l'analisi

Blockchain e protezione dei dati, storia di un rapporto difficile

di |

La blockchain è caratterizzata da un’evidente incertezza giuridica, determinata dalla potenziale (e, per ora, irrisolta) conflittualità con la normativa comunitaria sulla protezione dei dati personali.

La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.

1. La tecnologia blockchain

Sin dagli anni ’90, si sono registrati numerosi tentativi di ovviare al problema della c.d. centralizzazione di internet, fondati principalmente sulla rete “peer to peer” e sulla crittografia: a tal proposito, si ricorda, in modo particolare, il Movimento americano Cypherpunk, fondato sull’impegno dei relativi attivisti di difendere la privacy di ciascuno, mediante l’utilizzo di sistemi anonimi di invio di e-mail, di firme digitali, di monete elettroniche, oltre che della crittografia.

Da queste significative – sebbene embrionali – sperimentazioni, prese vita, in concomitanza con l’esplosione della crisi finanziaria globale del 2007/2008, l’attualizzazione, all’interno del white paper a firma di Satoshi Nakamoto, della blockchain[1], ossia una tecnologia in grado, a prima vista, di far intrattenere rapporti a distanza tra soggetti tra loro sconosciuti, senza il bisogno di una terza parte garante.

Com’è noto, essa è un database che fonde, al suo interno, tecnologie preesistenti, quali i sistemi distribuiti e la crittografia asimmetrica: il sistema distribuito consente che le informazioni vengano replicate, in posizione di parità, all’interno di una serie di computer (cd. nodi) ponendosi, dunque, in alternativa al (classico) modello “client-server” ove le stesse transitano da un unico centro e si diramano mediante i downloads dei clienti; per altro verso, la crittografia[2] asimmetrica permette che le informazioni, ivi inserite, possano essere decriptate soltanto dal soggetto possessore della relativa chiave cd. privata.

Nello specifico, la blockchain (ossia “catena di blocchi”) fa sì che le transazioni vengano cronologicamente ordinate – attraverso dei server di marcatura temporale (timestamps) – mediante la divisione in blocchi univocamente identificati con una stringa alfanumerica (hash) che include anche quella del blocco precedente sino a formarne una concatenazione (validata attraverso la soluzione di un problema matematico complesso), al punto che l’eventuale modifica di ogni hash spezzerebbe la relativa catena, causando, di conseguenza, il mutamento di quelli susseguenti e palesando, soprattutto, l’incongruenza con le altre copie presenti nei residuali nodi (cd. immutabilità unilaterale).

La tecnologia, in parola[3] consiste in un database condiviso, decentralizzato[4], distribuito, immutabile, trasparente, criptato (con precise regole di sicurezza) idoneo a registrare l’insieme delle risorse e delle transazioni attraverso una rete “peer to peer”, aperto generalmente a tutti i partecipanti (fatto salvo il caso della blockchain cd. privata, di cui se ne parlerà nel prosieguo), replicato su ogni computer che usa la rete in questione ed, infine, modificabile soltanto attraverso l’esecuzione dello specifico algoritmo del consenso, previsto dal protocollo informatico.

Sebbene sia ad uno stadio iniziale di sviluppo (e priva di standard predefiniti), la blockchain è distinguibile in due macro categorie classificabili in base alla natura della gestione dell’infrastruttura informatica, ovverosia in “permissionless” e “permissioned”: nella prima (della quale il Bitcoin rappresenta l’esempio più conosciuto), ciascun utente può entrare a farne parte e visualizzarla interamente, poiché ogni computer può fungere da nodo; pertanto, la peculiarità di questa infrastruttura è che il network può crescere a dismisura e conseguentemente il meccanismo del consenso la rende pressoché immutabile, essendo infatti praticamente impossibile qualsiasi forma di modifica. All’opposto, la seconda cd. privata (es. “Quorum” di J.P. Morgan) è similare ad una singola organizzazione (persona o gruppo di individui) ove, in virtù di un alto grado di fiducia tra i relativi partecipanti, un’entità centrale possiede la necessaria autorità di determinare chi può accedervi, a seguito di un’apposita pre-identificazione[5].

2. Le potenzialità della blockchain a vantaggio della protezione dei dati personali

Tenuto conto del fatto che il Parlamento Europeo ha dichiarato, all’interno della propria Risoluzione del 3.10.2018 (2017/2772/RSP), che la blockchain è da considerarsi come “uno strumento che rafforza l’autonomia dei cittadini, dando loro l’opportunità di controllare i propri dati e decidere quali condividere nel registro, nonché la capacità di scegliere chi possa vedere tali dati[6]”, occorre, ora, illustrare – seppur in modo sintetico – le potenzialità che la tecnologia in parola può offrire, al fine di facilitare il Titolare del trattamento ad un miglior rispetto del principio di cd. accountability. La prima di esse riguarda, senz’altro, una migliore sicurezza (e conseguente integrità) dei dati personali (per lo più, pseudonimizzati) racchiusi all’interno della stessa, giacché quest’ultima è, per natura, maggiormente resistente ad attacchi informatici ovvero a disfunzioni, in ragione dell’assenza di un unico punto di aggregazione[7].

In secondo luogo, grazie ad una delle caratteristiche peculiari della blockchain, ossia la crittografia asimmetrica, viene potenzialmente garantito un accesso selettivo ai dati (e, dunque, rispettoso di quanto i relativi utenti abbiano acconsentito in ragione della finalità di trattamento), in virtù del carattere distribuito della medesima, idonea a sottrarre al Titolare del trattamento la possibilità di stabilire e governare le regole di funzionamento del sistema, affidato invece al relativo protocollo.

Infine, la tecnologia in discussione permette di effettuare il trattamento in modo (maggiormente) trasparente nei confronti del soggetto interessato, dato che la sua tracciabilità consente a quest’ultimo di poter monitorare gli accessi ai propri dati da parte dei soggetti autorizzati, anche al fine eventualmente di verificarne la liceità[8].

Preme, in conclusione, osservare che i citati benefici della blockchain sono (e saranno) ancor più evidenti laddove si prenda in considerazione il fatto che, nel prossimo futuro, la società sarà sempre più circondata da dispositivi smart (cd. IoT), i quali, per poter funzionare, inglobano, in modo continuo ed incessante, una grande mole di dati personali, ad oggi immagazzinati all’interno di cloud servers che, essendo centralizzati, sono, di conseguenza, meno attrezzati a fronteggiare eventuali attacchi informatici.

3. Elementi di frizione tra la blockchain ed il GDPR

Dopo aver illustrato gli elementi di armonizzazione tra la tecnologia di cui ci si occupa e la normativa sulla protezione dei dati personali, risulta necessario esaminare le principali aporie concernenti il rapporto in questione – determinate dalle caratteristiche peculiari proprie della blockchain (ossia, la decentralizzazione, l’immodificabilità e la persistenza dei dati personali ivi registrati) – le quali riguardano, in modo particolare, l’individuazione del Titolare del trattamento, il rispetto dei principi fissati dall’art. 5 del GDPR ed, infine, l’esercizio di alcuni diritti previsti dal Regolamento in favore di ciascun soggetto interessato.

Innanzitutto, ai fini della soluzione della prima problematica, soccorre (parzialmente) in aiuto il recente documento (intitolato “Blockchain: i primi elementi di analisi”), a firma del Garante francese (CLIN), ove viene sostenuto che i partecipanti di una blockchain cd. privata – che hanno il potere di scrittura sulla catena dei blocchi nonché quello di sottomettere le informazioni alla relativa validazione – sono, in via generale, qualificabili come dei Titolari del trattamento, giacché gli stessi hanno la capacità di prendere delle decisioni circa la finalità ed i mezzi impiegati[9]; tuttavia, come anticipato, sussistono delle ipotesi in cui risulta pressoché impossibile provvedere a tale identificazione, qual è, ad esempio, il caso della blockchain (public) permissionless, giacché manca un’entità deputata a governare il sistema e ad assumere decisioni strategiche[10].

Quanto, invece, alla seconda criticità, le caratteristiche di immutabilità, di trasparenza e di permanenza dei dati inseriti all’interno della tecnologia in discussione determinano, senz’altro, dei conflitti (pressoché insuperabili) in termini di conformità della stessa con alcuni basilari principi sanciti dal GDPR, quali quello di minimizzazione ex art. 5 paragrafo 1 lettera c), che impone di trattare i soli dati adeguati, pertinenti e limitati a quanto necessario rispetto alla finalità di trattamento, nonché quello di limitazione della conservazione ex art. 5 paragrafo 1 lettera e), che, invece, prescrive di conservare i dati in una forma che consenta l’identificazione del soggetto interessato per un arco di tempo non superiore al conseguimento della finalità di trattamento.

Infine, l’ultimo elemento di contrasto è rappresentato dalla difficoltà (o meglio, impossibilità) dell’esercizio dei diritti garantiti dagli artt. da 15 a 22 del GDPR, con particolar riguardo al diritto di rettifica e di cancellazione, i quali risultano, infatti, di ardua attuazione sia in quanto il dato inesatto eventualmente registrato all’interno della blockchain è conservato su tutti i nodi del network (con la conseguenza che il soggetto interessato dovrebbe rivolgersi ad ognuno di essi) sia in ragione della caratteristica tecnica di potenziale immutabilità dei dati ivi registrati. A causa della sua struttura decentralizzata, dunque, sarebbe tecnicamente impossibile la modifica ovvero la cancellazione dei dati personali, senza procedere alla distruzione della catena medesima in ragione dell’interconnessione tra i relativi e differenti blocchi.

4. Conclusioni

Sebbene, come poc’anzi illustrato, la blockchain[11] determini – in ragione delle proprie peculiari caratteristiche, quali la natura distribuita e decentralizzata, oltre che la relativa immutabilità – delle ripercussioni (negative) sulla protezione dei dati personali, la stessa si pone, invero, in linea con i bisogni odierni di velocità, di efficienza, di semplificazione, ma anche di sicurezza e di trasparenza propri della società dell’informazione.

Tutto ciò è, infatti, testimoniato (anche) dalla grande attenzione che le istituzioni europee stanno dimostrando verso tale fenomeno, sia mediante l’istituzione di un Osservatorio e Forum dell’Unione Europea sulla Blockchain sia per mezzo di una considerevole quantità di finanziamenti provenienti dal “Programma Horizon 2020”, teso a sviluppare e stimolare la ricerca in tal ambito.

Infine, prendendo spunto da quanto ha affermato il Comitato Economico e Sociale Europeo all’interno del Parere del 30.10.2019 (intitolato “Parere del Comitato economico e sociale europeo sul tema “Blockchain e mercato unico dell’UE: le prossime tappe”), si può concludere che la blockchain – benché rappresenti una tecnologia in grado di promuovere e conseguire l’obiettivo di sviluppo sostenibile – è, allo stato attuale, caratterizzata da un’evidente incertezza giuridica, determinata dalla potenziale (e, per ora, irrisolta) conflittualità con la normativa comunitaria sulla protezione dei dati personali.


[1] Dal punto di vista strettamente tecnico, la blockchain è una sorta di “registro di tutte le transazioni o eventi digitali che sono stati eseguiti e condivisi tra alcuni soggetti. Ogni transazione sul registro si è verificata tramite l’accordo della maggioranza dei partecipanti al sistema. Una volta inserite, le informazioni non potranno mai essere cancellate”: cfr. L.M. Pedretti, in “Una piattaforma di nuova generazione per i contratti intelligenti e le applicazioni decentralizzate” in Ethereum – Libro Bianco. Essa si sviluppata inizialmente nell’ambito delle criptovalute, di cui la prima è stata il Bitcoin, ossia una valuta virtuale pensata per effettuare pagamenti online direttamente da un soggetto ad un altro senza passare attraverso istituti finanziari considerati fonte di sprechi costi, lentezza dei processi, e gravosi per gli scambi nel commercio online. 

[2] Il termine “crittografia” viene dalle parole greche kryptos (che significa “nascosto”) e graphia (ossia, scrittura); è una tecnica in circolazione da molto tempo, al punto che già Giulio Cesare la utilizzava per mantenere private le comunicazioni militari.

[3] La blockchain appartiene alla categoria delle tecnologie Distributed Ledger (DTL), le quali possono essere definite come un insieme di sistemi concettualmente caratterizzati dal fatto di fare riferimento a un registro distribuito, governato in modo da consentire l’accesso e la possibilità di effettuare modifiche da parte di più nodi di una rete: cfr. M. Bellini, “Blockchain: cos’è, come funziona e gli ambiti applicativi in Italia”. Anche il Governo Italiano ha fornito, attraverso il D.L. n. 135 del 14.12.2018 (poi convertito, con modificazioni, nella L. n. 120 del 11.2.2019), la prima definizione nazionale di DTL, qualificandola come: “le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili”.

[4] La caratteristica della decentralizzazione consente alla blockchain di essere resistente agli attacchi in quanto se uno o più nodi smettono di funzionare comunque può fare affidamento sugli altri nodi; inoltre, a differenza dei sistemi centralizzati, dove la figura dell’amministratore funge da punto cardine di ogni istanza degli utenti e dove la conservazione è effettuata a livello unico, con conseguente rischio di un’eventuale perdita di dati, nei sistemi distribuiti ogni nodo è depositario di una copia del registro e ogni modifica è soggetta all’approvazione dell’intera comunità di nodi, secondo le regole (informatiche) del consenso stabilite nell’algoritmo. Tuttavia, proprio per la caratteristica strutturale del sistema, nei database distribuiti i dati sono visibili ad ogni nodo, al contrario di quelli centralizzati che sono accessibili esclusivamente all’amministratore di sistema o a coloro che ne hanno i privilegi.

[5] Vitalik Buterin, fondatore della piattaforma Ethereum, l’ha definita come “poco più di un sistema tradizionale” che può, però, beneficiare delle caratteristiche di sicurezza (verso l’esterno) proprie della blockchain.

[6] Nella Dichiarazione istitutiva della Blockchain Partnership Europea – siglata da 22 Stati membri per cooperare sugli sviluppi futuri in materia adottando strategie, metodi ed iniziative condivise – si afferma che i servizi “blockchain based” aiuteranno a preservare l’integrità dei dati, e garantiranno una migliore gestione dei dati medesimi da parte dei cittadini e delle organizzazioni.

[7] Un caso concreto può aiutare ad una migliore comprensione sul punto: Everledger è una start up che, a partire dal 2015, si occupa di utilizzare la blockchain per proteggere i diamanti dalla contraffazione e dal mercato nero; ad ogni diamante, dopo essere stato catalogato (con precisione) circa le proprie specifiche caratteristiche, viene attribuita un’identità digitale univoca, mediante l’accostamento ad un hash crittografico e la registrazione in blockchain; in tal modo, è possibile ripercorrere, tramite blockchain, i trasferimenti dei diamanti, garantendone la tracciabilità e l’autenticità. Ugual discorso può, peraltro, interessare qualsiasi tipologia di dato personale (es. gestione delle identità, registri sanitari ovvero tutti i casi in cui gli individui, le aziende o le pubbliche amministrazioni devono assolutamente garantire e mantenere l’integrità di informazioni originali).

[8] Un esempio esistente che racchiude gli ultimi descritti aspetti positivi è, senz’altro, ShoCard: essa è un’impresa che ha costruito un sistema di autenticazione per mezzo di blockchain; scaricando la relativa App, è possibile creare una propria ID con i dati personali relativi alla propria identità, che viene inserita in una blockchain in modo sicuro; nessuno (nemmeno Shocard) può decidere di trattare tali dati personali se non autorizzato.

[9] Tuttavia, secondo il CNIL non tutti gli attori che interagiscono in ambito blockchain sono considerati come Titolari del trattamento: ad esempio, non lo sono i cd. miners, ossia coloro che si limitano alla validazione delle transazioni sul cui oggetto non hanno potere di intervento né potere decisionale in ordine alle finalità di trattamento.

[10] Data la particolarità del caso, sono state teorizzate due ricostruzioni, opposte tra di loro: secondo la prima, tutti i nodi sarebbero Titolari, indipendentemente l’uno rispetto all’altro, in quanto a questi corrispondono degli utenti che, in autonomia (e volta per volta), inseriscono dati che vengono trattati per una particolare finalità; viceversa, ad opinione della seconda tesi, il Titolare del trattamento non sarebbe, invero, nessuno, in quanto nessun nodo è in grado di stabilire nel complesso le finalità di trattamento né gli aspetti fondamentali riguardanti i mezzi, e parimenti nessuno di questi è posto nelle condizioni di poter gestire e dominare tutto il network. A parere di chi scrive, entrambe le teorie poc’anzi descritte sono criticabili: infatti, se si ammettesse che ogni nodo è Titolare del trattamento, quest’ultimo non avrebbe, invero, il potere di intervenire sul trattamento dei dati ove necessario, in ragione del meccanismo del consenso; di contro, se si consentisse, invece, l’assenza di un Titolare del trattamento, si giungerebbe naturalmente (ed integralmente) in contrasto con quanto prescritto dal GDPR.

[11] Gli investimenti in applicazioni blockchain stanno crescendo in maniera esponenziale, tanto che il World Economic Forum ha stimato che, entro il 2027, rappresenteranno il 10% del prodotto interno globale.

Di Gabriele Borghi, Avvocato, esperto in privacy e componente del D&L NET