Blockchain e privacy: un rapporto complicato, tra GDPR e manifesto cypherpunk

L’hype creatosi intorno alla blockchain nel mondo della tecnologia (e, soprattutto, delle valute virtuali e del fintech in generale) non accenna a diminuire, tanto che alcuni analisti stimano che, entro il 2022, il giro d’affari ad essa connesso toccherá i dieci miliardi di dollari. Ciò sta imponendo agli interpreti alcune riflessioni circa le problematiche legali connesse alla creazione e gestione di sistemi basati sulla distributed ledger technology.

Il fermento creatosi intorno al fenomeno blockchain è pari (forse) solo a quello che circonda l’imminente entrata in vigore del nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, meglio noto come GDPR: fermento del tutto giustificato, posto che la mancata compliance alle disposizioni della GDPR entro il 25 maggio 2018 espone le imprese a sanzioni pecuniarie fino a 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, se superiore.

Ma quali sono le problematiche dei sistemi basati sulla tecnologia blockchain da una prospettiva privacy?

Il tema ha radici molto più antiche di quanto che si possa immaginare. La blockchain, come algoritmo di funzionamento del sistema di valuta virtuale bitcoin, ideato dal fantomatico Satoshi Nakamoto nel celeberrimo paper “Bitcoin: A Peer-to-Peer Electronic Cash System“, nasce nell’ambito del movimento cypherpunk, attivo sin dagli inizi degli anni ’90 e che, nel proprio manifesto, esprimeva due finalità cardine: la ricerca di una privacy assoluta, attraverso forme di crittografia sempre più evolute, e la creazione di una valuta elettronica indipendente, non tracciabile, anonima e segreta.

Privacy in an open society requires anonymous transaction systems” – The Cypherpunk Manifesto

In prima battuta, si potrebbe quindi pensare che l’utilizzo di sistemi di blockchain non implichi particolari problematiche di privacy, posto che le transazioni in moneta virtuale (quali Bitcoin o Ethereum) avvengono in regime di “pseudonimità“: pur essendo le azioni di un singolo address perfettamente trasparenti nel registro condiviso, non esiste una connessione diretta con una persona fisica o un’organizzazione.

In realtà, le tematiche di compliance alla normativa in materia di data protection hanno un peso specifico molto maggiore rispetto a quello che appare a prima vista: la struttura stessa della blockchain, difatti, pone una serie di interrogativi che lasciano più di un dubbio circa la sua compatibilità con le norme del nuovo Regolamento privacy

Come ormai noto, la blockchain è, in estrema sintesi, un database distribuito su una rete peer-to-peer: qualunque partecipante alla rete può prelevare il database, nel quale sono registrate ed elencate tutte le transazioni effettuate, al fine di permettere ai nodi della rete peer-to-peer di verificare la validità delle future operazioni. La conseguenza è che la blockchain non è alterabile o modificabile senza il consenso del 50%+1 dei nodi che partecipano alla rete. La blockchain viene, infatti, spesso definita come un “append-only data store“: una volta che un dato vi è stato immesso, non può essere eliminato senza minare l’affidabilità e la validità del sistema stesso.

La definizione di dato personale contenuta nella GDPR (art. 4, n. 1) include “qualsiasi informazione concernente una persona fisica identificata o identificabile” e considera “identificabile” la persona che “può essere identificata, direttamente o indirettamente, con particolare riferimento a (…) un identificativo online“. A tale proposito, occorre quindi considerare, in prima battuta, che lo sviluppo di forme sempre più evolute di blockchain analysis possono permettere di risalire all’identità delle persone cui gli address si riferiscono, rappresentando una seria minaccia per la tutela della privacy.

Inoltre, la stessa “pseudononimizzazione” dei dati personali, cioè la procedura volta a far sì che “i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive” (art. 4, n. 5 GDPR) è specificamente disciplinata dalla GDPR ed è sottoposta alla condizione che le informazioni aggiuntive siano “siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire la non attribuzione a una persona identificata o identificabile“. Con specifico riferimento alle misure di sicurezza cui le informazioni aggiuntive devono essere sottoposte, l’applicazione delle norme in materia dettate dalla GDPR è quindi del tutto ineludibile.

Da ultimo, si consideri poi che la blockchain è una tecnologia con numerosissime possibilità di applicazione e non è detto che, in ambiti diversi da quello del fintech, essa non possa contenere dati personali in forma non pseudonomizzata.

Quanto sopra mette in evidenza come, da un punto di vista generale, le tecnologie basate sulla blockchain pongano importanti questioni di compatibilità con il nuovo Regolamento privacy:

(1) in primo luogo, come si è visto, i dati che compongono il registro distribuito non possono essere modificati o eliminati senza che sia compromessa la validità stessa della blockchain: ció crea evidenti conflitti con la disciplina dettata dalla GDPR, ad esempio, in materia di diritto all’obliolimitazione al trattamento e diritto alla portabilità dei dati personali;

(2) la necessità di conservazione dei dati a tempo indeterminato per assicurare la genuinità della blockchain fa sorgere problematiche sotto il profilo della minimizzazione dei dati, caposaldo della GDPR, che impone inter alia di definire tempistiche certe per la conservazione dei dati personali;

(3) lo sviluppo di soluzioni basate sulla blockchain deve poi tenere conto della necessitá di assicurare, sin dalla fase di ideazione e sviluppo, il rispetto dei principi e delle disposizioni della GDPR in materia di trattamento dei dati personali, sintetizzate dall’art. 25 GDPR nei concetti di privacy by design e privacy by default;

(4) il trattamento di dati personali effettuato attraverso l’uso di nuove tecnologie, qualora presenti elevati rischi per le libertà e i diritti degli interessati, deve essere obbligatoriamente preceduto da una valutazione d’impatto ai sensi dell’art. 35 GDPR;

(5) da ultimo, la natura distribuita del database a livello internazionale pone importanti quesiti sia sotto il profilo del trasferimento internazionale dei dati, sia sotto l’aspetto dell’enforcement di eventuali decisioni emesse di autorità nazionali in relazione alla cancellazione di dati personali in essa contenuti.

In conclusione, l’imminente entrata in vigore della GDPR pone numerose tematiche per le imprese che intendono offrire servizi basati su sistemi di blockchain: per la relativa gestione – e per evitare sanzioni anche molto gravose – è necessario un coinvolgimento ed un dialogo costante con la funzione legale (e, in particolare, con la nuova figura introdotta dalla GDPR del Data Protection Officer) sin dalla fase di sviluppo della soluzione e durante le successive fasi di implementazione ed utilizzo.

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...