In più occasioni, questa tecnologia è stata salutata come un’autentica rivoluzione. Capace di dare dei validi strumenti di gestione delle informazioni pur nel caos della digitalizzazione. Ma alle luci si alternano sempre delle ombre. Specialmente quando si parla di dati personali.

Blockchain e privacy: due mondi inconciliabili o protagonisti di un dialogo che deve ancora cominciare? I dati di fatto raccontano di una tecnologia sempre più usata e apprezzata, e di una normativa che vuole tutelare i dati personali. E gli aspetti più importanti ancora da definire sono questi sei.

Temi:

• Nella blockchain, il controllo sui dati personali è centralizzato?
• Blockchain e GDPR
• Blockchain e diritto all’oblio
• Blockchain e dati personali
• Blockchain e sicurezza
• Blockchain e archivi

1. Nella blockchain, il controllo sui dati personali è centralizzato?

Si parte da questa domanda, solo apparentemente semplice, visto che riguarda, in maniera diretta, la natura stessa della “catena di blocchi”. Se ci si chiede cos’è la blockchain, la risposta è: un archivio distribuito composto da una serie di nodi gerarchicamente disposti.

Dal momento che, per definizione, la blockchain è un archivio distribuito, ne consegue che anche il controllo sui dati personali non può essere centralizzato ed è demandato a tutti i partecipanti della blockchain. Ma, in un certo senso, qualcosa di simile a un controllo centralizzato è già previsto nel testo del GDPR.

Il ruolo del DPO

Il GDPR introduce una nuova figura, quella del DPO, ovvero il data protection officer. Si tratta di una persona, con specifiche competenze tecniche e giuridiche, la cui funzione è verificare che tutti i partecipanti a un sistema in cui si gestiscono dati personali (quindi, anche una blockchain) osservino il regolamento in materia di trattamento dei dati personali.

Questo, comunque, non inficia il fatto che un controllo centralizzato sia teoricamente inapplicabile in una blockchain.

2. Blockchain e GDPR

Al di là del caso specifico, le (presunte) incompatibilità tra applicazione del GDPR e natura di una blockchain risiedono a un livello più generale. Il Regolamento Ue 2016/679, meglio noto come General data protection regulation, ha voluto limitare la “leggerezza” con la quale venivano gestiti i dati personali.

A tal proposito, il GDPR conferisce ai cittadini dell’Ue il diritto di:

• Cancellare i dati personali quando non più necessari per lo scopo per il quale sono stati raccolti;
• Chiedere la correzione dei dati errati;
• Limitare l’elaborazione o l’utilizzo dei dati personali.

Le 3 principali incompatibilità

Ribadendo che tali incompatibilità vanno sempre e comunque considerate presunte (la materia è in via di definizione completa e le evoluzioni sono all’ordine del giorno), sono tre, a livello macro, i punti dove il rapporto tra blockchain e GDPR sembra incrinarsi:

• Dati immodificabili. I dati personali presenti in una blockchain non sono modificabili se non coinvolgendo tutti i blocchi gerarchicamente adeguati. Ma il GDPR prevede che un utente possa richiedere la modifica di tali dati.
• Dati pubblici e consultabili. I dati personali inseriti in una blockchain sono pubblici e consultabili da tutti i partecipanti. Ma non è detto che un utente abbia indicato che tali dati possano essere accessibili.
• Dati conservabili per sempre. I dati personali in una blockchain possono essere conservati illimitatamente. Invece, il GDPR prevede quello che è stato ribattezzato diritto all’oblio.

3. Blockchain e diritto all’oblio

Probabilmente, il nodo gordiano della cosa sta proprio qui. E, altrettanto probabilmente, riuscire a dirimerlo permetterebbe, a cascata, di risolvere molte delle questioni aperte tra l’introduzione di un sistema basato sulla blockchain e la corretta (quanto obbligatoria) applicazione delle norme presenti nel General data protection regulation.

Come sancisce l’articolo 17 del GDPR:

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali.

Però l’immodificabilità dei dati è proprio uno degli elementi distintivi della blockchain. Come coniugare le due cose?

Le difficoltà

Quest’aspetto è stato definito nodo gordiano perché condensa in sé tutti gli elementi che necessitano di una definizione più puntuale.

• Lo stesso GDPR prevede che, “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”, i dati personali possono essere conservati per periodi più lunghi rispetto a quanto acconsentito dal diretto interessato. Va da sé che la definizione di pubblico interesse è quanto mai generale e generica.
• Una delle soluzioni proposte prevederebbe la possibilità di immettere i dati in una blockchain solo come collegamento esterno, lasciando quindi il dato fuori dalla catena. Così facendo, però, il dato non potrebbe più essere utilizzato in maniera sicura e sarebbe soggetto a modifiche potenzialmente indiscriminate.
• L’anonimizzazione presenta, a sua volta, diverse problematiche. In una blockchain, tutto è crittografato, quindi, almeno in linea teorica, i dati sono protetti. Ma la crittografia, per quanto sicura, non è infallibile e può essere violata.

4. Blockchain e dati personali

Per ‘dato personale’ si intende qualunque tipo di informazione che possa ricondurre a uno specifico individuo.

Già da questa definizione si capisce che la questione è spinosa. Perché la blockchain, sempre in quanto sistema distribuito, può essere potenzialmente incontrollabile e, quindi, non poter garantire appieno la tutela dei dati personali così come stabilito dal GDPR.

Persone e dati

• Il sistema blockchain tutela l’identità più che i dati associati;
• Il GDPR vuole restituire alle persone il diritto di scegliere come i propri dati personali debbano essere impiegati.

Solo in apparenza può sembrare una contraddizione. In realtà, si tratta di due facce della stessa medaglia. Ma sono due facce che, continuando con la metafora, non si parlano. Quando invece dovrebbero.

5. Blockchain e sicurezza

La sicurezza della blockchain è l’aspetto meno problematico. Uno dei punti di forza della catena di blocchi è dato proprio dalla difficoltà di perdere o modificare i dati immessi. Questo, comunque, non significa che non ci siano delle aree grigie.

• La crittografia, come accennato in precedenza, può essere violata.
• Essendo il sistema distribuito e il numero di nodi potenzialmente infinito, non è detto che le informazioni vengano esclusivamente trattate dall’ente/individuo al quale la persona ha dato l’autorizzazione per farlo.
• Nel caso si adottasse la soluzione del collegamento esterno, la capacità della catena di garantire la sicurezza del dato ne sarebbe quantomeno ridotta (se non proprio del tutto compromessa).

6. Blockchain e archivi

A ben vedere, questo è il punto di arrivo di tutti i possibili ragionamenti su GDPR e privacy. L’articolo 4, comma 6 recita:

Archivio [è] qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

In altre parole, il concetto di archivio si espande in maniera esponenziale, arrivando ad abbracciare un campo così ampio che i suoi confini non possono essere definiti. GDRP e archivi diventano un binomio inscindibile e imprescindibile, travalicando anche i limiti del document management.