Blockchain e GDPR: incompatibilità o prospettive di conformità?

Tra i temi più dibattuti dell’ultimo periodo, in materia di Blockchain, troviamo sicuramente quello della presunta incompatibilità tra la conformazione di tale tecnologia e l’applicazione del Reg. (UE) 2016/679 in materia di tutela e protezione dei dati personali (GDPR); secondo una prima interpretazione, la Blockchain non si presterebbe ad una puntuale applicazione delle norme e dei principi stabiliti nel regolamento europeo, ed anzi, contribuirebbe ad eroderne la portata in ambiti determinati.
La domanda che in molti si pongono è: il Reg. (UE) 2016/679 è applicabile ad una tecnologia le cui principali caratteristiche sono l’immodificabilità e la decentralizzazione?
La risposta in realtà è contenuta nella domanda: guardando la Blockchain con le lenti dell’art. 25 GDPR, e quindi dell’obbligo di privacy by design e by default, sembra che questo insieme di tecnologie possa di fatto diventare una palestra fondamentale per lo sviluppo delle prescrizioni normative in materia di tutela dei dati personali.

Quali sono i punti di contatto tra Blockchain e GDPR?

La Blockchain può comportare, indipendentemente dallo scopo per il quale viene creata e gestita, il trattamento di dati personali, e di conseguenza viene attratta nell’orbita applicativa del GDPR, e ciò sia per la sua struttura che per le tipologie di dati che può contenere. Nello specifico, con riferimento alla struttura, possiamo individuare tre tipi di Blockchain:

  • Permissionless: Blockchain pubblica, contenente tendenzialmente dati pseudonimizzati (che come diremo, rientrano in ogni caso tra i dati personali oggetto di tutela) basata su forme di creazione del consenso distribuite (miners);
  • Permissioned: Blockchain privata, può contenere anche dati personali non pseudonimizzati, basata su forme di creazione del consenso misti e anche gerarchici (contributors);
  • Ibrida: pubblica in lettura ma privata in scrittura, con varie forme di creazione del consenso.

Sul piano dei dati, poi, nella Blockchain possiamo trovare:

  • Dati in chiaro, anche se molto di rado;
  • Chiavi pubbliche dei partecipanti, che possono essere anche persone fisiche;
  • Hash delle transazioni.

Ma quali di questi elementi rientrano nella definizione di dato personale data dall’art. 4 n. 1) GDPR? Secondo la norma, dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabileinteressato»)”, e secondo tale definizione, possiamo affermare come sicuramente le chiavi pubbliche dei partecipanti siano dati personali, in quanto ricollegabili ad una persona che le utilizza, che diviene così identificata o identificabile.
Per quanto riguarda invece gli hash delle transazioni, ovverosia le stringhe alfanumeriche risultato dell’applicazione della relativa funzione e che contengono le informazioni relative alla transazione de qua, tali dati possono rientrare ancora una volta nell’ambito applicativo del GDPR se interpretati alla luce della definizione di pseudonimizzazione, ovverosia quell’operazione di trattamento che fa sì che i dati personali non possano più essere attribuiti all’interessato senza che vengano utilizzate specifiche informazioni aggiuntive. I dati pseudonimizzati rendono così più complessa l’identificazione degli interessati, ma rimangono dati personali in quanto rimane invariato il collegamento tra gli stessi e l’identità, solo non immediatamente intellegibile; ne consegue che anche gli hash delle transazioni potrebbero richiamare l’applicazione del GDPR.

Quali sono i punti di frizione tra Blockchain e GDPR?

Chiarito il possibile ambito di applicazione del GDPR alla Blockchain, vi sono sicuramente alcuni punti di frizione tra le due realtà, che possono essere riassunti come segue:

  • Difficoltà nell’individuazione dell’ambito applicativo territoriale, per il principio di decentramento della Blockchain;
  • Difficoltà nell’individuazione dei ruoli privacy: sempre per il principio di decentramento, chi è il titolare del trattamento? Chi sono i responsabili?
  • Difficoltà nell’applicazione dei principi fondamentali relativi al trattamento di cui all’art. 5 GDPR: si pensi al principio di limitazione delle finalità o di minimizzazione dei dati in un contesto come quello della Blockchain, rappresentata da un insieme di registri distribuiti che vedono i dati replicarsi continuamente;
  • Difficoltà nella definizione delle modalità di esercizio dei diritti degli interessati: si pensi alla richiesta di cancellazione o di modifica dei dati personali in un contesto nel quale le informazioni sono rese – tendenzialmente – immodificabili.

Tutti questi punti hanno portato la recente letteratura a dibattere in merito alla capacità del GDPR di adattarsi alla Blockchain, e della capacità di quest’ultima a rimanere imbrigliata all’interno dei perimetri delineati dalla normativa europea in materia di protezione dei dati personali, portando molti a ritenere l’impasse insuperabile.

Una prospettiva di compatibilità

Ma la Blockchain, come chiarito anche dal recente studio prodotto dal Parlamento Europeo in materia, è un insieme di tecnologie, e in quanto tale essa va guardata alla luce del GDPR, tenendo ben presente, soprattutto, le indicazioni date dall’art. 25 GDPR. Il citato studio, infatti, propone tre strategie di superamento dell’impasse:

  1. L’interpretazione autentica del GDPR, che, in quanto normativa di principio, deve essere interpretata al fine di adattarsi alla Blockchain;
  2. La produzione di codici di condotta e linee guida specifiche;
  3. La ricerca interdisciplinare che si occupi di queste materie contemporaneamente.

Ed è proprio pensando alla terza delle strategie citate che possiamo ricercare nella Blockchain una palestra fondamentale per lo sviluppo delle previsioni del GDPR: la ricerca interdisciplinare potrebbe partire, ad esempio, dagli obblighi di privacy by design e by default, al fine di utilizzare la tecnologia al servizio della tecnologia stessa.
Analizzando il contenuto della norma, infatti, che impone al titolare del trattamento di pensare alla tutela del dato personale per impostazione predefinita, sin dal momento della progettazione del trattamento stesso, ci rendiamo conto di come gli elementi essenziali della privacy by design e by default possano di fatto essere già riconosciuti nella Blockchain.

La norma, ci chiede infatti di tenere conto, nella progettazione di un trattamento, di alcuni elementi e in particolare:

  •  “dei costi di attuazione”, dovendosi intendere qui non solo i costi di manodopera per la gestione di un trattamento, bensì anche gli eventuali risparmi di costo che si possono ottenere tramite l’implementazione di nuove tecnologie;
  • “dello stato dell’arte”, chiamando all’appello, in questa sede, i fornitori di tecnologia, i soggetti che per primi potranno definire di fatto lo stato dell’arte di una determinata tecnologia (o insieme di tecnologie come la Blockchain);
  • “dell’ambito di applicazione, del contesto”, evidenziandosi come la norma, non assertiva, richieda di effettuare valutazioni fattuali, che tengano conto quindi, in questo contesto, della tipologia di tecnologie adottate.

Esaminati questi e gli altri elementi indicati dalla norma, poi, il titolare del trattamento è chiamato a individuare e attivare misure tecniche e organizzative adeguate, “quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati”; pseudonimizzazione che oltre ad essere individuata come misura ad hoc per rafforzare i principi GDPR dalla norma è una misura già ben conosciuta dai sistemi Blockchain.
In questo senso, la Blockchain può di fatto essere considerata una tecnologia in grado di sviluppare i punti appena evidenziati, al fine di superare l’impasse applicativa del Reg. (UE) 2016/679: l’art. 25 GDPR ci spiega come i principi dell’art. 5 devono essere attuati anche a mezzo dell’uso di tecnologie ad hoc, (tra le quali possiamo riconoscere anche la Blockchain) che in questo modo possono rafforzare i criteri applicativi di data protection, secondo un concetto di protezione integrata del trattamento come mezzo per rendere efficace l’applicazione delle norme.
La sfida non sarà quindi tutta e soltanto interpretativa: i fornitori tecnologici saranno chiamati in prima linea a progettare tecnologie Blockchain già by design, e di default, compliant al Reg. (UE) 2016/679, evidenziandosi quindi tutte le potenzialità di questa tecnologia, che per la sua struttura potrà essere sfruttata, al di là delle finalità già conosciute, come strumento di consolidamento dei principi di tutela del dato personale già oggi conosciuti.

L’estratto è stato discusso durante il convegno “Blockchain tra NFT, criptovalute e altri utilizzi. Stato dell’arte e prospettive future” organizzato da UNGDCEC; la registrazione dell’intervento si può rivedere cliccando qui.

Valentina De Nicola

Valentina De Nicola

Nata a Venezia, si è laureata presso l’Università degli studi di Padova presentando una tesi in diritto penale d’impresa dal titolo “Gruppo d’impresa e D.Lgs. 231/2001: problemi e prospettive”. Dopo la laurea ha svolto il praticantato ed è stata abilitata al patrocinio, continuando ad approfondire il tema dei modelli organizzativi che l’hanno progressivamente avvicinata alla materia della data protection. È stata privacy consultant presso una primaria società di consulenza, sviluppando progetti di compliance per società private e pubbliche amministrazioni. È stata abilitata alla professione forense nel 2019, ed è iscritta all'Albo degli Avvocati di Venezia dal 2021, è certificata privacy specialist secondo la norma UNI ISO 11697:2017 presso AICQ SICEV, e sta continuando il suo percorso di specializzazione ultimando il Master di II livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università di Roma Tre; è interessata allo sviluppo di sistemi di gestione aziendali e nel tempo libero si dedica alla musica e alla lettura.