Con l’efficacia del Regolamento (UE) n. 679/2016 (“GDPR”) sono state avanzati da alcune parti dei dubbi circa la legittimità dell’utilizzo della tecnologia blockchain, soprattutto relativamente alla circostanza che i dati “registrati” sulla stessa sarebbero immutabili e non sarebbe garantito l’esercizio di alcuni diritti riconosciuti dalla normativa europea sulla privacy.
Appare quindi necessario affrontare alcuni di tali problemi, premettendo comunque che ve ne sono ulteriori sempre a carattere giuridico (come ad esempio la legge applicabile ad un sistema distribuito come la blockchain o la determinazione della giurisdizione competente) che non vengono trattati in questa sede.
Le blockchain trattano dati personali?
Il primo quesito da porsi è se sulla blockchain vengono “normalmente” trattati dati personali. Ricordando che la definizione di dato personale include qualsiasi informazione riconducibile, direttamente o indirettamente, ad una persona fisica, una blockchain pubblica (come quella Bitcoin) consente di registrare ogni transazione che viene associata tramite la chiave pubblica crittografica ad un determinato utente. Tipicamente la chiave è cifrata di modo che dalla singola transazione non è possibile risalire a colui che è titolare di detta chiave, ma l’eventuale riutilizzo di quest’ultima in altre transazioni (anche in congiunzione con altre chiavi pubbliche) consentirebbe di “linkarla” ad un utente specifico potendo quindi risalire alla sua identità. Oltretutto, l’eventuale disponibilità di log di accesso con conservazione di indirizzi IP renderebbe facilmente individuabile il titolare della chiave pubblica della transazione. Infine, vista anche l’implementazione degli obblighi di riconoscimento in capo ai soggetti che offrono servizi di conversione di valuta virtuale (nonché, con l’aggiornamento Direttiva (UE) 2018/843 – cosiddetta V Direttiva antiriclaggio – l’estensione di tali obblighi anche in capo ai soggetti che offrono servizi di wallet provider), sempre di più la chiave pubblica con cui vengono sottoscritte le transazioni sulla blockchain costituirà un dato personale, perché associata o associabile ad una persona fisica determinata.
Anche l’hash è un dato personale
Dall’altra parte tipicamente le blockchain conservano le informazioni registrando gli hash delle stesse. E’ noto che la funzione di hash è irreversibile, nel senso che non è possibile risalire dalla stringa di caratteri generati tramite la funzione al contenuto del documento a cui la stessa è stata applicata, ma al contempo consente di verificare se un determinato contenuto digitale sia identico a quello a cui è originariamente stata applicata la funzione.
Il Gruppo di Lavoro Art. 29 nella propria Opinion n. 5/2014 del 10/4/2014 ha chiarito che l’hashing, così come altre tecnologie, rientra tra le tecniche di pseudonimizzazione (e non di anonimizzazione), in quanto risulterebbero comunque collegabili i dati contenuti nell’hash a dati personali esterni allo stesso e, soprattutto, facilmente ricostruibili attraverso un attacco “brute force”. Trattandosi di dato pseudonimizzato (e non anonimizzato) anche l’hash registrato sulla blockchain costituisce un dato personale, comportando quindi l’applicazione della relativa normativa.
Queste, principalmente, sono le categorie di dati personali che vengono registrate all’interno di una blockchain. Ovvio che su blockchain più evolute (quali ad esempio Ethereum) che consentono di attestare numerose righe di codice sorgente, nulla vieta che all’interno di un codice di uno smart contract vengano inseriti dati personali, ma tali ipotesi devono ritenersi delle eccezioni e comunque non esulano colui che attiva lo smart contract dall’agire in conformità della normativa a protezione dei dati personali.
Blockchain e GDPR: quali sono i ruoli?
Un altro tema che ricorre spesso quando si discute di blockchain e GDPR è l’individuazione dei ruoli delle parti. In tale ottica è necessario distinguere tra blockchain pubbliche e private. In queste ultime tipologie di blockchain, infatti, è abbastanza semplice riuscire ad inquadrare i vari soggetti che vi partecipano nell’ambito delle figure disciplinate dal GDPR (contitolari, titolari, responsabili ex art. 28) a seconda di come effettivamente sono regolati i rapporti tra detti soggetti in merito alle decisioni su finalità e mezzi del trattamento.
Più complesso è riuscire a capire i ruoli delle parti per una blockchain pubblica. Tipicamente, infatti, una blockchain di tale tipologia è distribuita su vari nodi, che conservano tutte le informazioni, ma è consentito ad un soggetto di avviare una transazione senza necessariamente aver caricato sul suo dispositivo tutte le informazioni contenute nella blockchain.
Il titolare dei trattamenti
Si potrebbe immaginare che ogni soggetto che inserisce transazioni sulla blockchain pubblica è titolare dei trattamenti, ma rimane problematico inquadrare il ruolo dei nodi, ossia di coloro che elaborano l’intera blockchain scaricandola su un proprio dispositivo o dei miners.
L’unica vera strada che sembra percorribile è quella di considerare ciascuno dei partecipanti alla blockchain titolare del trattamento sia dei dati che egli immette sia di quelli contenuti nella blockchain eventualmente presenti sul proprio dispositivo (d’altra parte ognuno dei partecipanti ricopre anche contemporaneamente il ruolo di interessato). In tali ipotesi, infatti, sembra plausibile applicare le deroghe di cui all’art. 14, 5° comma, lett. b) GDPR all’obbligo di fornire l’informativa e considerare quale base giuridica l’esecuzione di misure contrattuali o il legittimo interesse di ciascun titolare ad effettuare il trattamento (d’altra parte l’interessato a sua volta inserisce volontariamente i dati – ossia la propria chiave pubblica o l’hash di una transazione – nella blockchain).
Ciò in quanto inquadrare tali soggetti come responsabili del trattamento dei dati inseriti dagli altri titolari implicherebbe che, ex art. 28 GDPR, ciascun partecipante alla blockchain dovrebbe stipulare con tutti gli altri partecipanti un contratto per iscritto, fattispecie evidentemente impossibile da realizzare.
Blockchain, diritto all’oblio e privacy by design
La caratteristica di “immutabilità” di una blockchain può inoltre far ritenere che tale tecnologia non rispetterebbe il “diritto all’oblio” riconosciuto nel GDPR a tutti gli interessati.
È necessario ricordare che il “diritto all’oblio” di cui all’art. 17 GDPR in realtà si suddivide in due differenti diritti: il diritto alla cancellazione dei dati da parte del titolare del trattamento, regolato al primo comma, nonché il cosiddetto diritto all’oblio vero e proprio, ossia l’obbligo del titolare, qualora abbia comunicato i dati a terzi, di cancellarli ed informare gli altri titolari della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Orbene, innanzitutto bisognerebbe comprendere se effettivamente l’interessato che abbia utilizzato un servizio basato su blockchain possa esercitare il diritto alla cancellazione sulla base di uno dei motivi indicati dalle lettere a) ad f) del primo comma dell’art. 17. Ogni dato inserito in una blockchain è in verità necessario per mantenere la “catena” di transazioni relative alla medesima “informazione digitale”, funzione che caratterizza la blockchain rispetto alle altre tecnologie. Dall’altra parte, se consideriamo che sia la chiave pubblica sia l’hash delle transazioni sono riconducibili, come indicato anche dall’Opinion WP29 sopra menzionata, alla categoria dei dati pseudonimizzati, sarebbe astrattamente possibile esercitare il diritto alla cancellazione nei confronti del soggetto che detiene la porzione di dato che consente l’identificazione dell’interessato (ad esempio il sistema di exchange che ha identificato il medesimo ed a cui ha associato (o può associare) le chiavi pubbliche).
Il diritto all’oblio, ossia il diritto di ottenere la cancellazione dei dati personali anche da parte dei terzi che eventualmente li trattano, contiene già nella previsione normativa una precisazione e limitazione idonea a ridimensionarne l’esercizio: “tenendo conto della tecnologia disponibile e dei costi di attuazione”. Nel caso della blockchain è evidente che il titolare richiesto della cancellazione dei dati (poniamo un exchange) non potrà sicuramente informare tutti gli altri titolari registrando la richiesta di cancellazione dell’interessato sulla medesima blockchain (unico modo per essere certi che l’informazione sia diffusa verso tutti coloro che la utilizzano), altrimenti si avrebbe il paradossale effetto di registrare (in maniera immutabile) un’informazione che invece deve essere cancellata. Neanche si può ritenere, proprio in considerazione della tecnologia disponibile e dei costi di attuazione, che la comunicazione dell’esercizio del diritto all’oblio venga diffusa, con altri mezzi, a soggetti che il titolare neanche conosce, né che possa darne comunicazione con altre forme “di pubblicità”.
Un discorso analogo deve essere svolto in merito al principio di Privacy by design. L’art. 25 GDPR, nell’enunciare l’obbligo in questione, riassumibile nella necessità che i trattamenti, sia nel momento della progettazione dei sistemi sia in occasione del loro uso, vengano effettuati nel rispetto delle previsioni e dei principi del regolamento, contiene un incipit secondo cui tale obbligo deve essere attuato “tenendo conto dello stato dell’arte e dei costi di attuazione” nonché “della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento”.
Nella recente Preliminary Opinion n. 5/2018 dell’European Data Protection Supervisor si riconosce che è necessario il supporto per lo sviluppo di nuove pratiche e modelli di business attraverso la ricerca e l’implementazione di strumenti tecnologici dell’Unione Europea, con uno speciale focus su quelli emergenti, come l’intelligenza artificiale, il machine learning e la blockchain.
Si tratta, evidentemente, di tecnologie che vanno oltre l’attuale stato dell’arte, da intendersi – nel caso specifico – come ciò che è consolidato dal punto di vista scientifico nel settore. Ciò, soprattutto, in quanto per tali tecnologie non sono stati ancora definiti degli standard internazionali o delle prassi comuni da adottare.
Blockchain e GDPR, le soluzioni per l’anonimato
In verità, prescindendo temporaneamente dagli obblighi di riconoscimento, alcune soluzioni sono state ideate proprio al fine di assicurare una maggiore protezione dei dati personali (rispetto l’originaria blockchain Bitcoin) in modo da rendere non identificabile il soggetto che effettua la transazione.
Alcune di queste prescindono dall’implementazione di nuove funzionalità, e si basano su semplici strategie quali l’utilizzo di “one-time accounts”, ossia l’utilizzo di una diversa coppia di chiavi per ciascuna transazione da parte del medesimo soggetto.
Un sistema del genere, insieme alla zero-knowledge proof, è stata implementata nella blockchain di Zcash, che mira a garantire il completo anonimato delle transazioni.
Altri progetti si basano su sistemi più complessi, come ad esempio quello previsto dal sistema Enigma per cui le transazioni sono validate tramite un meccanismo di multi-party computation (che richiede che un dato insieme di risorse collaborino tra loro per poter rendere imputabile una transazione rendendola, quindi, non più imputabile ad una singola risorsa) o soluzioni quali le ring signatures, con cui viene dimostrato che il firmatario detiene la chiave privata corrispondente ad un determinato set di chiavi pubbliche, senza però indicarne una specifica (così rendendola non più identificabile).
Dal punto di vista della soluzione del problema dell’hashing – inquadrato come strumento di pseudonimizzazione – la soluzione sarebbe semplice: basterebbe cifrare i dati prima di attestarli sulla blockchain e poi applicare sui dati cifrati la relativa funzione di hash. In questo modo il dato diverrebbe inintelligibile e sarebbe messo al sicuro anche contro attacchi brute force, garantendo così l’accesso al dato stesso solo al soggetto titolare della componente privata della chiave di cifratura.
