La tecnologia è uno strumento al servizio dell’uomo e come tale deve trovare un punto di allineamento con i principi e le regole del diritto. I principi ispiratori del processo tecnologico e del diritto troppo spesso analizzati singolarmente, quasi fossero silos indipendenti, debbono invece essere messi a confronto per individuare possibili assonanze ontologiche o l’esistenza di profili di reale incompatibilità.
Le Convergenze filosofiche tra la decentralizzazione ed il controllo dell’individuo sui propri dati personali.
L’anarchia è un concetto che spaventa per la maggior parte delle persone ma analizzato nel contesto del presente lavoro perde in parte quell’accezione negativa ormai assunta da tempo nella nostra società. La tecnologia blockchain mira, tra le altre cose, a realizzare il decentramento e il decentramento agevola l’anarchia intesa però come elemento di riequilibrio tra il potere del singolo individuo ed il controllo e la supremazia statuale comunemente accettati.
Nonostante non si conosca la vera identità di Satoshi Nakamoto, è certa la sua propensione all’anarco-capitalismo che si basa sul principio anarco-individualista di matrice libertaria secondo il quale, sul lungo periodo, i mercati, in assenza di un intervento statale, raggiungono autonomamente la situazione economica più efficiente.
Con il tempo il termine “anarchia” si è però connotato di accezioni negative. La messa in discussione del sistema e dell’ordine prestabilito, il rifiuto dell’autorità a favore dell’autogoverno. Appare chiaro però che l’anarchia da decentralizzazione sia un fenomeno con caratteristiche diverse, certamente meno negative ed, anzi a tratti possa creare le condizioni per una reale “democratizzazione” economica, sociale e tecnologica.
*
L’idea di fondo che ha ispirato l’introduzione della nuova normativa GDPR sulla protezione dati è quella di permettere ai cittadini europei di avere un controllo di gran lunga maggiore sul modo in cui i singoli, le aziende e gli enti pubblici utilizzano le informazioni, e in particolare i dati sensibili, raccolti dagli utenti.
Il GDPR ha innalzato notevolmente il livello di tutela dei diritti e delle libertà degli individui in relazione al trattamento dei loro dati personali, introducendo anche una serie di obblighi e novità significative, dalla privacy by design e by default, agli obblighi di valutazione degli impatti privacy, dall’accountability che passa anche attraverso la capacità del titolare del trattamento di scegliere le migliori tecnologie e misure di sicurezza al nuovo sistema sanzionatorio proporzionato al fatturato annuo del gruppo imprenditoriale..
La funzione del GDPR, come esplicitato nel testo, è di elevare “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale” a diritto fondamentale. Si tratta di una questione di portata grandissima, e con risvolti potenzialmente enormi.
Infatti, nell’odierno mondo digitalizzato i dati personali costituiscono un elemento di importanza fondamentale per lo sviluppo di un’economia europea dei dati. Al centro di questo mercato c’è il cittadino europeo e la possibilità di sfruttare i servizi dell’era digitale in tutta sicurezza ed efficienza.
Il GDPR nei fatti cerca di restituire al singolo un potere di gestione diretta dei propri dati ed in questo si può individuare, forse con azzardo, una similitudine con la spinta alla “democratizzazione” insita nel concetto di anarchia da decentralizzazione
1. Blockchain: definizioni e funzionamento
La definizione di blockchain è ormai ben nota: si tratta di un database distribuito (una sorta di registro delle “transazioni” dove i dati non sono memorizzati su un solo computer, ma su più dispositivi collegati tra loro via Internet, attraverso un’applicazione dedicata che permette di interfacciarsi con la “catena”) fatto di blocchi di dati che memorizzano transazioni (non solo); per essere consolidato all’interno di un blocco, ogni dato, e successivamente ogni blocco prima di essere inserito nella “catena”, viene sottoposto a un processo di validazione.
Prima di procedere all’analisi del funzionamento della tecnologia Blockchain dobbiamo prendere dimestichezza con due concetti fondamentali: nodi e miner. I primi possono essere individuati nei computer della rete che hanno scaricato la blockchain nella loro memoria; chiunque può diventare un nodo, tramite un apposito programma (ad esempio Bitcoin Core per Blockchain Bitcoin). I miner sono coloro che effettuano il controllo delle transazioni, grazie a computer molto potenti e attraverso un protocollo di validazione piuttosto complesso (spiegato più avanti), e il cui lavoro viene ripagato con un premio (il termine ormai condiviso per questa operazione è “minare”, italianizzando il termine inglese to mine ossia estrarre).
Il protocollo di validazione (che definisce gli algoritmi validanti e chi può essere un miner) rappresenta dunque l’elemento vitale principale della Blockchain perché è proprio da questo che dipendono sostanzialmente la velocità della catena e la sua sicurezza (gli algoritmi che governano questo processo validano che ogni nuova immissione risponda a determinati criteri, ma impediscono anche che possano essere manomessi i dati già presenti nella catena). È dunque in questo ambito che si vedono le principali evoluzioni e che si differenziano, dal punto di vista tecnologico, le diverse Blockchain. È comunque importante sottolineare che non necessariamente un protocollo è migliore di un altro: l’utilizzo dell’uno o dell’altro dipende anche dal tipo di applicazione per la quale viene utilizzata la blockchain.
1.1. I principali protocolli di validazione
1. Proof of Work – È il protocollo di validazione primigenio, sul quale si è basata la prima blockchain, Bitcoin, e a tutt’oggi ancora il più diffuso. Ogni 10 minuti un nuovo blocco, contenente migliaia di transazioni, viene immesso nella blockchain. La criticità di questo meccanismo risiede nella velocità per minare un blocco perché è un protocollo che, al crescere della blockchain, richiede sempre maggiore potenza elaborativa nei computer dei miner. Il tempo di validazione di una transazione (10 minuti) è una delle principali cause di criticità in termini di scalabilità della tecnologia.
2. Proof of Stake – Nasce per far fronte al problema della scalabilità del precedente protocollo, semplificando il processo di mining. Il protocollo prevede inoltre che quando viene aggiunto un nuovo blocco venga automaticamente scelto il creatore del blocco successivo; per effettuare questa operazione di selezione vengono oggi utilizzati metodi diversi.
3. Federated Byzantine Agreement (FBA) – Se quelli descritti sono i due protocolli principali, ne sono stati poi creati altri, in parte derivazione di questi, in parte con elementi totalmente nuovi. Tra i più interessanti segnaliamo Federated Byzantine Agreement (FBA), sviluppato da Stellar Development Foundation (e utilizzato dalla seconda metà del 2015 dalla blockchain Stellar) basato su unità di fiducia (quorum slices) decise dai singoli server che insieme stabiliscono il livello di consenso del sistema.
La blockchain è nata come modalità pubblica per effettuare transazioni (si tratta delle cosiddette blockchain unpermissioned o permissionless alle quali chiunque può accedere) ma la cd. Blockchain 2.0 vede il diffondersi di questa tecnologia (in ambiti diversi dalle criptovalute) sempre più all’interno di ecosistemi più o meno chiusi, con la conseguente nascita di blockchain private.
Per meglio inquadrare le possibili applicazione della tecnologia Blockchain è necessario operare una distinzione tra:
a. blockchain pubbliche: tutti vi possono accedere e operare transazioni al suo interno o partecipare al processo di validazione. Bitcoin ed Ethereum sono i più famosi esempi di blockchain pubbliche.
b. blockchain private: controllate da un’unica organizzazione che stabilisce chi può aderirvi, chi può operare transazioni al suo interno e partecipare al processo di consenso/validazione
c. consorzi blockchain (permissioned): il processo di autorizzazione viene delegato a un gruppo preselezionato. La possibilità di aderire alla blockchain e di operare transazioni al suo interno può essere pubblica o limitata ai soli partecipanti. Questa tipologia di blockchain permissioned è particolarmente indicata per l’utilizzo nel mondo business.
Oggi le applicazioni blockchain in base allo stadio di sviluppo delle tecnologie utilizzate possono anche essere suddivise in tre macrocategorie:
a. La categoria Blockchain 1.0 riguarda tutte le applicazioni di carattere finanziario per la gestione di criptovalute (indipendentemente dal protocollo di validazione utilizzato) a partire dalla storica (e che attualmente detiene ancora la leadership delle criptovalute) Bitcoin.
b. La categoria Blockchain 2.0 estende la blockchain a settori diversi dal finanziario grazie all’implementazione degli smart contract.
c. Il passo successivo sarà quello della Blockchain 3.0 con la diffusione delle Dapp (decentralized applications): un futuro in cui tutti noi utilizzeremo le tecnologie blockchain, probabilmente senza neanche rendercene conto, perché incapsulate nelle “cose” connesse tra loro, senza intervento umano. (In futuro, l’IoT utilizzato in combinazione con la tecnologia Blockchain si trasformerà in una rete di dispositivi offline interconnessi in grado di interagire con il proprio ambiente per prendere decisioni intelligenti senza l’intervento umano. In altre parole, quando un oggetto può percepire e comunicare, cambia come e dove vengono prese le decisioni e chi le crea).
Nel futuro il significato e l’utilità della blockchain per le aziende aumenterà in modo esponenziale alla luce di alcune caratteristiche che rendono questa tecnologia particolarmente interessante per il business.
2. Gdpr: principi e regole
Il nuovo Regolamento Europeo sulla protezione dei dati personali prende le mosse da una prospettiva completamente diversa dal passato, ponendo l’accento sull’importanza che i dati stessi rivestono nell’attuale sistema economico. Per comprendere la portata della nuova normativa si consideri che i dati personali vengono qualificati dallo stesso Regolamento come diritti fondamentali dell’uomo.
Le implicazioni di questa previsione sono evidenti e comportano un diverso approccio che il titolare del trattamento (Data Controller) deve tenere nel trattamento degli stessi.
Si passa in concreto da un sistema normativo di tipo formalistico, ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (titolare del trattamento).
A quest’ultimo è richiesto in particolar modo un approccio proattivo, volto a prevenire (e non solo correggere) gli errori, nonché a dimostrare, anche documentalmente e/o tramite l’adozione di appropriate policy interne (da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni.
Il Regolamento punta su principi generali che tendono a responsabilizzare il titolare del trattamento, il quale dovrà individuare le misure che garantiscano la protezione dei dati con riferimento alla sua situazione specifica.
Il GDPR introduce ad esempio i principi di privacy by design e privacy by default che impongono una rivoluzione nell’ambito della gestione dei dati.
Il Regolamento prevede la necessità di configurare il trattamento dei dati introducendo fin dall’inizio (ossia in fase di progettazione – by design) le garanzie indispensabili “al fine di soddisfare i requisiti” previsti dalla normativa e tutelare, in questo modo, i diritti degli interessati.
Tutto questo deve avvenire a monte, ossia prima di procedere al trattamento dei dati vero e proprio e rappresenta, quindi, un presupposto infrastrutturale indispensabile per il corretto trattamento degli stessi.
Il principio di privacy by default, invece, impone l’adozione di misure tecniche e organizzative adeguate che siano per impostazione predefinita (di default appunto) quelle che garantiscono, in concreto la tutela dei dati trattati.
3. Blockchain e Gdpr: contrasti ontologici e normativi
La tecnologia Blockchain attrae sempre più gli operatori economici dalle banche ai trasporti, dalla sicurezza al fund raising.
Tuttavia, nonostante la popolarità, la sua applicazione pratica solleva molte domande, in particolare per quanto riguarda la protezione dei dati personali oggetto del GDPR.
L’innovazione ma anche la problematicità di tale “paradigma organizzativo” deriva dal fatto che questo sistema si propone di trasmettere e memorizzare le informazioni su un immutabile registro decentralizzato, scevro da ogni controllo di un’autorità centralizzata (come una banca o governo) ma dal “pubblico” stesso (nel caso della Blockchain permissionless).
Il fulcro di tale tecnologia è costituito dunque dalla decentralizzazione, trasparenza e immutabilità dei dati, concetti che ad una prima superficiale impressione sembrano scontrarsi con l’essenza stessa del GDPR.
Se si riassumessero i 99 articoli del Regolamento in una sola parola, quella parola sarebbe quella di accountability relativamente al trattamento dei dati personali.
L’idea sottostante al Regolamento è infatti quella di responsabilizzare le organizzazioni, più precisamente i titolari del trattamento dei dati, riguardo ai rischi connessi all’elaborazione degli stessi.
Al riguardo, il GDPR elenca all’articolo 5 i sei principi essenziali alla data protection: il trattamento deve essere lecito, equo e trasparente; il trattamento dei dati deve essere limitato allo scopo specifico per il quale sono stati originariamente raccolti (limitazione di scopo); è possibile raccogliere solo i dati assolutamente necessari allo scopo specifico (minimizzazione dei dati); i dati devono essere accurati e aggiornati (accuratezza); i dati devono essere conservati per il necessario al raggiungimento della finalità per la quale sono stati raccolti e trattati (limitazione della conservazione); i dati devono essere elaborati in modo sicuro (integrità e riservatezza).
Le caratteristiche intrinseche della tecnologia Blockchain e della normativa UE sulla protezione dati determinano una lunga serie di interrogativi in merito alla loro compatibilità con il GDPR; soprattutto per quanto attiene alla minimizzazione e alla limitazione dello scopo e del periodo di conservazione. Mentre sembrerebbe soddisfare il principio dell’accuratezza dei dati.
3.1. Lo stato delle tensioni tra Blockchain e GDPR
Prima di approfondire la nostra analisi ci sembra utile precisare che la maggior parte delle problematiche, in seguito affrontate, riguardano le Blockchain pubbliche, il cui esempio più famoso ci è fornito dai Bitcoin, le quali sono “aperte, senza proprietà e concepite per non essere controllate”. Tutti i partecipanti possono ricoprire il ruolo di validatori. Al contrario le Blockchain definite private, seppur altrettanto strutturate sulla base di una logica decentralizzata, limitano l’accesso ad un numero ristretto di attori, i quali condividono rigorose norme e principi.
3.1.1. Difficoltà nell’identificazione del Data Controller:
Il primo ostacolo che si pone al connubio Blockchain-GDPR è connesso alla differente distribuzione del peso nel controllo dei dati. Mentre il GDPR è concepito per applicarsi in un contesto fortemente centralizzato, l’essenza decentralizzata della Blockchain sembra scardinare l’idea stessa di controllo.
L’obiettivo in una Blockchain pubblica è quello di permettere a ciascuno di contribuire all’aggiornamento dei dati sul ledger ed impedire qualsiasi forma di alterazione.
In tale contesto chi si pone nella condizione più adeguata per ricoprire il ruolo di Data Controller? Si tratta dei protocol developers? Dei network users? Dei publishers of smart contracts?
Al riguardo, come verrà precisato in seguito, il CNIL francese sottolinea come non tutti i partecipanti ad una Blockchain possano ottenere tale qualifica. Ad esempio, una persona che vende o acquista Bitcoin per il proprio “account-wallet” non può ricoprire il ruolo di Data Controller.
Si prospetta una situazione differente, invece, se esegue tali transazioni nel corso di un’attività professionale o commerciale, per conto di altre persone fisiche. E’ dunque raccomandabile adottare un approccio case-by-case.
3.1.2. Difficoltà nell’identificare la giurisdizione competente:
Direttamente connessa a tale problematica vi è quella dell’individuazione della jurisdiction competente in caso di controversia relativamente al trattamento dei dati. Infatti, come attribuire la competenza ad una determinata giurisdizione se risulta impossibile identificare il responsabile del trattamento e il luogo in cui vengono elaborati? Anche riguardo a tale questione non vi sono al momento risposte certe e definitive.
3.1.3. Difficoltà nell’anonimizzare i dati personali:
Il GDPR si applica al trattamento di dati personali a meno che questi non siano stati anonimizzati. L’anonimizzazione è il processo elaborativo che impedisce di ricondurre i dati personali alla persona di riferimento. Bisogna dunque rendere impossibile l’identificazione di una persona e far in modo che tale operazione sia irreversibile.
E’ in questa ultima caratteristica che si coglie la differenza con un concetto apparentemente simile: la pseudonimizzazione. Con tale termine si indica il processo che, se da una parte blocca la possibilità di correlare dei dati personali all’identità di una persona, dall’altra non garantisce una possibile re-identificazione del soggetto interessato. Dunque un dato pseudonimo è ugualmente soggetto del GDPR, al pari dei dati personali.
Nel contesto Blockchain le operazioni di anonimizzazione risultano particolarmente ardue per la presenza di alcuni rischi:
– Rischio di inversione, ovvero la possibilità di invertire il processo e ricostituire i dati originali, ad esempio utilizzando il processo di brute force decryption.
– Rischio di linkabilità, ovvero il rischio che sia possibile collegare dati crittografati a un individuo, esaminando il contesto generale o confrontandoli con altre informazioni.
Finché la chiave esiste da qualche parte, i dati possono essere decifrati. Questo è particolarmente vero se consideriamo l’evoluzione costante della scienza della crittografia. Possiamo dunque prevedere, con una certa sicurezza, che le tecniche oggi utilizzate potranno essere messe in discussione in futuro.
3.1.4. Difficoltà nella limitazione della conservazione dei dati:
Il principio della conservazione dei dati per un periodo limitato rappresenta un’ulteriore tensione tra il GDPR e la tecnologia Blockchain. Ai sensi dell’articolo 5 del Regolamento i dati devono essere conservati “per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati“.
La tecnologia Blockchain, al contrario, risponde ad una logica completamente opposta, in quanto i dati, una volta scritti sulla catena non possono essere cancellati. Essi sono pertanto conservati a tempo indeterminato. L’immutabilità è una proprietà chiave della tecnologia. Anche se riuscissimo a identificare un Data Controller, sarebbe tuttavia impossibile tornare indietro e cancellare o aggiornare il report di una transazione senza distruggere la catena.
3.1.5. Difficoltà riguardo le questioni di territorialità:
Il GDPR specifica all’articolo 45 che “il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato”. Tale disposizione si scontra con l’essenza stessa della Blockchain pubblica in quanto, tenuto conto della molteplicità di partecipanti e della libertà di localizzazione inerente a tale tecnologia, risulta impossibile verificare che le garanzie siano state messe in azione. E’ dunque complesso avere la certezza che i dati personali siano stati effettivamente trasferiti verso paesi considerati non “sicuri” dai Garanti europei. Se alcune soluzioni possono essere conseguite nel caso delle Blockchain private, grazie all’utilizzo di clausole contrattuali standard, norme vincolanti d’impresa, codici di condotta o meccanismi di certificazione approvati, nel contesto di una Blockchain pubblica la situazione risulta più problematica, dal momento che è difficile rintracciare la localizzazione dei partecipanti.