Normativa e applicazioni

Blockchain e GDPR, ecco le compatibilità possibili e le sfide normative

La dirompente tecnologia blockchain è sulla bocca di tutti e ha attirato l’attenzione anche della Commissione Europea per le possibili incompatibilità con il GDPR. Tuttavia, diversi sono i generi di blockchain, non sono quindi del tutto escluse possibilità di compliance con il regolamento UE

07 Feb 2019
Rocco Panetta

Partner Panetta Studio Legale e IAPP Country Leader per l’Italia

blockchain-3448502_19201

Negli ultimi due anni è stato vivo il dibattito sul rapporto tra l’applicazione della tecnologia blockchain e il contesto normativo di riferimento, a cominciare dal GDPR. L’interesse risiede tanto in taluni suoi effetti applicativi rivoluzionari, quanto nel suo potenzialmente conflittuale rapporto con il nuovo Regolamento generale sulla protezione dei dati personali (Regolamento UE n. 2016/679, appunto GDPR), entrato in vigore già nella primavera del 2016, ma efficace a partire dal 25 maggio 2018.

Le peculiarità di GDPR e blockchain

Il GDPR ha innalzato notevolmente il livello di tutela dei diritti e delle libertà degli individui in relazione al trattamento dei loro dati personali, introducendo anche una serie di obblighi e novità significative, dalla privacy by design e by default, agli obblighi di valutazione degli impatti privacy, dall’accountability che passa anche attraverso la capacità del titolare del trattamento di scegliere le migliori tecnologie e misure di sicurezza al nuovo sistema sanzionatorio proporzionato, nel massimo, al 4% del fatturato globale del trasgressore .

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Anzitutto viene da chiedersi: la blockchain è una bolla, pronta a sgonfiarsi alla prima occasione, soppiantata dalla prossima imminente tecnologia dirompente e affascinante, o siamo davvero destinati a ragionare sul significato e sulle implicazioni concrete della più famosa tra le DLT – Distributed Ledger Technologies, poiché cambierà nel lungo periodo il nostro modo di progettare processi e servizi?

La risposta a tali quesiti potrebbe non essere immediata, nella grande confusione e nell’incertezza delle posizioni, tra di loro spesso contrastanti, espresse dai professionisti che si trovano a dover imbrigliare questa innovativa ma inesplorata tecnologia. Una cosa è certa: la tecnologia è strumento al servizio dell’uomo e come tale deve trovare un punto di allineamento con i principi e le regole di diritto, scritte dalla notte dei tempi per permettere all’uomo il lusso della libertà nel rispetto degli altri.

Il funzionamento della blockchain tramite “nodi”

Sin dal 2017 ho avuto, assieme ai miei collaboratori e colleghi, tra tutti Lorenzo Cristofaro, il privilegio di studiare la blockchain da una prospettiva unica ed irripetibile, essendo noi partner del consorzio che si è aggiudicato il primo studio europeo, nell’ambito dei programmi Horizon 2020, sulla blockchain e le altre DLT nel settore sanitario, con il progetto denominato My Health My Data – MHMD, guidato dalla lungimirante visione del professor Edwin Morley Fletcher di Linkeus.

Abbiamo approcciato la novità della blockchain con curiosità e rigore e non senza difficoltà. Rispetto ai presunti punti di frizione tra il GDPR e l’applicazione concreta della blockchain, vale in primo luogo la pena focalizzare l’attenzione sui ruoli privacy degli attori coinvolti nella progettazione, funzionamento e nell’applicazione di una catena a registro distribuito, ricordando come con ciò si intenda – senza pretesa di esaustività della definizione – un sistema diffuso per registrare una serie di elementi di dati (come ad esempio delle transazioni tra le parti) che usa la crittografia per rendere difficoltoso ogni tentativo di manomissione del registro e possiede un processo consensuale per conservare una o più copie del registro e aggiungere nuove voci.

La blockchain è una tecnologia distribuita poiché si avvale di diversi “nodi”, individui o organizzazioni che mantengono una copia del registro distribuito. Dal momento che, in linea di principio, un network di blockchain consiste in un ampio numero di nodi server che conservano simultaneamente copie degli stessi dati, possono esistere due tipi di nodi:

  • nodi validanti, ossia nodi abilitati ad aggiungere dati al registro, sulla base dell’algoritmo di consenso prescelto;
  • nodi partecipanti, che sincronizzano copie dei dati (non necessariamente tutti i nodi conservano tutti i dati).

Alla luce di ciò, l’asserita mancata compatibilità tra la blockchain e il GDPR deriverebbe dalla tipologia di catena:

  • pubblica e permissionless,
  • pubblica e permissioned,
  • privata e permissioned.

Nel primo caso, ciascun nodo può partecipare alla blockchain e divenire un nodo validante le transazioni. In una catena pubblica e permissioned, tutti possono partecipare in qualità di nodi e vedere i dati, ma solo alcuni attori preautorizzati possono divenire nodi validanti e aggiungere i dati al registro. Infine, scegliere una Blockchain di tipo private permissioned, significa optare per una struttura in cui i nodi validanti e i nodi partecipanti devono essere entrambi approvati da una governance di attori, anche raggruppati in un consorzio di imprese o di agenzie governative.

Alla luce di questa complessa architettura, la compliance privacy, ricorda lo EU Blockchain Observatory and Forum (creato a partire da un progetto pilota del Parlamento europeo e gestito in collaborazione con DG Connect), non dipende dalla tecnologia, ma da come la stessa viene utilizzata ed implementata. Così come non esiste un Internet o un algoritmo di intelligenza artificiale GDPR-compliant per definizione, non esiste nemmeno una Blockchain conforme a priori: esistono, invece, casi d’uso e applicazioni in grado di garantire tale risultato.

La compatibilità con i ruoli del GDPR

In considerazione di ciò e del fatto che esistono diverse tipologie di blockchain, non è necessariamente vera la tesi, sostenuta da molti, secondo cui la tecnologia blockchain sia incompatibile con l’architettura dei ruoli e delle responsabilità del GDPR (che ripropone uno schema già in gran parte definito nella Direttiva 95/46/CE, abrogata dal citato Regolamento).

Sebbene le tecnologie a registro distribuito, per loro natura, sembrerebbero mal relazionarsi con un modello accentratore, come quello alla base della normativa in materia di protezione dei dati personali, che fa convergere la gran parte delle responsabilità nelle mani del titolare del trattamento, è altrettanto vero che, scelta la tipologia di blockchain più idonea al fine perseguito e svolte le necessarie analisi in ottica legale, la stessa potrebbe convivere con l’impianto normativo attualmente vigente.

Scegliere una blockchain di tipo privato permissioned, entro cui sono definiti in maniera chiara i ruoli e le modalità di partecipazione alla stessa permetterebbe di stabilire in maniera certa la titolarità del dato trattato, in linea con il dettato del GDPR. Inoltre, soluzioni sempre più avanzate di crittografia dei dati diffusi sulla blockchain e misure che garantiscano un efficiente esercizio dei diritti ai sensi degli artt. da 15 a 22 del GDPR, sono alcune delle accortezze che dovranno essere tenute a mente in ottica di privacy-by-design e by-default.

L’esercizio dei diritti

Altro grande tema aperto è quello dell’esercizio dei diritti, dall’accesso alla portabilità. Qui la partita a mio avviso è più aperta, ma la realtà di questi giorni ci dimostra come il concreto esercizio dei diritti ai sensi del GDPR è più sfidante di quello previgente, anche utilizzando tecnologie più tradizionali. È quindi prioritario anche capire come le Autorità garanti competenti, tra tutte il Garante per la protezione dei dati personali italiano e lo EDPB – European Data Protection Board interverranno in concreto a modulare e bilanciare uso di nuove tecnologie con il legittimo esercizio dei diritti in materia di protezione dei dati personali.

La mia fiducia in un’applicazione intelligente delle tecnologie mi porta a sperare in un sodalizio sempre più etico tra queste ultime e la normativa sulla privacy, anche e soprattutto a beneficio di tutti gli attori di mercato e delle istituzioni pubbliche, che stanno iniziando a muovere i primi passi verso l’applicazione concreta delle DLT. Anche il Governo italiano ha di recente lanciato delle iniziative lodevoli di attenzione allo sviluppo delle DLT, anche avviando un tavolo di lavoro permanente al MISE che non avrà un compito semplice.

Esempi di settori interessati da progetti di applicazione della Blockchain comprendono, tra i vari, il già citato settore healthcare, il banking e finance, i trasferimenti di denaro all’estero, la cybersecurity, la gestione dati nel cloud, il leasing e il car sharing, l’attività di previsione, la compravendita di azioni e immobiliare, l’HR, le forze dell’ordine e sicurezza, la legittimazione del voto elettorale, la vendita al dettaglio, le assicurazioni, la gestione della supply chain, il mondo accademico e della ricerca, e via discorrendo. Gli esempi già esistono, bisogna solo prendere ispirazione da quelli giusti.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4