Blockchain e GDPR, prove di dialogo tra due trending topic del momento

Negli ultimi mesi, una sempre maggiore curiosità è sorta intorno alla tecnologia blockchain; parallelamente, ha suscitato un altissimo interesse la ormai prossima entrata in vigore del  Regolamento Europeo 679/2016 (in seguito: GDPR). Le considerazioni che seguono vogliono quindi offrire alcuni spunti di riflessione ed indagine sulla relazione tra la detta tecnologia, le sue applicazioni ed i requisiti previsti dalla novella legislativa.

Il Regolamento 679/2016 nasce con l’intento di salvaguardare l’individuo rispetto all’avanzare della tecnologia e dello sfruttamento dei big data. In generale, la centralità dell’interessato e della protezione del dato personale si evince dal chiaro potenziamento dei diritti in capo a quest’ultimo, dall’introduzione – finalmente codificata – del c.d. “diritto all’oblio”, nonché dalla previsione di nuove disposizioni (e sanzioni) a tutela dei diritti alla trasparenza e chiarezza, su cui si innestano, in particolare, le disposizioni ex artt. 13 e 14 del Regolamento. Il tutto è ispirato al principio di accountability, che ruota intorno alla responsabilizzazione del Titolare del trattamento dati e all’introduzione di una nuova figura di sorveglianza, il c.d. Data Protection Officer.

Ma quanto della tecnologia blockchain risponde alle logiche della GDPR?

Il primo scoglio, forse il più intuitivo, in cui ci si imbatte, riguarda la differente distribuzione del peso nel controllo dei dati. Mentre la GDPR si allinea ad un archetipo ancora fortemente centralizzato, il concetto di Distributed Ledger, costruito attorno ad una logica di governance orizzontale e paritaria rispetto a ciascun nodo, liberamente accessibile a chiunque, sembra scardinare l’idea stessa di controllo.

In effetti, ad oggi, il problema sembrerebbe risultare parzialmente circoscritto, in parte per il fatto che attualmente lo sviluppo di questa tecnologia è ancora piuttosto limitato, in parte perché la DLT (Distributed Ledger Technology), nei suoi più recenti utilizzi, si sta orientando su un modello ibrido che meglio si adatta alle applicazioni aziendali, e cioè quello della permissioned blockchain (o blockchain privata).

Tale tipologia si discosta da quella “classica”, acquisita nell’odierno immaginario collettivo, proprio perché, seppur strutturata sempre su una logica distribuita, limita l’accesso ad un numero di soggetti determinati. Questi ultimi condividono rigorose norme e principi, codificati in quella che potremmo chiamare la governance della blockchain, e svolgono, tra le altre, anche le attività di controllo.

In questo senso, quindi, non solo si potrebbe individuare un “proprietario” della blockchain privata, adeguato a ricoprire il ruolo del Titolare del Trattamento ma, anzi, sembrerebbe altresì possibile sfruttare proprio una delle novità del Regolamento 679/2016, disciplinata dall’art. 26. La norma disciplina per la prima volta la contitolarità del trattamento, imponendo ai titolari di definire specificamente i rispettivi ambiti di responsabilità ed i compiti inerenti all’esercizio dei diritti degli interessati. Nelle blockchain chiuse, dunque, potrebbero essere indicati più titolari del trattamento senza per questo deviare lo scopo di tutela principale della GDPR.

Inoltre, come notato da alcuni commentatori, sia nel caso di blockchain private, sia nel caso di blockchain “pure”, aperte, si potrebbe delineare una concreta applicazione del concetto di Privacy by Design, tale da condurre ad un correttivo rispetto alle storture dell’applicazione della GDPR a questa innovativa tecnologia, in particolare con riferimento proprio a quelle delicate ipotesi in cui, al momento, un vero Titolare o un DPO non possano identificarsi con immediatezza.

Peraltro, se si riporta alla mente il meccanismo di protezione proprio della blockchain, appare non impossibile l’allineamento degli scopi perseguiti dal Regolamento, ossia la protezione dei dati e la protezione degli utenti, nonostante la mancanza del responsabile (inteso in senso ampio) del trattamento dei dati.

Nella blockchain, la sicurezza dei dati archiviati avviene attraverso il ricorso alle chiavi pubbliche di mittente e destinatario della transazione, con l’hash crittografico monodirezionale del contenuto della transazione ed il timestamp, cioè il marcatore temporale con data e ora dell’operazione svolta. Poiché ad ogni operazione corrisponde una chiave privata differente per ciascun soggetto, sembrerebbe che l’unica possibilità di ricollegare un’identità conosciuta sia quella rimessa unicamente soggetto interessato. Questi sarà quindi il solo a poter mappare e collegare le transazioni fatte associando la propria identità alla chiave pubblica in suo possesso.

Inoltre, l’assenza di diretta identificabilità del soggetto e l’adozione delle ulteriori misure di sicurezza, richiamano il nuovo strumento previsto dal Regolamento per la tutela dei dati personali, la pseudonimizzazione, di cui, oltre alla definizione data all’art. 4, parlano i considerando 26, 28 e 29. La GDPR auspica l’utilizzo di tale strumento, inteso come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”, al fine di conciliare l’asset dei big data con la protezione dell’individuo.

In questo senso, quindi, sembrerebbe possibile conciliare la natura pubblica e decentrata della blockchain con lo spirito del Regolamento, in quanto l’impianto stesso permette di garantire la sicurezza del dato e dell’individuo. In altri termini, e forse forzando un po’ il concetto, potrebbe addirittura dirsi che la tecnologia blockchain, così come strutturata, rappresenti essa stessa l’accentramento delle funzioni proprie delle figure previste dalla GDPR, senza rinunciare all’organizzazione decentrata che la caratterizza.

Lo spunto di riflessione offerto, chiaramente, non è scevro dalla necessità di raffinature, anche e soprattutto con riferimento agli aspetti diretti nei casi di patologia e risarcibilità del danno, ma potrebbe rivelarsi comunque un’interessante chiave di lettura.

Altro aspetto di particolare interesse rispetto ai temi di riflessione qui proposti può identificarsi con quello che è – almeno in apparenza – un altro scontro tra titani. Infatti, il binomio “accentramento – decentramento” di cui si è finora discorso, è seguito da quello diverso “diritto all’oblio – immutabilità dei dati archiviati in blockchain”.

Come noto, l’Art. 17 del Regolamento codifica per la prima volta il diritto alla cancellazione dei dati dell’interessato; di contro, una delle caratteristiche maggiormente annunciate, e positivamente accolte, della tecnologia blockchain è proprio quella della sua sicurezza in termini di non modificabilità.

Alcuni commentatori, al fine di conciliare questa discrepanza, hanno fatto leva sull’interpretazione del paragrafo 2 dell’art. 17 del Regolamento, suggerendo un’interpretazione ampia di diritto di cancellazione. Questo, infatti recita: “Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”. Tale orientamento si basa sulla valorizzazione dell’inciso “tenendo conto della tecnologia disponibile e dei costi di attuazione”,  immaginando quindi un’interpretazione estensiva che possa portare non tanto alla definitiva cancellazione, stante i limiti tecnici della blockchain, quanto a metodi alternativi e più confacenti a detta tecnologia: il riferimento è, ancora una volta, alla crittografia ed al binomio chiave privata e chiave pubblica. Infatti, alcuni hanno suggerito che l’eliminazione della chiave privata potrebbe equivalere alla cancellazione ai fini della GDPR: i dati crittografati continuerebbero ad esistere sulla catena, ma sarebbero non più accessibili o comunque accessibili esclusivamente all’interessato.

In realtà, l’asprezza dei toni diminuisce sensibilmente osservando che il diritto all’oblio non è un diritto assoluto, ma può essere riconosciuto solo previo bilanciamento circa la necessità del trattamento, per una delle cause previste al paragrafo 3 dell’art. 17. Tra le ipotesi elencate spiccano, in particolare, il fine di archiviazione nel pubblico interesse e quello per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Sebbene la blockchain si presti a molteplici utilizzi, intuitivamente ci si indirizza proprio alla funzione principe, di registrazione delle transazioni commerciali e non, sulla quale in realtà è incardinato l’intero sistema giuridico, volto ad assicurare la certezza del diritto e la circolazione dei beni.

In questo senso, dunque, si potrebbe ritenere che la tecnologia in parola possa rientrare a pieno titolo nell’ipotesi in cui la prevalenza del pubblico interesse giustifichi la negazione del diritto all’oblio: ma la questione è ancora aperta e prematura, e bisognerà attendere lo sviluppo della casistica concreta per determinare la bontà di tale soluzione.

In ogni caso, poiché il Regolamento, seppur direttamente applicabile, lascia un margine di discrezionalità normativa nella competenza attuativa rimessa al singolo Stato Membro, non è da escludersi che, anche in Italia, come già avvenuto in altri paesi, vengano adottate interpretazioni meno restrittive del diritto all’oblio.