BLOCKCHAIN E PROTEZIONE DEI DATI PERSONALI GDPR
di Alberto M. Gambino, Chantal Bomprezzi[1]
-
Introduzione.
L’avvento di Internet ha reso il tema della data protection sempre più delicato. Se è vero che tramite il web è divenuto più semplice connettersi con chiunque, anche a distanza, dall’altro lato ciò ha determinato una circolazione più massiccia dei dati personali, spesso trattati ben oltre le finalità del trattamento, nell’inconsapevolezza degli utenti, per svolgere attività di profilazione.
In tale scenario, è evidente che Internet abbia perso il suo originale scopo: anziché creare uno spazio decentralizzato e libero dalle istituzioni tradizionali e dalla loro sovranità, che assicurasse uguaglianza e libertà espressiva, lo stesso ha attirato nuove forme di accentramento del potere.
Per tale ragione, sia sul versante legale che su quello tecnologico si è cercato di elaborare degli strumenti volti a reinvertire la rotta, in favore di un rinnovato controllo dei soggetti sui propri dati personali.
Il nuovo Regolamento europeo sulla protezione dei dati personali, o GDPR (Reg. UE 2016/679) si inserisce in questo percorso, ponendosi come obiettivo cardine quello di garantire “un elevato livello di protezione dei dati personali”: da una parte, attraverso una maggiore responsabilizzazione dei soggetti attivi del trattamento (si pensi ai principi di Accountability o di Data Protection by Design), in un’ottica di prevenzione dei rischi; dall’altra, fornendo agli interessati degli strumenti atti ad innalzare il livello di consapevolezza sull’uso dei propri dati, o potenziando quelli esistenti (quali il diritto di accesso), anche alla luce del principio di trasparenza.
In questo contesto, la blockchain, per le sue caratteristiche, potrebbe rappresentare un’opportunità per la protezione dei dati degli utenti. Nella Dichiarazione istitutiva della Blockchain Partnership Europea, siglata da numerosi Stati Membri per cooperare sugli sviluppi futuri in materia adottando approcci, metodi ed iniziative condivise, si afferma che i servizi blockchain-based aiuteranno a preservare l’integrità dei dati e garantiranno una migliore gestione dei dati medesimi da parte dei cittadini e delle organizzazioni che interagiscono con le pubbliche amministrazioni.
Il Parlamento europeo, in una Risoluzione del 3 ottobre 2018 ha dichiarato che la blockchain “può costituire uno strumento che rafforza l’autonomia dei cittadini dando loro l’opportunità di controllare i propri dati e decidere quali condividere nel registro, nonché la capacità di scegliere chi possa vedere tali dati”.
D’altro canto, sono stati posti in evidenza anche degli elementi di frizione con il GDPR.
In primo luogo, con i principi di Accountability, Data Protection by Design e minimizzazione dei dati. Al contrario di una tradizionale applicazione web, i cui dati sono conservati in un server centrale, in blockchain le informazioni sono distribuite nel network.
Quindi, mentre normalmente queste ultime sono accedute solo dalle parti del rapporto e da un terzo intermediario, la trasparenza della blockchain le rende accessibili ad un più vasto numero di soggetti. Se, dunque, natura distribuita e trasparenza possono fungere da elementi positivi per la tutela dei dati degli utenti, dall’altra ne possono divenire una minaccia.
Più precisamente, la replica dei dati nelle varie copie della blockchain, scaricate nei server dei nodi estranei alle finalità per cui i medesimi sono stati condivisi: confligge con il principio di minimizzazione dei dati, per cui si richiede che essi siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”; rende più complesso per gli interessati esercitare un adeguato controllo sui propri dati.
Ne deriva una tensione anche con i principi di Data Protection by Design e Accountability. Non vale nemmeno l’obiezione per cui i dati personali non appaiono in chiaro, poiché esistono numerose tecniche per risalire al dato. Pertanto, non si può discorrere di anonimato (come tale sottratto alla disciplina in materia), ma di pseudoanonimato.
In secondo luogo, pare complessa l’individuazione del titolare del trattamento, a mente del carattere distribuito, di disintermediazione e di pseudoanonimato dei partecipanti di blockchain. Infatti, non è dato individuare un’entità deputata a governare il sistema e ad assumere decisioni strategiche.
I nodi sono uguali tra loro, senza limitazioni d’accesso, senza preidentificazione, senza predeterminazione a monte degli usi (e quindi delle finalità) per cui la blockchain è stata concepita. Ciò impedirebbe all’interessato di individuare il soggetto deputato al rispetto dei suoi diritti e dei principi del GDPR.
Tra i diritti, molto discusso è il diritto alla cancellazione, posto che i dati inseriti in blockchain non sarebbero eliminabili né modificabili.
Per la medesima ragione, difficoltoso sarebbe l’esercizio del diritto di rettifica, o la compatibilità con il principio di limitazione della conservazione.
Da ultimo, pseudoanonimato degli utenti e replica incontrollata dei dati pongono ostacoli anche nell’applicazione delle norme in cui è indispensabile verificare identità e ubicazione dei soggetti trattanti, quali quelle sull’ambito di applicazione territoriale o sul trasferimento dei dati personali.
A riguardo, è stato evidenziato che tali problematiche non concernerebbero qualsiasi tipologia di blockchain, ma in particolare quelle cosiddette “permissionless”.
Nelle blockchain permissionless (come ad esempio Bitcoin), ciascuno può entrare a far parte del network, ed ogni computer può fungere da nodo; pertanto, il network può crescere a dismisura, e conseguentemente il meccanismo del consenso rende questo tipo di blockchain immutabili, essendo praticamente impossibile (perché richiederebbe un’enorme potenza computazionale e l’accordo tra il 50% più uno dei nodi) qualsiasi forma di modifica.
Infine, ogni utente può visualizzare l’intera blockchain, per cui il grado di trasparenza è massimo. A queste si contrappongono le blockchain permissioned, caratterizzate da una maggiore centralizzazione, perché un’entità centrale ha l’autorità di determinare chi può accedervi, dietro preidentificazione.
Il fatto che le identità che si celano dietro i nodi siano conosciute e che gli accessi siano controllati diminuisce il livello di immutabilità, visto che in astratto il raggiungimento della maggioranza necessaria per apportare cambiamenti è più semplice. Anche la trasparenza può essere diminuita, potendo escludere determinati nodi dalla visione integrale della blockchain.
Nelle blockchain permissionless si ritiene che il rischio non risieda tanto nella distribuzione dei dati personali in molteplici copie, quanto nel fatto che tali copie siano rinvenibili in nodi detenuti da soggetti sconosciuti.
Tali dati personali potrebbero essere trattati in modo indiscriminato, ben oltre le finalità legittime di trattamento. Invece, nelle blockchain permissioned, il soggetto o i soggetti che stabiliscono i criteri di selezione negli accessi e il grado di trasparenza della blockchain sono in grado di monitorare i nodi e le loro attività. Si potrebbe affermare, dunque, che ai medesimi spetti il ruolo di titolari (contitolari in caso di più soggetti, come ad esempio un consorzio).
Inoltre, alcune soluzioni potrebbero essere rinvenute nella tecnica. Ad esempio, si stanno sviluppando delle modalità che garantirebbero un completo anonimato dei dati personali, rendendo la blockchain più sicura.
Oppure, sono al vaglio dei meccanismi per ovviare all’immutabilità di blockchain. In alternativa, alcune risposte possono essere rinvenute mediante l’interpretazione delle norme, quale il significato da attribuire al termine cancellazione, se da intendersi come distruzione fisica del dato o, piuttosto, come inaccessibilità dello stesso.
Ad ogni modo, le possibili ripercussioni negative sulla protezione dei dati personali non dovrebbero implicare un totale rifiuto della blockchain. Gli investimenti in applicazioni blockchain stanno crescendo in maniera esponenziale, con ingenti finanziamenti anche da parte dell’Unione europea. Inoltre, l’innovazione tecnologica rientra tra gli obiettivi dell’Unione europea al pari della protezione dei dati personali, per favorire la crescita economica e creare occupazione.
Come affermato dal Garante europeo della protezione dei dati nel Report annuale per l’anno 2017, e ribadito nel 2018, occorrerebbe monitorare le nuove tecnologie, traendo da queste i maggiori benefici senza rinunciare ad un’opportuna regolamentazione.
In altri termini, si dovrebbe puntare a sviluppare delle soluzioni blockchain che siano privacy-friendly, lavorando a più livelli, dal lato tecnologico così come da quello legale.
[1] Alberto M. Gambino
è Avvocato (www.studiogambinogdpr.it) e Professore Ordinario di Diritto Privato nell’Università Europea di Roma.
Chantal Bomprezzi
è dottoranda in Law, Science and Technology presso l’Università Alma Mater Studiorum di Bologna e Fellow dell’Italian Academy of the Internet Code (IAIC).