di Francesco Rampone
26 ottobre 2019
Molti contributi scientifici, anche di firme importanti, insistono nell’affermare che la tecnologia blockchain, e in particolare le soluzioni permissionless, sono incompatibili con le regole del GDPR. Secondo tali autori (che si adagiano sui primi lavori pubblicati sul rapporto DLT-GDPR[1]), il punto nodale è sempre lo stesso: gli hash e le chiavi pubbliche sono invariabilmente dati personali. Sono cioè, secondo una certa definizione, dati pseudonimi, ovvero dati riconducibili ad una identità specifica grazie all’esistenza da qualche parte nel mondo di liste di corrispondenza che accoppiano i dati personali alle stringhe alfanumeriche impresse nei blocchi.
Corollario di tale tesi è la qualificazione dei nodi del network come titolari autonomi del trattamento, o al più come responsabili dello stesso, quindi obbligati al rispetto di una serie di adempimenti che impediscono di fatto il legittimo impiego della tecnologia a registro distribuito.
I lavori tutti concludono auspicando un intervento legislativo correttivo diffidando, nelle more, dall’adozione di soluzioni permissionless e paventando l’impossibilità di enforcement della legge.
Tale presunta inconciliabilità tra blockchain e GDPR è sempre sostenuta citando due lavori del Gruppo di Lavoro Art. 29 (oggi noto come Comitato Europeo per la Protezione dei Dati): il Parare 04/2007 sul concetto di dato personale (WP136) pubblicato il 20 giugno 2007, e il Parere 05/2014 sulle tecniche di anonimizzazione pubblicato il 10 aprile 2014 (WP216).
Ebbene, né il GDPR né i citati pareri del 2007 e del 2014 dispongono, o lasciano supporre, che i dati soggetti a tecniche di pseudonimizzazione (hash e chiavi pubbliche) debbano sempre e comunque essere considerati dati personali. Invero, il concetto di dato personale che emerge dal Regolamento e dai pareri, se letti con attenzione, ha natura dinamica, dipende cioè dalle circostanze al contorno sicché la pseudonomizzazione, contrariamente da una diffusa opinione, deve essere considerata una tecnica giusta che lascia fuggire i dati in blockchain dall’orbita di applicazione del GDPR, cioè li degrada da personali a non personali. In altri termini, i dati pseudonimizzati sono dati personali solo a certe condizioni che in genere non ricorrono, o che possono facilmente essere aggirate, anche nelle reti permissionless.
Nel mio recente articolo, GDPR is not an hurdle to DLT permissionless solutions (disponibile su SSRN), sottopongo ad analisi il network aperto più famoso, bitcoin, ed espongo in modo dettagliato, con esempi teorici e pratici, i motivi per cui le impronte hash e le chiavi pubbliche non sono di per sé dati personali. Concludo, quindi, sostenendo la perfetta compatibilità tra GDPR e blockchain, sempreché siano rispettati determinati accorgimenti nell’architettura di base del network e nel protocollo di consenso e trattamento dati.
Sulla posizione possibilista da me sostenuta fin dalla prima ora, ma purtroppo ancora minoritaria, si attesta anche il recente lavoro della AEPD/EDPS (https://edps.europa.eu/sites/edp/files/publication/19-10-30_aepd-edps_paper_hash_final_en.pdf).
Segnalo poi al riguardo il pregevole lavoro dell’ENISA sulle tecniche di pseudonimizzazione (https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices), recentemente tradotto anche in Italiano e disponibile gratuitamente. Tanti suggerimenti su come scongiurare la qualifica di dato personale.
[1] Mi riferisco soprattutto ai paper di P. De Filippi, The interplay between decentralization and privacy: the case of blockchain technologies, in Journal of Peer Production, Issue n.7: Alternative Internets» 2016; M. Finck, Blockchain and Data Protection in European Union, in Max Planck Institute for Innovation & Competition Research, Paper No. 18-01, feb. 2018.