Blockchain e Privacy: le soluzioni del Parlamento europeo

Negli ultimi anni il dibattito europeo è tornato ripetutamente ad affrontare le problematiche che le tecnologie blockchain sollevano in termini data protection. Uno dei temi più controversi riguarda l’individuazione del Data Controller (Titolare del Trattamento), ovvero della persona (fisica o giuridica) alla quale competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali nonché agli strumenti da utilizzare a tal fine. Le tecnologie blockchain, invece, in quanto caratterizzate dal decentramento degli utenti e da un ampio numero di players, rendono quanto mai difficile l’individuazione di tale figura. Altro tema controverso riguarda il diritto di ottenere la cancellazione dei dati personali se, ad esempio, non sono più necessari rispetto alle finalità per le quali sono stati raccolti (art. 17 GDPR): tale diritto, da un punto di vista tecnico, pare difficilmente tutelabile in ambito blockchain in ragione del fatto che, contrariamente ai classici sistemi centralizzati di archiviazione dei dati in cui le informazioni vengono gestite da un’autorità centrale, la blockchain si basa sul concetto di database distribuito ove un singolo dato può essere detenuto da un numero indeterminato di utenti.

Uno studio pubblicato dal Parlamento europeo lo scorso luglio propone delle soluzioni per rendere le tecnologie in esame in linea con gli obiettivi del Regolamento GDPR.

In primo luogo, l’approccio “tecnologicamente neutrale” del legislatore europeo in ambito privacy, ovvero l’aver adottato un Regolamento di ampia portata, e quindi non orientato ad una specifica tecnologia, richiede  un’attività di orientamento regolatorio da parte delle stesse Istituzioni europee volta a calare i principi fondamentali del GDPR nell’ambito della tecnologia blockchain.

Sarebbe poi auspicabile che venissero elaborati, con la collaborazione di tutti gli stakeholder, i codici di condotta ed i sistemi di certificazione (così come previsto dagli art. 40 e 42 del GDPR): lo studio rileva come un recente (e positivo) esempio sia offerto dal codice di condotta per i cloud provider che ha favorito l’osservanza dei principi in materia di protezione dei dati personali nell’ambito della tecnologia cloud.

La terza soluzione proposta dal Parlamento europeo è quella di istituire dei poli di ricerca che, operando attraverso un metodo interdisciplinare, potrebbero affrontare gli aspetti più controversi delle tecnologie blockchain. Tale soluzione potrebbe portare ad un sistema di governance che consenta di superare l’attuale mancanza di comunicazione e coordinamento tra i numerosi soggetti coinvolti: il nuovo sistema di governance dovrebbe prevedere, a titolo esemplificativo, meccanismi che impongano non solo ad un data controller di rimuovere tali dati dai propri servers, ma anche a tutti gli altri contollers e processor che li stanno trattando.

Lo studio pubblicato dal Parlamento europeo offre dunque delle possibili strade che le Istituzioni europee, con l’aiuto di tutti gli stakeholder, potrebbero intraprendere per fronteggiare le sfide che le nuove tecnologie blockchain stanno lanciando. Alcune delle soluzioni proposte sono già offerte dalla attuale normativa europea sulla privacy mentre altre richiederanno un intervento sulla stessa normativa.