Blockchain e Data Protection: il quadro definitorio e regolamentare
Sin dalla sua emersione alla fine degli anni Zero, la tecnologia Blockchain si è imposta come oggetto di fervida curiosità e di innumerevoli suggestioni, talvolta innovative, talvolta irrealistiche, circa la sua possibile applicazione ai campi più disparati.
Blockchain, peculiarità e contesti di applicazione
Basandosi sul concetto di DLT (Distributed Ledger Technologies) che consente di condurre, rendendole immodificabili, operazioni e transazioni a livello decentralizzato, la Blockchain Technology sembra infatti prestarsi a un fruttuoso utilizzo in numerosi settori: dall’agroalimentare alla moda − in particolare a fini di tracciabilità della supply chain − fino ad arrivare alla sicurezza informatica o alle più complesse attività finanziarie, assicurative e valutarie.
L’assenza di intermediari, insieme alle caratteristiche di trasparenza, verificabilità e immutabilità del sottostante registro distribuito, ne fanno uno strumento particolarmente adatto ai segmenti di business che esigono rapidità e verificabilità delle transazioni. Come quello delle piattaforme relative alle criptomonete, costituenti la galassia emergente del cosiddetto IoV (Internet of Value).
Naturalmente le tecnologie DLT, auto-regolate mediante algoritmi di consenso, implicano un massiccio e costante impiego di dati; così sollevando non poche questioni relative alla loro gestione e protezione.
Considerata la distinzione tra Blockchain permissioned (nelle quali l’accesso alla rete è ristretto ai soli partecipanti autorizzati) e permissionless (dove al contrario chiunque può farsi nodo della rete, prendendo parte al processo di validazione delle transazioni), è chiaro come i problemi di riservatezza riguardino prevalentemente queste ultime. Tanto più se al quadro si aggiungono gli smart contracts, capaci di produrre effetti irreversibili sui diritti reali delle parti coinvolte.
Per l’Italia la cornice giuridica in tema di Blockchain e smart contract è rappresentata dalla legge n. 12 del 2019 che, oltre a recepire le norme europee, si limita a fornirne una scarna definizione delegando la disciplina di dettaglio ad altri enti, quali la CONSOB o le associazioni imprenditoriali e professionali di settore.
Mentre a livello europeo, dopo una serie di previsioni più frammentarie, è stata elaborata la proposta di Regolamento MiCA (Markets in Crypto Asset), approvata lo scorso 14 marzo dalla Commissione Ue per gli affari economici e monetari con l’ambizioso scopo di fornire una “cripto-regolamentazione favorevole all’innovazione, in grado di fissare standard per tutto il mondo”.
Cosa si intende oggi per Data Protection
L’espressione Data Protection racchiude il complesso sistema di principi e fonti normative, come anche di organismi giurisdizionali incaricati di garantirne l’osservanza, previsto a difesa dei dati afferenti le persone, asset ritenuti meritevoli di una particolare tutela. E nell’accezione attuale parlare di dati significa includere ogni informazione idonea a identificare o a rendere identificabile, direttamente oppure indirettamente, una persona fisica.
Nel contesto UE, fino al 2016 la principale fonte in materia era rappresentata dalla Direttiva 95/46/CE; in seguito l’enorme innovazione tecnologica intervenuta, l’avvento dei Big Data e le conseguenti nuove esigenze di protezione degli interessi coinvolti hanno stimolato l’adozione delle attuali norme regolamentari.
L’impatto del GDPR sulle Distributed Ledger Technologies
In questo quadro s’inserisce, modificandolo profondamente, l’ultranoto Regolamento UE 2016/679 o GDPR. Entrato in vigore nel maggio 2018 in tutti gli Stati membri (inclusa l’Italia, che lo ha recepito con il D. Lgs. n. 101/18), il General Data Protection Regulation (Regolamento generale sulla protezione dei dati) offre una disciplina ampia ed estremamente dettagliata rispetto alla tutela e al trattamento dei dati personali nello spazio dell’Unione Europea.
Volendone enucleare gli aspetti fondativi vanno sicuramente richiamati i principi di liceità, correttezza, trasparenza, integrità e riservatezza dovuti nel corso del trattamento; centrali anche i concetti di privacy-by-design e di minimizzazione, in forza del quale si prevede che ad essere raccolta e conservata sia la minor quantità di dati per il minor tempo possibile (esclusivamente per scopi necessari al servizio erogato e/o espressamente approvati dal titolare).
È evidente come molte tra le citate caratteristiche delle Distributed Ledger Technologies − decentralizzazione, disintermediazione, assenza di autorità centrali − stridano con un simile approccio, sottraendosi ai rigidi margini della cornice normativa europea: in particolare, a far ipotizzare numerosi punti di contrasto è la mancanza di un controllo centralizzato sulla conformità delle operazioni condotte e, quindi, sul trattamento riservato alle informazioni coinvolte nel processo.
In un prossimo articolo saranno analizzati aspetti di continuità e potenziali conflitti tra queste nuove tecnologie e la normativa comunitaria in materia di protezione dei dati.
https://www.ictsecuritymagazine.com/articoli/blockchain-e-data-protection-il-quadro-definitorio-e-regolamentare/