Blockchain e titolare del trattamento dei dati personali: il nodo rimane irrisolto

20 Gennaio 2020

di Alberto Gambino, presidente di IAIC
e Chantal Bomprezzi, fellow di IAIC

1. Il titolare del trattamento come figura centrale del GDPR.

Con il nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) l’importanza e il ruolo del titolare del trattamento assume ancora maggior rilievo. In particolare, il legislatore europeo ha adottato un nuovo approccio al rischio per mezzo dell’introduzione del principio di Accountability, che rappresenta una tra le novità più significative della nuova disciplina. Il termine “accountability” è sinonimo di “responsabilità”, che incombe sul titolare in maniera più accentuata rispetto al passato. Si abbraccia, cioè, una concezione del rischio che non è limitata alla fase della violazione, ma che si estende anche a quella precedente, in cui il dato non è stato violato ma potrebbe esserlo sulla base di determinati rischi che spetta al titolare valutare, approntando tutta una serie di accorgimenti in via cautelativa. Anzitutto, ai sensi dell’art. 32 Reg., il titolare deve decidere le “misure tecniche e organizzative” da adottare: “tecniche”, nel senso che deve stabilire delle misure di sicurezza tecnologiche che possano proteggere i dati da manomissioni esterne o divulgazioni non autorizzate; “organizzative”, in termini di governance dell’attività per cui il trattamento è effettuato. L’attenzione alla prevenzione si estrinseca, all’articolo 25 del Regolamento, anche nei concetti di data protection by design (sin dalla progettazione) e data protection by default (per impostazione predefinita), che prevedono l’adozione di specifiche tecniche di sicurezza, quali la pseudonimizzazione o la minimizzazione dei dati, al fine di impedire il trattamento oltre le finalità a cui il titolare abbia acconsentito e l’accessibilità ad un numero indefinito di persone. Qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare, dopo aver effettuato una valutazione d’impatto (art. 35 Reg.), è tenuto a consultare l’Autorità di controllo nazionale prima di procedere al trattamento (art. 36 Reg.). Nel caso, invece, in cui avvenga comunque una violazione, il titolare deve notificarlo all’Autorità di controllo e all’interessato (data breach notification, artt. 33 ss. Reg.). Il titolare del trattamento è tenuto a fornire all’interessato tutta una serie di informazioni, tra cui la propria identità e le proprie informazioni di contatto. In sintesi, a mente del GDPR, il titolare del trattamento è un soggetto che occupa una posizione centrale, al quale gli interessati possono rivolgersi per far valere i principi e i diritti in materia di protezione dei dati personali, e sul quale incombono specifiche responsabilità.

Il titolare del trattamento diviene tale di fatto, senza una specifica formalità prescritta dalla legge, per cui sono le circostanze a far comprendere chi determina “finalità e mezzi del trattamento” (art. 4, par. 1, n. 7 Reg.), assumendo la responsabilità dell’osservanza delle norme a protezione dei dati personali. Con “finalità” si intende il “perché” del trattamento, mentre con “mezzi” il “come”, vale a dire i mezzi tecnici ma anche organizzativi del trattamento (ad esempio, chi può avere accesso ai dati). È possibile che, ai sensi dell’art. 26 Reg., più soggetti siano titolari del trattamento (o contitolari).

Ciò premesso, l’individuazione del titolare del trattamento con riferimento alla blockchain rappresenta uno dei più controversi oggetti di dibattito circa il rapporto tra tale tecnologia e il GDPR.

2. La blockchain in breve.

La blockchain è un database distribuito. Essa fonde insieme tecnologie preesistenti, quali i sistemi distribuiti e la crittografia asimmetrica. Il sistema distribuito si pone in alternativa al classico modello client-server, in cui le informazioni transitano da un centro (il server) e si diramano mediante i downloads dei clients; piuttosto, esse sono replicate in una serie di computer (detti “nodi”), in una posizione di parità. Il vocabolo “blockchain” deve il suo nome al fatto che le transazioni vengono cronologicamente ordinate – attraverso dei server di marcatura temporale, o timestamps – mediante la divisione in “blocchi”, univocamente identificati con una stringa alfanumerica (“hash”), che include anche l’hash del blocco precedente, fino a formare una concatenazione di blocchi: da qui “blockchain”, che equivale a “catena di blocchi”. Ogni tentativo di frode viene così reso molto difficoltoso, in quanto la modifica di ogni hash spezzerebbe la catena, causando il mutamento degli hash susseguenti, e si appaleserebbe per l’evidente contrasto con le altre copie presenti nei restanti nodi (cd “network”). Si tratta, dunque, di una sorta di “immutabilità unilaterale” della blockchain. La crittografia asimmetrica rileva al fine dell’inserimento dei dati in blockchain, che così possono essere decriptati solo da chi sia in possesso della relativa chiave privata. Hash e crittografia garantiscono integrità e provenienza dei dati. Nel complesso, la blockchain è ritenuto uno strumento molto sicuro di tenuta dei dati.

L’aggiunta di un nuovo blocco avviene da parte di nodi a ciò incaricati, denominati “validation nodes”, sulla base di regole prestabilite dal protocollo informatico e condivise dal network.

A seconda del design tecnico e della governance, possono esistere numerose varianti di blockchain. Le differenze attengono ai permessi di lettura e scrittura delle transazioni, nonché di validazione e aggiunta dei blocchi. Quanto al permesso di lettura, si distingue tra blockchain “pubbliche”, accessibili da chiunque e in cui le transazioni sono visibili, e blockchain “private”, in cui la visione è limitata a determinati soggetti. Quanto agli altri permessi, si parla di blockchain “permissionless”, in cui ciascuno può effettuare transazioni e fungere da nodo validatore, e “permissioned”, in cui tali prerogative sono affidate dietro pre-autorizzazione. Le blockchain permissioned sono caratterizzate da una maggiore centralizzazione, perché un’entità centrale (o più entità centrali, normalmente in forma di consorzio) ha l’autorità di predeterminare chi può gestire il sistema dietro pre-identificazione. Esse sorgono solitamente per assolvere ad una specifica attività, per questa ragione sono frequentemente private. Ma, a seconda della finalità per cui vengono concepite, possono essere anche visibili all’esterno (e, dunque, pubbliche). Le blockchain permissionless, invece, non sono gestite da nessuno, in quanto la blockchain si crea con la progressiva aggiunta di partecipanti al network. Per lo stesso motivo, le blockchain permissionless sono anche pubbliche.

Da più parti si ritiene che la blockchain, per le sue caratteristiche, potrebbe rappresentare un’opportunità per la protezione dei dati degli utenti. Nella Dichiarazione istitutiva della Blockchain Partnership Europea, siglata da 22 Stati Membri per cooperare sugli sviluppi futuri in materia adottando approcci, metodi ed iniziative condivise, si afferma che i servizi blockchain-based aiuteranno a preservare l’integrità dei dati e garantiranno una migliore gestione dei dati medesimi da parte dei cittadini e delle organizzazioni che interagiscono con le pubbliche amministrazioni. Nella Risoluzione del Parlamento europeo del 3 ottobre 2018 sulle tecnologie di registro distribuito e blockchain: creare la fiducia attraverso la disintermediazione, si legge che la blockchain “può costituire uno strumento che rafforza l’autonomia dei cittadini dando loro l’opportunità di controllare i propri dati e decidere quali condividere nel registro, nonché la capacità di scegliere chi possa vedere tali dati”. D’altro canto, sono stati posti in evidenza anche degli elementi di frizione con il GDPR, tra i quali, appunto, la difficoltà di individuazione del titolare del trattamento.

3. Blockchain e titolare del trattamento: le teorie elaborate dagli esperti.

L’individuazione del titolare del trattamento non è sempre immediata con riferimento alla blockchain, a causa del suo carattere distribuito, decentralizzato, e della condizione di pseudo-anonimato dei partecipanti, che colliderebbe con la visione centralizzata e gerarchica del GDPR.

Per la verità, il compito non è così complicato qualora si sia optato per blockchain permissioned, dove il titolare del trattamento dovrebbe coincidere con chi determina le finalità sottese alla sua realizzazione. Infatti, si tratterebbe di un soggetto o più soggetti (in tal caso, contitolari) i quali, stabilendo i criteri di selezione dei nodi, il livello di trasparenza della blockchain e le regole di aggiornamento del sistema, replicherebbero un modello di governo centralizzato, che non si discosterebbe di molto dalle tecnologie preesistenti. Al contrario, le maggiori difficoltà si rinvengono qualora la blockchain è di tipo pubblico e permissionless, perché non è dato individuare un’entità deputata a governare il sistema e ad assumere decisioni strategiche. I nodi sono uguali tra loro, senza limitazioni d’accesso, senza predeterminazione a monte degli usi (e quindi delle finalità) per cui la blockchain è stata concepita.

Data la particolarità del caso, sono state teorizzate varie ricostruzioni, partendo dalla definizione di titolare del trattamento quale persona fisica o giuridica, autorità pubblica, servizio o altro organismo che determina le finalità (il perché) e i mezzi (il come) del trattamento dei dati personali (art. 4, par. 1, n. 7 Reg.), e passando al vaglio i vari soggetti che entrano in gioco in una blockchain pubblica e permissionless, quali i software developers, i validatori (o miners), i nodi e gli users.

Le tesi meno accreditate sono relative ai primi due. Quanto ai software developers, essi non decidono la finalità del trattamento, ma si limitano a realizzare un’infrastruttura ad uso altrui. Inoltre, non incidono nemmeno sui mezzi del trattamento, o comunque in maniera limitata, poiché gli aggiornamenti del programma suggeriti devono essere comunque adottati dai nodi.

Per quanto concerne i miners, sono incaricati di aggiungere nuovi blocchi in cambio di ricompensa. Essi si limitano a partecipare al sistema in cambio di un riconoscimento economico, indipendentemente dalla finalità sottese alle transazioni che contribuiscono ad inserire in blockchain.

Più avvalorata la tesi secondo cui il ruolo di titolare del trattamento spetterebbe ai singoli nodi. In particolare, tutti i nodi sarebbero titolari, indipendentemente l’uno rispetto all’altro, perché a questi corrispondono degli utenti che, in autonomia e volta per volta, inseriscono dati che vengono trattati per una particolare finalità; i nodi che non prendono parte alla singola operazione, invece, sarebbero da qualificarsi alla stregua di responsabili (ex art. 4, par. 1, n. 8 Reg.), giacché, detenendo copia dei dati e contribuendo al mantenimento di questi nel registro, sono strumentali e di ausilio al trattamento. In altre parole, ogni nodo sarebbe titolare per sé, e responsabile per gli altri. A questa ipotesi si ribatte asserendo che titolare del trattamento non sarebbe nessun nodo, perché nessun nodo sarebbe in grado di stabilire le finalità del trattamento dell’intero network, né gli aspetti fondamentali riguardanti i mezzi, rappresentandone solo un’unità. Parimenti, nessuno di questi sarebbe posto nelle condizioni di poter gestire e dominare tutto il network, in assenza di pre-identificazione dei nodi. Il carattere pseudonimo delle identità impedirebbe agli interessati di individuare un titolare a cui affidarsi, e il titolare stesso non saprebbe a chi rivolgersi qualora gli venisse richiesto l’esercizio di un diritto da parte dell’interessato. Non ci sarebbero poi le precondizioni per potersi assumere qualsiasi responsabilità o assolvere al principio di Accountability, in assenza di strumenti di controllo e monitoraggio dell’uso dei dati replicati in innumerevoli nodi in continua crescita.

Altri, più precisamente, separano gli users dai nodi, asserendo che i nodi sono solo le componenti tecnologiche dell’infrastruttura, mentre gli users sono i soggetti che, mediante il collegamento ai nodi, inseriscono le transazioni. Sarebbe dunque più appropriato riferirsi agli users, e non ai nodi, come titolari del trattamento. Di conseguenza, la finalità del trattamento non andrebbe ricercata nell’intero network dei nodi, ma nelle transazioni poste in essere dallo user. A riguardo, si delineano due scenari: o lo user è un soggetto che inserisce dati personali in ragione di un’attività di business, utilizzando una blockchain pubblica e permissionless; oppure lo user fa uso della blockchain per uso personale (ad esempio per lo scambio di criptovalute con un altro user). Nel secondo caso, il GDPR non troverebbe applicazione perché l’esercizio di attività a carattere personale o domestico fuoriesce dall’ambito di applicazione materiale del Regolamento (art. 2, par. 2, lett. c Reg.).

4. Un nodo ancora irrisolto.

Anche qualora l’identificazione del titolare del trattamento sia astrattamente possibile, e qualora si avvalori la tesi più condivisa del singolo user, rimane il problema dell’impossibilità per quest’ultimo di poter monitorare e governare la circolazione e l’uso dei dati inseriti, a causa del carattere decentralizzato di blockchain e dello pseudoanonimato che cela le identità altrui. In altri termini, l’ostacolo riguarda l’incontrollata duplicazione dei dati personali in nodi detenuti in luoghi e da soggetti non prestabiliti.

Così, lo user che scegliesse come mezzo del trattamento una blockchain pubblica e permissionless nell’ambito della sua attività professionale, sarebbe a rischio di non poter assolvere ai dettami del GDPR.

Anche la posizione di chi sostiene la non applicazione del GDPR quando si ricorra alla blockchain per scopi personali non è scevra da contestazioni.

La Corte di Giustizia europea ha sempre sposato un’interpretazione restrittiva. In particolare, nella sentenza sul caso Bodil Lindqvist (e, a partire da questa, anche in pronunce più recenti), ha escluso che si possa parlare di uso domestico nel caso di pubblicazione di dati personali su Internet, in quanto accessibili ad un indefinito numero di persone. C’è chi ha voluto operare un parallelismo con la sentenza Bodil Linqvist, ritenendo che in una blockchain pubblica e permissionless chiunque può scaricare il software e registrare una copia dell’intero database sul proprio device. Anche in mancanza di download, poi, chiunque potrebbe visualizzare le transazioni mediante un blockexplorer (l’equivalente di un browser, con cui poter accedere alle transazioni di una blockchain pubblica).

In conclusione, il nodo circa la compatibilità tra blockchain e titolare del trattamento appare irrisolto relativamente a tipologie pubbliche e permissionless, pertanto la loro adozione sarebbe ancora sconsigliabile.

Per l’approfondimento completo in tema si rimanda a: A.M. Gambino – C. Bomprezzi, Blockchain e protezione dei dati personali, in Diritto dell’informazione e dell’Informatica, 2019, p. 619 ss.