali titolari del trattamento che perseguono tali specifiche finalità;
- con riferimento agli utenti di rete che siglano e trasmettono transazioni mediante i nodi e registri di una rete Blockchain, essi saranno considerati Titolari del trattamento se tali attività si inquadrano in quelle professionali e/o commerciali svolte (inclusa la fornitura di software o servizi che consentono la pubblicazione dei dati personali su una Blockchain); in caso di persone fisiche che per proprio uso esclusivamente personale e non connesso at attività commerciali o professionali eventualmente svolte, essi saranno esclusi – come anche evidenziato dal CNIL nelle sue linee guida sopra citate – dall’applicabilità del GDPR ai relativi trattamenti;
- per quanto riguarda i redattori di smart contract (o “contratto intelligente”, essenzialmente un software che esegue le condizioni postulate precedentemente dagli sviluppatori quando si verificano, o meglio, un contratto tradizionale i cui effetti sono garantiti da un codice, un algoritmo che garantisce che al verificarsi di alcune condizioni poste in precedenza inevitabilmente si spieghino gli effetti concordati previamente dalle parti) c’è ancora forte incertezza se rispetto allo smart contract sia titolare del trattamento il publisher o l’utilizzatore finale che lo invoca o se lo siano entrambi.