Si può pensare che i dati che entrano all’interno del processo formativo della catena di blocchi, poiché sono crittati, siano di per sé protetti, o che non debbano essere considerati come dati personali. Per questa ragione si potrebbe concludere che quello che entra in una blockchain non ricada nel campo di applicazione delle regole dettate a tutela della privacy.
Non è necessariamente così.
Summary
Il dato personale all’interno della blockchain
A rendere complicata la questione c’è il fatto che la nozione giuridica di “dato personale” è più ampia di quanto si potrebbe credere. Se un dato non consente l’identificazione di un soggetto, non si può escludere che quello stesso dato, incrociato con altri, consenta di essere associato ad un individuo identificato.
È emblematico il caso Alba – Cooper. I dati delle corse dei taxi a New York, incrociati con foto e articoli delle riviste di gossip, hanno consentito ad alcuni lettori di sapere se alcune celebrità (tra cui Jessica Alba e Bradley Cooper) avessero lasciato o meno la mancia al tassista. Ecco che un dato apparentemente anonimo, incrociato con altri dati, ha consentito un’associazione univoca all’identità di una persona.
Il GDPR e, prima ancora, la Dir. 95/46/CE, hanno fissato una nozione ampia e “dinamica” del dato personale. Questo vuol dire che si considera dato personale non solo quello che consente la concreta identificazione dell’individuo, ma anche quel tipo di dato che lo rende potenzialmente identificabile. Questo a seconda dei contesti specifici, tenendo conto non solo del contenuto ma anche del risultato finale della raccolta dei dati.
Blockchain e obblighi normativi
Capire se quelli che vengono raccolti in una blockchain (essenzialmente, le chiavi pubbliche e i codici hash) siano da considerare o no dati personali in base a questa nozione, è cruciale per stabilire se una blockchain deve sottostare all’applicazione dei molti obblighi che discendono dalla normativa privacy.
Il problema è che vi sono opinioni opposte sul fatto che chiavi pubbliche e codici hash si debbano o meno considerare come dati personali.
Le chiavi pubbliche non sarebbero infatti, dati completamente anonimi ma pseudonimi (e quindi, in combinazione con altri dati, si presterebbero a rivelare le identità personali). Inoltre, sarebbero dati intrinsecamente personali e la loro qualificazione dipenderebbe dall’architettura specifica della singola blockchain.
Decidere se si è dentro o fuori da questo perimetro fa la differenza rispetto ad una cascata di ulteriori problemi. In una blockchain la gestione e il trattamento dei dati avvengono in modo distribuito lungo tutti i nodi del network. Come si potranno individuare i soggetti che assumono i ruoli previsti dal GDPR, o dalle normative dei vari Paesi, nel trattamento dei dati? Anche quello della territorialità è un problema rilevante, laddove una blockchain sia diffusa in più nazioni, ciascuno con il suo ordinamento interno.
C’è il tema del diritto all’oblio. Un diritto che rischia di non poter essere esercitato sui dati scolpiti irreversibilmente in una blockchain.
Su tutte queste tematiche i giuristi continuano a misurarsi e a ricercare un equilibrio tra i caratteri sostanziali delle blockchain e i limiti formali delle regole di settore.
Il nodo privacy come campo di confronto
Questo equilibrio, però, si fa fatica a trovarlo anche perché la blockchain ha molteplici applicazioni al di fuori dell’ambito delle criptovalute. In ragione delle specifiche finalità per cui essa viene impiegata, può presentare significative particolarità che possono fare la differenza. Questo rispetto alla qualificazione dei dati personali raccolti, al tema della identificabilità dei soggetti interessati, e rispetto alla rilevanza della normativa privacy.
Anche quando il quadro delle interpretazioni giuridiche si sarà chiarito, il nodo privacy, resterà un campo di confronto cruciale per iniziative e progetti basati su blockchain e decentralizzazione.
Nel mosaico generale della compliance di questo genere di progetti, la corretta applicazione della normativa privacy, costituirà una tessera importante e dovrà combinarsi con quella costituita dalla normativa antiriciclaggio.
Questo si traduce non solo in una monumentale quantità di adempimenti burocratici, ma anche in una gamma di obblighi e responsabilità giuridiche che possono inficiare la riuscita di molti progetti.
Sostenere che dati come le chiavi pubbliche e codici hash debbano essere trattati tout court come dati personali, determina un effetto paradossale. E la pioggia di vincoli che questo comporta, va ad abbattersi proprio sulla blockchain. Su di una tecnologia nata per preservare la riservatezza, e per erigere, con la crittografia, una barriera a difesa delle libertà fondamentali dell’individuo.
