Il regolamento europeo Gdpr non è stato “pensato” per i sistemi decentralizzati. Come esercitare il diritto alla modifica e cancellazione dei dati in un sistema “irreversibile”? I Garanti dovranno inevitabilmente affrontare la questione.
Il 27 settembre 2018 anche l’Italia ha aderito all’European Blockchain Partnership, l’alleanza a cui avevano già aderito tutti i Paesi Ue e la Norvegia. Obiettivo dell’iniziativa aumentare e migliorare gli standard di sicurezza e privacy facendo leva sulla condivisione e lo scambio di esperienze e competenze in campo tecnico e normativo in ambito sia pubblico sia privato.
Svariati i campi di applicazione della tecnologia Blockchain in settori strategici quali il banking & finance, la sanità, le assicurazioni, l’industria. Dagli smart contracts alle compravendite immobiliari fino al voto online nell’ambito di elezioni politiche: queste alcune delle attività su cui si sono accesi i riflettori del mercato. Ciò che contraddistingue la tecnologia Blockchain è la sua natura “decentralizzata”: i dati e/o le transazioni sono contenuti in un database distribuito su una rete peer-to-peer, ove qualunque partecipante alla rete può visionarne, prelevarne e sfruttarne il contenuto. Ciò consente di evitare la necessità di accentrare in capo ad una o più singole entità-aziende la conservazione/gestione delle transazioni di dati. Nei sistemi “centralizzati”, di contro, solo i titolari/proprietari del sistema hanno accesso e controllo al database e di conseguenza ai dati in esso contenuti raccolti dagli utenti. E in cambio dei servizi offerti possono sfruttare anche economicamente tali dati. È questo il caso di Google e Facebook entrambe piattaforme “centralizzate”, ossia che detengono il controllo sui dati e le informazioni relativi ai singoli iscritti. Al momento sono in fase di sperimentazione piattaforme social basate sulla tecnologia Blockchain: la versione beta di “Ono” – il social made in China – è la prima a sfruttare la tecnologia Blockchain. E conta già 3 milioni di utenti.
Perché l’esigenza di un sistema decentralizzato?
L’esigenza di decentralizzazione risiede nella preoccupazione sempre più crescente, da parte degli utenti, riguardante la perdita di controllo sui propri dati e informazioni personali che viaggiano su internet.
Nei sistemi centralizzati l’accesso, il controllo e l’utilizzo dei dati personali sono fondamentali: per le web company rappresentano la chiave per generare profitti. Google e Facebook, ma si può aggiungere anche Amazon, hanno in capo un numero talmente elevato di informazioni sugli utenti di Internet da detenere di fatto il controllo stesso del Web.
Ciò crea inefficienze e disuguaglianze economiche, poiché di fatto impedisce lo sbarco sul mercato di new entrants: competere con tali colossi è praticamente impossibile, con tutte le implicazioni del caso in materia di concorrenza. Gli utenti inoltre non possono nemmeno contare sulla messa in “sicurezza” dei propri dati: sono all’ordine del giorno le notizie riguardanti fughe di dati e attacchi hacker.
È notizia recente la decisione, da parte di Google, di bloccare la versione consumer di Google+ a causa di un bug che nel mese di marzo avrebbe minato la sicurezza dei dati di oltre 500.000 account. Altrettanto recente l’annuncio di una “falla” di sicurezza su Facebook che avrebbe messo a rischio oltre 50 milioni di account e permesso agli hacker non solo di accedere ai dati degli utenti del social ma di recuperare anche quelli presenti su altre piattaforme “collegate” quali Instagram, Tinder, Spotify per citarne alcune. E sarebbero stati esposti in particolare quegli utenti che utilizzano le credenziali Facebook per accedere ad altre piattaforme.
Il vantaggio dell’utilizzo di un sistema decentralizzato risiede nel fatto che agli individui-utenti viene dato, o forse sarebbe più corretto affermare “restituito”, il potere di gestire e controllare i propri dati. E dunque è l’individuo-utente a decidere quali dati condividere e con quale service provider. I dati condivisi e quindi generati e raccolti dall’individuo-utente, e non più dunque in capo esclusivamente alle web company, potrebbero essere resi disponibili e ceduti a fini “comuni” e di conseguenza fruibili anche da soggetti terzi. Alla stregua di quanto accade con gli open data.
In sostanza sarebbe un ritorno alla originaria “visione” di Tim Berners Lee, co-inventore del World Wide Web, quella di consentire alle persone di scambiare informazioni e conoscenze in modo libero e democratico: la decentralizzazione dei dati consentirebbe, idealmente, lo smantellamento dello strapotere di Google & co.
La tecnologia Blockchain è conforme al Gdpr?
Si pone ora il problema della conformità della tecnologia Blockchain al Regolamento UE 679/2016 sulla protezione dei dati personali, meglio noto come Gdpr. Il quesito è certamente pertinente ove si consideri che la predetta tecnologia per sua natura e progettazione non consentirebbe la cancellazione dei dati. Senza entrare nelle specifiche tecnico-informatiche non appena un dato viene immesso e condiviso nella rete non può essere eliminato senza che ciò comprometta l’affidabilità, sicurezza e validità dello stesso sistema Blockchain. L’immissione del dato è dunque un processo irreversibile.
Tra i diritti dell’interessato, ai sensi del regolamento, vi sono quelli di cancellazione, rettifica e modifica dei dati personali. In un sistema di tipo centralizzato l’interessato può esercitare tali diritti rivolgendosi al titolare del trattamento. Ora il quesito è: come fa l’interessato ad esercitare tali diritti in un sistema decentralizzato, in cui i dati non sono cancellabili e per di più pubblici e fruibili da chiunque?
Ad oggi non esiste una riposta univoca. Di fatto non esiste una “soluzione delle soluzioni” che risulti conforme al regolamento. Tuttavia gli sviluppatori della tecnologia Blockchain hanno già avanzato alcune ipotesi tecniche quali ad esempio il cosiddetto “stoccaggio fuori catena” o la “distruzione delle chiavi di crittografia”.
C’è da aggiungere che il regolamento europeo non è stato “pensato” per l’applicazione su sistemi decentralizzati. Pertanto sarà determinante l’interpretazione del regolamento ad opera dei Garanti in senso di compliance o meno alla tecnologia.
Intervento di Giuseppe FIORDALISI, Avvocato, esperto in materia di Privacy e GDPR
