Alexandra Giannopoulou & Valeria Ferrari*
Titolo originale: Distributed Data Protection And Liability On Blockchains. In INTERNET SCIENCE. 5th International Conference, INSCI 2018. St.Petersburg, Russia, October 24-26, 2018. Proceedings, Vol. 2. Workshops (Lecture Notes in Computer Science). Springer. Amsterdam Law School Research Paper No. 2019-06. Institute for Information Law Research Paper No. 2019-03
Original version also avilable at SSRN
Abstract
Le blockchain e il GDPR perseguono un obiettivo simile laddove cercano di garantire agli utenti un maggior controllo sui loro dati personali. Mentre il GDPR persegue questo obiettivo imponendo obblighi di tutela a titolari e responsabili del trattamento centralizzati, le blockchain fanno un passo oltre provando ad eliminare tali soggetti e il bisogno di fiducia in essi. Tuttavia, le disposizioni del GDPR si applicano ogni qualvolta sono in gioco dati personali sicché diversi attori dell’ecosistema blockchain sono soggetti a responsabilità per il trattamento di dati da loro compiuti in violazione della legge. Una possibile soluzione è quella di ricontestualizzare i concetti di titolarità del trattamento dati e relativa responsabilità, così come delineati dal GDPR, alla luce della maggiore autonomia individuale delle blockchain. Nel presente lavoro, impostiamo le linee generali per una più approfondita analisi del ruolo degli utenti nella loro doppia veste di soggetti interessati e di titolari del trattamento dei registri distribuiti.
1. Introduzione
Lo sviluppo di tecnologie decentralizzate su larga scala è il Santo Graal della riorganizzazione delle strutture sociali. I diversi gradi di decentralizzazione e le diverse strutture che si creano attorno ad essi, mirano a rafforzare gli individui e a conseguire un obiettivo di consapevolezza sociale collettiva [R. 10-11]. La tecnologia Blockchain rappresenta l’ultima soluzione tecnologica per decentralizzare il problema della fiducia nelle fondamentali interazioni sociali ed economiche. Il crescente interesse per le blockchain riflette una rinnovata esigenza di riorganizzazione del potere attraverso l’eliminazione di inutili e inaffidabili intermediari.
La blockchain è la combinazione di tecnologie preesistenti [R. 6-7] il cui risultato è un mezzo digitale dal potenziale dirompente. Si tratta di un database distribuito immodificabile (che può essere solo aggiornato per addizione e non per sottrazione) che connette un network decentralizzato di nodi utilizzando un ventaglio di soluzioni criptografiche. I partecipanti al network si coordinano l’un l’altro sulla base di regole di consenso espresse in un algoritmo codificato nel protocollo blockchain che continuamente aggiorna il database. L’applicazione di questa tecnologia promette di eliminare la necessità della fiducia, di intermediari affidabili e di istituzioni affidabili in numerosi ambiti ad intervento umano[1]. Il protocollo assicura la piena trasparenza; la verificabilità matematica delle transazioni gestite attraverso l’infrastruttura digitale offre un’alternativa alle istituzioni e agli intermediari organizzati in modo centralizzato [R. 3]. La tecnologia blockchain fornisce in tal modo un meccanismo per garantire la sicurezza nelle transazioni registrate tra parti che non si conoscono o che non hanno reciproca fiducia.
L’architettura tecnologica distribuita della blockchain richiede anche l’articolazione di principi di governance poiché il continuo e crescente coinvolgimento di nuovi attori crea il bisogno per processi decisionali più organizzati. L’ambito in cui questi nuovi attori trattano i dati è in parte definito dalla loro stessa attività di governance di progetto, ma è per lo più definita dall’architettura dell’infrastruttura tecnica della blockchain a vari livelli. La combinazione di tali elementi determina anche la qualifica legale del loro ruolo nonché le loro responsabilità.
Alla luce di tali considerazioni, diventa palese che le scelte tecnologiche e di governance di sistemi decentralizzati hanno un impatto sulla compliance legale [R. 5]. Sebbene la tecnologia blockchain si presenti come un’alternativa a modelli centralizzati dell’informazione e della gestione del valore, è nondimeno soggetta alla legge al pari di qualsiasi altro fenomeno, all’interno del rispettivo quadro regolamentare. A tale riguardo, istituti quali territorialità, riservatezza, tutela dei dati personali e responsabilità costituiscono una sfida legale quando applicati a soluzioni blockchain.
La recente riforma europea in tema di tutela dei dati personali dispone che il design tecnologico di servizi web e di soluzioni applicative deve tenere conto di diritti e obblighi disposti dal contesto normativo.
Il General Data Protection Regulation (GDPR) – entrato in vigore il 25 maggio 2018 – impone la ristrutturazione della maggior parte dei sistemi e dei processi che gestiscono servizi di raccolta e trattamento di dati personali al fine di rendere effettivo l’esercizio dei diritti dei soggetti interessati e gli obblighi dei titolari. La decentralizzazione è un “a priori” compatibile con le regole sulla protezione dei dati personali. Tuttavia, il modello centralizzato di trattamento dati che il GDPR contempla – che a sua volta presuppone l’esistenza di un singolo fornitore di servizi di processi informatici –[2] rende tali regole difficili da rispettare nel contesto di una blockchain decentralizzata. In via di principio, sia la tecnologia blockchain che il GDPR aspirano a incrementare i livelli di trasparenza, usabilità e fiducia. Da un lato, il GDPR lo fa identificando un soggetto centrale che ha il controllo del trattamento del dato e assume per ciò specifici obblighi. Dall’altro lato, l’architettura distribuita e decentralizzata della blockchain assicura la fiducia e la trasparenza, non tanto facendo affidamento su pochi attori centrali, ma incentivando l’utilizzo della potenza di elaborazione della sua base utenti distribuita. Tuttavia, sebbene gli obiettivi delle blockchain e del GDPR siano simili, il loro rispettivo approccio diverge ad un livello fondamentale.
Ciò nonostante, le blockchain, quali database distribuiti ed eseguiti in tutto il mondo, devono conformarsi alle leggi sulla protezione dei dati personali. Il rispetto del GDPR sarà necessario per tutte le applicazioni blockchain le cui attività includono «trattamento di dati effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione». Ciò che vale la pena di approfondire è quali dati rientrano nell’ambito di applicazione degli obblighi del GDPR e se il rispetto della legge possa essere imposto a, o garantito da, gli attori che emergono in varia applicazioni blockchain. Se il GDPR introduce il concetto di privacy by design, è interessante esaminare come il design tecnologico della blockchain può essere modellato per conformarsi alle regole sulla protezione dei dati personali.
2. Definire i dati personali nella blockchain
L’archiviazione e l’elaborazione dati sono al centro di ogni blockchain. I principi di data protection contenuti nel GDPR sono applicabili solo ai dati che possono qualificarsi come personali[3] secondo la definizione introdotta dal Regolamento. Al tempo stesso, l’analisi elaborata dal Gruppo di Lavoro Articolo 29 (WP29) sul concetto di dato personale [R. 2] può servire come linea guida interpretativa per i giudici. L’obbligo di garantire la conformità dipenderà in primo luogo dalla qualificazione dei dati memorizzati ed elaborati in blockchain.
Mentre l’archiviazione e il trattamento dei dati personali rientrano nello scopo fondamentale delle regole sulla protezione dei dati personali, i dati che non sono qualificati come personali non sono soggetti al medesimo regime. Laddove invece la qualifica di dato personale si applichi, le regole del GDPR generalmente richiedono il consenso del soggetto interessato per la raccolta, l’archiviazione e il trattamento dei dati. Per di più, tale qualifica comporta il rispetto di ulteriori obblighi di tutela e protezione dei dati personali e prevede la responsabilizzazione (accontability) in capo agli attori coinvolti nelle operazioni di trattamento dati.
Allo stato attuale di sviluppo tecnologico – e nel rispetto dell’interpretazione di dato personale fornita dalla CGUE –, le blockchain che operano come database che trattano dati senza confini territoriali ricadono probabilmente nell’ambito di applicazione del GDPR.
Qualificare o meno come dato personale il dato archiviato in blockchain è uno dei temi fondamentali che bisogna affrontare al fine di identificare i requisiti regolamentari a cui la tecnologia deve conformarsi. Il contestuale approccio, fluido e in continua espansione, per cui si qualifica come personale un dato, affiancato dal rapido progresso tecnologico nel campo della data aggregation e del data analytics, sta progressivamente trasformando il GDPR nella “Legge del tutto”. Per esempio, non è raro che un dato sia «anonimo al momento della raccolta, ma diventi personale più tardi, solo rimanendo dov’è, semplicemente per effetto del progresso tecnologico» [R. 8].
I dati archiviati e trattati in blockchain potrebbero essere potenzialmente qualificati come personali se si riferiscono ad una persona fisica identificabile. Per esempio, ci sono dati che identificano o che sono associati a transazioni che avvengono tra utenti. Queste possono includere frammenti di dati in chiaro, ma la maggior parte di essi sono archiviati in blockchain in forma crittografata come impronte hash. A causa del tipo di informazione che essi normalmente convogliano, tali dati sono chiamati transactional data. Anche le chiavi pubbliche degli utenti che partecipano alle transazioni, e che fanno riferimento alle somme che ciascun conto può spendere nel network, posso essere qualificate come dati personali. La loro qualificazione come dati anonimi[4] le farebbe cadere fuori dall’ambito di applicazione del GDPR.
Oltre ai dati in chiaro – che sono molto raramente archiviati in blockchain per motivi di efficienza –, i dati di transazione in forma cifrata e con hash, nonché le chiavi pubbliche, sono considerati dati pseudonimi nel contesto del Regolamento sulla protezione dati. In particolare, i dati cifrati sono vulnerabili alle tecniche di decifratura che riportano il dato al suo stato originario così rilevando le informazioni relative ad una persona identificata o identificabile. Allo stesso modo, le impronte hash possono essere ricondotte ai dati da cui sono ottenute e possono portare alla identificazione del soggetto interessato. Così, sebbene ampiamente impiegate per assicurare la sicurezza delle transazioni, queste tecniche non garantiscono l’anonimato, ma semplicemente il pseudonimato.
Ai sensi dell’articolo 4(5) del GDPR, la pseudonomizzazione è definita come «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile». Le tecniche di pseudonomizzazione non impediscono che i dati personali siano attributi al soggetto interessato [R. 9] né che si applichi il GDPR. Pertanto, in assenza di altri legittimo scopi del trattamento come indicati dal GDPR, l’archiviazione e il trattamento di tale tipo di dati richiede il consenso del soggetto interessato, in ossequi agli obblighi e diritti the il Regolamento ascrive agli utenti e attori. Tale consenso è difficilmente provato o espresso nelle transazioni in blockchain.
Le tecniche di hashing e di cifratura sono già state identificate dal Gruppo di Lavoro ex Articolo 29 [R. 1] come tecniche di pseudonomizzazione (quindi, non come anonimizzazione), quindi al reindentificazione del soggetto interessato può essere considerata difficile, ma non è irreversibilmente impedita. Tuttavia, anche se la reidentificazione di dati pseudonimi nella blockchain può avere successo, lo sforzo richiesto per conseguirla rimane dipendente dal metodo usato per la cifratura o per generare l’hash del dato nonché sulle prerogative di archiviazione dei dati in blockchain. Sicché, la difficoltà di reidentificazione dipende da diverse variabili che possono essere più o meno relative alle tecnologie impiegate.
In generale, i dati pseudonimi si qualificano come tali ogni volta che la reidentificazione può essere raggiunta entro una ragionevole quantità di tempo e sforzo.
Anche se qualificati a priori come pseudonimi, le chiavi pubbliche possono in certe circostanze, che dipendono dalle tecniche e l’architettura scelte nella blockchain, non condurre affatto alla identificazione della persona fisica applicando sforzi tecnici di reidentificazione all’interno del limite citato dal GDPR dei mezzi ragionevoli. In generale, la pratica ha mostrato che le chiavi pubbliche possono essere ricondotte ad una persona fisica in vari modi, ma ci possono essere casi in cui tale identificazione diventa meno facile[5]. Allo stesso tempo, i dati che sono ad un certo punto considerati anonimi sono in grado di condurre alla identificazione a causa della disponibilità di progressi tecnologici in un ambiente in cui i dati sono destinati a essere archiviati per un periodo di tempo indeterminato. Nei fatti, la qualificazione dei dati anonimi è connessa all’assenza di processi di reidentificazione. Tuttavia, la qualifica di inequivocabile anonimato diventa più difficile per i dati memorizzati su blockchains, perché – considerata la mancanza di limiti di tempo di archiviazione che la blockchain implica – la valutazione tecnologica dell’anonimato diventa più fluida. Pertanto, i dati anonimi si avvicinano alla qualifica di dati pseudonimi ogni volta che la probabilità di de-anonimizzazione aumenta per effetto di nuove scoperte tecnologiche. Il significato legale di tale cambiamento di qualifica da dato anonimo a dato pseudonimo è che il dato in questione ricade ancora nell’ambito di applicazione del GDPR.
L’estensione dei significati di adeguato e necessario richiamati nel principio di minimizzazione del trattamento contenuto nel GDPR è stata proposta come una possibile soluzione alternativa per i dati pseudonimi che sono conservati on-chain e off-chain. Ai sensi dell’articolo 25, paragrafo 1, del GDPR, l’implementazione di «misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione» è necessaria. Le prerogative del rispetto di tali requisiti per gli architetti di sistemi blockchain rimangono incerte, perché l’applicazione del GDPR alla tecnologia non è chiara. Il rispetto dell’obbligo di minimizzazione dei dati attraverso scelte di progettazione architettonica della blockchain potrebbero dimostrare rapidamente i limiti della soluzione proposta. Ad esempio, non è chiaro quale delle varie applicazioni dei metodi di crittografia risponderebbe meglio all’obbligo di minimizzazione dei dati poiché il progresso tecnologico in questo dominio è in costante cambiamento.
Come suggerisce il GDPR, il design tecnologico può essere impostato per ottenere risultati di conformità legale e fornire agli utenti gli strumenti necessari per invocare la tutela dei propri diritti sui dati; quindi, gli utenti potrebbero esercitare i loro diritti partecipando al processo di scelta progettuale tecnologica selezionando le tecnologie che sono più rispettose delle regole sulla privacy. I limiti di consapevolezza dell’utente sono messi in discussione quando occorresse stabilire se «appropriate misure tecniche e organizzative» sono state adottate dall’architettura blockchain, come ad esempio la pseudonimizzazione utilizzando apposite tecnologie sicure o particolari scelte tecnologiche di archiviazione dei dati personali.
L’interazione tra la qualifica di dati personali e non personali e i conseguenti requisiti legali applicabili ai progetti basati su blockchain, pertanto, saranno un fattore determinante nelle decisioni tecnologiche. Infine, l’immutabilità delle blockchain pone una sfida particolare al diritto di controllo dell’utente sui propri dati personali, introdotto dal GDPR. L’uso di soluzioni tecnologiche quando si affrontano sfide legali potrebbe finire per riconciliare queste due caratteristiche che rappresentano la trasparenza da un lato e la privacy dall’altro. Secondo lo stato degli standard tecnologici accettati ad oggi per quanto riguarda la crittografia o l’archiviazione e l’elaborazione dei dati, il ridislocamento di una blockchain a seguito di un fork dell’intera catena di blocchi potrebbe essere considerato come uno strumento che garantisce una protezione dei dati più appropriata. Tuttavia, le conseguenze imprevedibili di queste scelte tecnologiche potrebbero finire col danneggiare la struttura centrale e l’ideologia stessa che ha giustificato la creazione della tecnologia blockchain.
3. La responsabilità degli attori basata sull’architettura.
Le scelte architettoniche di progettazione della tecnologia blockchain sono determinate dall’obiettivo di garantire la trasparenza, migliorare la sicurezza e la privacy e, infine, trasferire più potere agli utenti garantendo al contempo la scalabilità. Più specificamente, l’interazione tra decentramento e privacy mira a migliorare il controllo degli utenti. Le scelte che definiscono le interazioni tra la tecnologia e gli attori coinvolti procedono con il dimostrare la priorità tra i diversi obiettivi e interessi che alla fine producono un equilibrio ottimale tra loro. Il progetto finale riflette queste scelte, in quanto il grado di decentralizzazione di ciascun sistema definisce il grado di controllo attribuito ai diversi attori. La conformità delle blockchain alle regole del GDPR sembra, al giorno d’oggi, improbabile, dal momento che alcune caratteristiche tecniche fondamentali delle tecnologie decentralizzate sono in conflitto diretto con quest’ultimo. Tuttavia, la malleabilità del design tecnico, la varietà di possibili schemi di governance e gli interessi coinvolti nello sviluppo della tecnologia aprono la possibilità alla costruzione di blockchain conformi a GDPR [R. 4]. Quali scelte richiederebbe una tale costruzione deve ancora essere compreso.
Nella costruzione di tecnologie a registro decentralizzato, gli obiettivi confliggenti di trasparenza e protezione dei dati impongono un processo di bilanciamento che dipende e influenza, in ultima analisi, i ruoli e le responsabilità dei vari attori coinvolti nella creazione e nel mantenimento del network. Gli obblighi e le responsabilità legali sanciti nel GDPR, si applicano – in presenza di dati qualificati come personali – a quegli attori che svolgono funzioni di controllo e trattamento rispetto ai dati personali, come definiti dallo strumento giuridico stesso. La responsabilità degli attori per la memorizzazione o l’elaborazione dei dati attraverso una rete blockchain dipende, in primo luogo, dalla qualificazione dei dati memorizzati su blockchain come dati personali. Quindi, la domanda che deve essere affrontata è: quali attori sono, nel contesto delle blockchain, suscettibili di essere qualificati come titolari o responsabili del trattamento dei dati come indicati dal Regolamento europeo?
Nelle infrastrutture di archiviazione dati centralizzate, una singola entità legale è generalmente responsabile di un determinato server o cloud. In una blockchain, invece, la memorizzazione e l’elaborazione dei dati sono sparse in una rete di computer non facilmente identificabili, e il design della tecnologia ci dice molto poco sull’uso effettivo dei dati da parte degli attori coinvolti.
Ai sensi del GDPR, per “titolare” si intende «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali». In uno scenario blockchain, questa definizione potrebbe, a prima vista, essere attribuita meglio agli sviluppatori, poiché «impostano il codice di progettazione e (di fatto) governano registri distribuiti» [R. 12]. Gli sviluppatori, nelle blockchain pubbliche, hanno la capacità tecnica di determinare in che modo i dati vengono convalidati, archiviati ed elaborati dai nodi del network. Tuttavia, gli sviluppatori – almeno in teoria – sono legati al consenso del network considerando che, per poter aggiornare o modificare con successo il protocollo, la rete dei nodi di convalida deve dimostrare il proprio accordo con una scelta dichiarata aggiornando, coerentemente ad essa, il loro funzionamento. Pertanto, fintanto che gli sviluppatori si limitano ad eseguire semplicemente ciò su cui la maggior parte del gruppo di consenso è d’accordo, non possono essere considerati stakeholder effettivi nel sistema di governance della blockchain né possono essere considerati una fonte di determinazione indipendente sull’elaborazione dei dati [R. 4].
Il GDPR consente alle persone di controllare i propri dati personali; ma assume anche che attori chiaramente identificati (o identificabili) abbiano il controllo sulla memorizzazione e l’elaborazione di tali dati e siano quindi responsabili di tale controllo. La potenziale responsabilità ai sensi del GDPR potrebbe quindi applicarsi a quei soggetti che assumono il ruolo di fonti di potere centralizzate all’interno dell’ecosistema blockchain, in quanto mediano le interazioni tra gli utenti e tra gli utenti e il libro mastro digitale. Tali fonti comprendono una vasta gamma di enti come le piattaforme (ad esempio Ethereum, Filecoin, Dash ecc.), i service provider (gli exchange di criptovalute, i wallet provider) e le aziende che sviluppano tutti i tipi di applicazioni che operano nel protocollo blockchain.
Si consideri, ad esempio, un crowdfunding aziendale eseguito mediante l’emissione di un token sulla piattaforma Ethereum. Al ricevimento dei fondi, la società raccoglierà ed eventualmente analizzerà tutte le chiavi pubbliche – e i dati associati – degli utenti (eventualmente pseudonimizzati) che hanno partecipato alla vendita dei token; tali dati pseudonimi, tuttavia, saranno anche accessibili pubblicamente sulla blockchain di Ethereum, sacrificando la privacy dei clienti della società a favore della necessaria trasparenza del libro mastro.
Pertanto, la società può essere ritenuta responsabile per la tutela dei diritti dei dati degli utenti? Oppure dovrebbe essere considerata titolare dei dati la piattaforma Ethereum – che costruisce l’infrastruttura tecnica e definisce le modalità di elaborazione dei dati?
Questa domanda non ha certamente una risposta chiara. L’uso dei dati e la capacità di determinare i mezzi di elaborazione dei dati variano in modo significativo in base alla governance e alla progettazione tecnologica di ciascun protocollo blockchain e delle piattaforme create su di esso. I ruoli degli attori dello spazio blockchain non corrispondono direttamente alle definizioni fornite nel GDPR. Inoltre, la gerarchia di livelli di una infrastruttura blockchain (blockchain stack) aggiunge complessità all’individuazione di ruoli e responsabilità in relazione al trattamento dei dati.
La progettazione tecnica delle blockchain impone che l’intero network condivida e convalidi il libro mastro delle informazioni. Pertanto, nessun singolo responsabile del trattamento – che, secondo la definizione GDPR, è «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento» – può essere identificato. Piuttosto, tale qualifica potrebbe applicarsi a tutti i nodi che eseguono la blockchain al fine di convalidare le transazioni come ad esempio i miner o i nodi qualificati[6]. Tuttavia, in questi esempi il GDPR fallisce nuovamente e non può essere applicato in modo corretto e chiaro. Ogni singolo nodo o miner, infatti, non è in grado di determinare l’esito del processo di convalida, poiché il suo funzionamento dipende dalle regole incorporate nel protocollo e dalla cooperazione del gruppo di consenso. Inoltre, solo alcuni tipi[7] di nodi (ovvero “full nodes”, “super nodes”) scaricano l’intera blockchain e contribuiscono a convalidare e supportare il libro mastro condiviso, e il livello di coinvolgimento dei nodi nelle operazioni di trattamento dei dati varia a seconda dell’algoritmo di consenso applicato e del livello di apertura della configurazione blockchain.
Finché i dati memorizzati nel libro mastro vengono considerati dati personali, la progettazione tecnica della blockchain presenterà diversi problemi di conformità al GDPR. L’archiviazione distribuita di informazioni, la trasparenza e l’immutabilità dei dati sono, infatti, condizioni fondamentali delle tecnologie blockchain, poiché sono funzionali allo scopo di creare un repository di informazioni attendibile e a prova di manomissione per un network di utenti che non si fidano necessariamente l’uno dell’altro. Tale design, quindi, può essere visto come qualcosa di più del prodotto di interessi o scelte di pochi soggetti controllanti. Rappresenta, idealmente, la soluzione a un problema collettivo: quello della cooperazione in reti peer-to-peer geograficamente sparse di utenti anonimi.
Gli utenti che aderiscono ad una rete blockchain non si impegnano a trasferire unilateralmente i propri dati a una parte controllante. Piuttosto, memorizzano le informazioni in un sistema in cui sono sia soggetti interessati che titolari del trattamento, considerato che tutti gli utenti – così come le società, le piattaforme e gli altri potenziali key-player – condividono le stesse informazioni e sono soggetti a regole di trattamento dati comuni, basate sul consenso.
Nelle blokchain permissionless, ogni individuo è autorizzato a diventare non solo un utente ma anche un partecipante attivo nel meccanismo di archiviazione e elaborazione dati stabilito dal protocollo. Questo è il punto in cui il GDPR non si adatta all’impostazione tecnologica blockchain: una chiara distinzione tra i titolari del trattamento e i soggetti interessati, come indicato dagli strumenti giuridici, non può essere attuata nelle DLT. È attesa un’ulteriore indagine sulla ricontestualizzazione dei concetti di controllo e responsabilità dei dati, come delineata dal GDPR, alla luce della maggiore autonomia individuale della blockchain, e potrebbe risolvere i problemi di conformità nelle tecnologie decentralizzate.
4. Conclusioni.
Il maggior coinvolgimento degli utenti nell’elaborazione dei dati che si verifica nelle reti blockchain riflette, in qualche modo, il tentativo del GDPR di garantire agli utenti un più alto grado di controllo sui propri dati. Tuttavia, finché i dati elaborati sono qualificati dati personali come definiti dal GDPR, il dettato dello strumento giuridico europeo non smetterà di esercitare i suoi effetti a causa dell’ideologia stessa alla base delle tecnologie distribuite. Nel presente lavoro si sono fornite possibili interpretazioni del GDPR – ovvero la definizione di dati personali, di titolare e responsabile del trattamento – per adattarlo a contesti tecnologici DLT. A questo proposito, il documento sottolinea che – mentre possono certamente essere conciliati a livello concettuale – i requisiti di protezione dei dati e l’organizzazione delle informazioni attraverso blockchains presentano diversi punti di conflitto. I problemi evidenziati non sono esaustivi, e ulteriori questioni, come l’applicabilità del diritto alla cancellazione e il diritto alla rettifica in scenari tecnici blockchain, meritano attenzione. Questo lavoro, quindi, richiede ricerche più ampie su soluzioni praticabili per rendere GDPR e blockchain una coppia perfetta.
References
R. 1. Article 29 Working Party, Opinion 04/2014 on Anonymisation Techniques, 0829/14/EN
R. 2. Article 29 Working Party, Opinion 4/2007 on the Concept of Personal Data, 01248/07/EN WP136
R. 3. Dingle S (2018), In Math We Trust: Bitcoin, Cryptocurrency and the Journey To Being Your Own Bank. Tracey McDonald Publishers
R.4. Finck M (2018), Blockchains and Data Protection in the European Union, EDPL, 4(1):17-35, https://doi.org/10.21552/edpl/2018/1/6
R. 5. Ibanez LD, O’Hara K, Simperl E (2018) On Blockchains and the General Data Protection Regulation, https://eprints.soton.ac.uk/id/eprint/422879
R. 6. Nakamoto S (2009), Bitcoin: A Peer-to-Peer Electronic Cash System. https://bitcoin.org/bitcoin.pdf
R. 7. Narayanan A, Clark J (2017), Bitcoin’s academic pedigree, Communications of the ACM, 60(12):36–45. doi:10.1145/3132259
R. 8. Purtova N (2018), The law of everything. Broad concept of personal data and future of EU data protection law, Law, Innovation and Technology, 10(1):40-81, doi 10.1080/17579961.2018.1452176
R. 9. Schmelz D, Fischer G, Niemeier P, Zhu L, Grechenig T (2018), Towards Using Public Blockchain in Information-Centric Networks: Challenges Imposed by the European Union’s General Data Protection Regulation, In: Proceedings of 2018 1st IEEE International Conference on Hot Information-Centric Networking (HotICN 2018), pp. 223-228
R. 10. Wright A, De Filippi P (2015), Decentralized Blockchain Technology and the Rise of Lex Cryptographia. https://doi.org/10.2139/ssrn.2580664
R. 11. Wright, A, De Filippi P (2018), Blockchain and the Law: The Rule of Code, Cambridge, MA: Harvard University Press
R. 12. Zetzsche DA Buckley RP, Arner DW (2017), The Distributed Liability of Distributed Ledgers: Legal Risks of Blockchain, University of New South Wales Law Research Series. Law Working Paper Series, Number 2017-007, http://dx.doi.org/10.2139/ssrn.3018214
* Entrambe le Autrici: presso Blockchain and Society Policy Lab, IViR, University of Amsterdam, 1018WV The Netherlands ([email protected]; [email protected])
[1] Secondo il creatore dei Bitcoin, Satoshi Nakamoto, «ciò di cui abbiamo bisogno è in un sistema di pagamento elettronico basato su prova criptografica anziché sulla fiducia, permettendo a due parti di interagire direttamente l’un l’altra senza bisogno di una terza parte affidabile».
[2] Il Regolamento 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). D’ora innanzi, il GDPR.
[3] Ai sensi dell’articolo 4(1) GDPR, I dati personali sono definiti come «qualsiasi informazione riguardante una persona fisica identificata o identificabile».
[4] Secondo il parere sulle tecniche di anonimizzazione del Gruppo di Lavoro ex Articolo 29, i dati sono considerati anonimi solo quando il loro trattamento impedisce irreversibilmente l’identificazione.
[5] Per esempio, alcuni applicazioni end-user permettono la generazione di una nuova chiave pubblica per ciascuna transazione, così che diventa difficile mettere in relazione un set di transazioni con un utente identificabile. Per di più, criptovalute come Monero impiegano tecniche sofisticate come la ring signature e la Ring Confidential Transaction che impedisono di ricondurre le transazioni e i fondi alle chiavi pubbliche.
[6] Si tenga presente che il presente lavoro si riferisce in generale alle cosiddette blockchain “pubbliche”, “permissionless”, in cui ogni utente può accedere ai dati, partecipare al network come validatore o registrare transazioni senza restrizioni geografiche o basate specifiche attribuzioni. Come riconosciuto dal parere CNIL su tale materia, le blockchain “private” non pongono problemi specifici in merito all’attribuzione di responsabilità per la conformità al GDPR. Infatti, poiché le blockchain private sono sviluppate e mantenute da uno o più attori identificati, si atteggiano come database tradizionali la cui archiviazione è distribuita, ma controllata centralmente.
[7] Ad esempio, i minatori non sono in grado di influenzare individualmente i cambiamenti nel protocollo. Non possono alterare o modificare i dati. Non sono in grado di scegliere quali dati sono memorizzati sulla blockchain né i criteri in base ai quali essi vengono memorizzati.