Negli ultimi due anni è stato vivo il dibattito sul rapporto tra l’applicazione della tecnologia blockchain e il contesto normativo di riferimento, a cominciare dal GDPR. L’interesse risiede tanto in taluni suoi effetti applicativi rivoluzionari, quanto nel suo potenzialmente conflittuale rapporto con il nuovo Regolamento generale sulla protezione dei dati personali (Regolamento UE n. 2016/679, appunto GDPR), entrato in vigore già nella primavera del 2016, ma efficace a partire dal 25 maggio 2018.
Le peculiarità di GDPR e blockchain
Il GDPR ha innalzato notevolmente il livello di tutela dei diritti e delle libertà degli individui in relazione al trattamento dei loro dati personali, introducendo anche una serie di obblighi e novità significative, dalla privacy by design e by default, agli obblighi di valutazione degli impatti privacy, dall’accountability che passa anche attraverso la capacità del titolare del trattamento di scegliere le migliori tecnologie e misure di sicurezza al nuovo sistema sanzionatorio proporzionato, nel massimo, al 4% del fatturato globale del trasgressore .
Anzitutto viene da chiedersi: la blockchain è una bolla, pronta a sgonfiarsi alla prima occasione, soppiantata dalla prossima imminente tecnologia dirompente e affascinante, o siamo davvero destinati a ragionare sul significato e sulle implicazioni concrete della più famosa tra le DLT – Distributed Ledger Technologies, poiché cambierà nel lungo periodo il nostro modo di progettare processi e servizi?
La risposta a tali quesiti potrebbe non essere immediata, nella grande confusione e nell’incertezza delle posizioni, tra di loro spesso contrastanti, espresse dai professionisti che si trovano a dover imbrigliare questa innovativa ma inesplorata tecnologia. Una cosa è certa: la tecnologia è strumento al servizio dell’uomo e come tale deve trovare un punto di allineamento con i principi e le regole di diritto, scritte dalla notte dei tempi per permettere all’uomo il lusso della libertà nel rispetto degli altri.
Il funzionamento della blockchain tramite “nodi”
Sin dal 2017 ho avuto, assieme ai miei collaboratori e colleghi, tra tutti Lorenzo Cristofaro, il privilegio di studiare la blockchain da una prospettiva unica ed irripetibile, essendo noi partner del consorzio che si è aggiudicato il primo studio europeo, nell’ambito dei programmi Horizon 2020, sulla blockchain e le altre DLT nel settore sanitario, con il progetto denominato My Health My Data – MHMD, guidato dalla lungimirante visione del professor Edwin Morley Fletcher di Linkeus.
Abbiamo approcciato la novità della blockchain con curiosità e rigore e non senza difficoltà. Rispetto ai presunti punti di frizione tra il GDPR e l’applicazione concreta della blockchain, vale in primo luogo la pena focalizzare l’attenzione sui ruoli privacy degli attori coinvolti nella progettazione, funzionamento e nell’applicazione di una catena a registro distribuito, ricordando come con ciò si intenda – senza pretesa di esaustività della definizione – un sistema diffuso per registrare una serie di elementi di dati (come ad esempio delle transazioni tra le parti) che usa la crittografia per rendere difficoltoso ogni tentativo di manomissione del registro e possiede un processo consensuale per conservare una o più copie del registro e aggiungere nuove voci.
La blockchain è una tecnologia distribuita poiché si avvale di diversi “nodi”, individui o organizzazioni che mantengono una copia del registro distribuito. Dal momento che, in linea di principio, un network di blockchain consiste in un ampio numero di nodi server che conservano simultaneamente copie degli stessi dati, possono esistere due tipi di nodi:
- nodi validanti, ossia nodi abilitati ad aggiungere dati al registro, sulla base dell’algoritmo di consenso prescelto;
- nodi partecipanti, che sincronizzano copie dei dati (non necessariamente tutti i nodi conservano tutti i dati).
Alla luce di ciò, l’asserita mancata compatibilità tra la blockchain e il GDPR deriverebbe dalla tipologia di catena:
- pubblica e permissionless,
- pubblica e permissioned,
- privata e permissioned.
Nel primo caso, ciascun nodo può partecipare alla blockchain e divenire un nodo validante le transazioni. In una catena pubblica e permissioned, tutti possono partecipare in qualità di nodi e vedere i dati, ma solo alcuni attori preautorizzati possono divenire nodi validanti e aggiungere i dati al registro. Infine, scegliere una Blockchain di tipo private permissioned, significa optare per una struttura in cui i nodi validanti e i nodi partecipanti devono essere entrambi approvati da una governance di attori, anche raggruppati in un consorzio di imprese o di agenzie governative.
Alla luce di questa complessa architettura, la compliance privacy, ricorda lo EU Blockchain Observatory and Forum (creato a partire da un progetto pilota del Parlamento europeo e gestito in collaborazione con DG Connect), non dipende dalla tecnologia, ma da come la stessa viene utilizzata ed implementata. Così come non esiste un Internet o un algoritmo di intelligenza artificiale GDPR-compliant per definizione, non esiste nemmeno una Blockchain conforme a priori: esistono, invece, casi d’uso e applicazioni in grado di garantire tale risultato.
La compatibilità con i ruoli del GDPR
In considerazione di ciò e del fatto che esistono diverse tipologie di blockchain, non è necessariamente vera la tesi, sostenuta da molti, secondo cui la tecnologia blockchain sia incompatibile con l’architettura dei ruoli e delle responsabilità del GDPR (che ripropone uno schema già in gran parte definito nella Direttiva 95/46/CE, abrogata dal citato Regolamento).
Sebbene le tecnologie a registro distribuito, per loro natura, sembrerebbero mal relazionarsi con un modello accentratore, come quello alla base della normativa in materia di protezione dei dati personali, che fa convergere la gran parte delle responsabilità nelle mani del titolare del trattamento, è altrettanto vero che, scelta la tipologia di blockchain più idonea al fine perseguito e svolte le necessarie analisi in ottica legale, la stessa potrebbe convivere con l’impianto normativo attualmente vigente.
Scegliere una blockchain di tipo privato permissioned, entro cui sono definiti in maniera chiara i ruoli e le modalità di partecipazione alla stessa permetterebbe di stabilire in maniera certa la titolarità del dato trattato, in linea con il dettato del GDPR. Inoltre, soluzioni sempre più avanzate di crittografia dei dati diffusi sulla blockchain e misure che garantiscano un efficiente esercizio dei diritti ai sensi degli artt. da 15 a 22 del GDPR, sono alcune delle accortezze che dovranno essere tenute a mente in ottica di privacy-by-design e by-default.
L’esercizio dei diritti
Altro grande tema aperto è quello dell’esercizio dei diritti, dall’accesso alla portabilità. Qui la partita a mio avviso è più aperta, ma la realtà di questi giorni ci dimostra come il concreto esercizio dei diritti ai sensi del GDPR è più sfidante di quello previgente, anche utilizzando tecnologie più tradizionali. È quindi prioritario anche capire come le Autorità garanti competenti, tra tutte il Garante per la protezione dei dati personali italiano e lo EDPB – European Data Protection Board interverranno in concreto a modulare e bilanciare uso di nuove tecnologie con il legittimo esercizio dei diritti in materia di protezione dei dati personali.
La mia fiducia in un’applicazione intelligente delle tecnologie mi porta a sperare in un sodalizio sempre più etico tra queste ultime e la normativa sulla privacy, anche e soprattutto a beneficio di tutti gli attori di mercato e delle istituzioni pubbliche, che stanno iniziando a muovere i primi passi verso l’applicazione concreta delle DLT. Anche il Governo italiano ha di recente lanciato delle iniziative lodevoli di attenzione allo sviluppo delle DLT, anche avviando un tavolo di lavoro permanente al MISE che non avrà un compito semplice.
Esempi di settori interessati da progetti di applicazione della Blockchain comprendono, tra i vari, il già citato settore healthcare, il banking e finance, i trasferimenti di denaro all’estero, la cybersecurity, la gestione dati nel cloud, il leasing e il car sharing, l’attività di previsione, la compravendita di azioni e immobiliare, l’HR, le forze dell’ordine e sicurezza, la legittimazione del voto elettorale, la vendita al dettaglio, le assicurazioni, la gestione della supply chain, il mondo accademico e della ricerca, e via discorrendo. Gli esempi già esistono, bisogna solo prendere ispirazione da quelli giusti.
