Smart contract e trattamento dati
Sul Corriere delle Comunicazioni è stato pubblicato l’articolo “Smart contracts, chi è il titolare del trattamento dati?”, a firma di Domenico Colella. L’esperto prende spunto dalla recente emanazione della legge di conversione del Decreto semplificazioni 2019, con la quale sono state introdotte le definizioni di tecnologie basate su registri distribuiti e di smart contract nel quadro normativo nazionale, e riflette su se e quanto il quadro normativo stabilito col nuovo Regolamento in materia di dati personali (GDPR) possa essere adatto per recepire tali novità.
Dopo avere introdotto l’argomento e illustrato i principali meccanismi di funzionamento degli smart contract, l’autore entra nel vivo della trattazione:
L’introduzione di queste tecnologie apre inevitabili interrogativi, ad esempio, sulla tutela dei dati veicolati e “cristallizzati” in blockchain.
Ci si chiede, in proposito, se la pur recente architettura del Regolamento Generale sulla Protezione dei Dati (Gdpr) sia idonea ad “abbracciare” questa nuova realtà digitale. Il primo nodo da sciogliere è se la chiave pubblica (il codice riferito ad uno specifico dato o transazione di un certo utente) possa essere considerata come un’informazione capace di identificare indirettamente la persona fisica ad essa associata; in altri termini, se possa essere considerato come un “dato personale” ai sensi del Gdpr. Il dubbio sorge in quanto le chiavi pubbliche sono, come detto, crittografate e pertanto gli utenti che visualizzano il registro condiviso non sono in grado di identificare altri utenti. Un service provider potrebbe invece risalire all’utente associando ulteriori informazioni come, ad esempio, il connesso indirizzo IP. Con tutta probabilità, dunque, tali dati non potrebbero essere qualificati come dati anonimizzati (la cui dissociazione con la persona fisica è irreversibile) ma come dati personali pseudonimizzati, soggetti alle regole del Gdpr.
Ci si interroga poi su chi, all’interno del network, possa rivestire il ruolo di titolare del trattamento dei dati – determinando finalità e modalità dello stesso – e chi invece, trattando i dati per conto del titolare – quello di responsabile del trattamento. La decentralizzazione del blockchain potrebbe imporre di ridelineare il sistema in chiave di “contitolarità” nonché di reciprocità: ogni partecipante è al contempo titolare per sé stesso e responsabile per i dati degli altri utenti. Sarà quindi opportuno stabilire a monte una chiara ripartizione, tra utenti, di ruoli e rispettivi obblighi. A sollevare le maggiori perplessità, infine, è l’incompatibilità del sistema blockchain con i principi sottesi al Gdpr. La parola “chiave” del Gdpr è difatti “controllo” dei dati da parte degli interessati: si pensi al diritto di rettifica, di limitazione o ancora al diritto di essere “dimenticati”. All’opposto, il punto di forza della blockchain – ovvero l’immutabilità dei dati – costituisce anche il più controverso tallone d’Achille per la privacy dei futuri utenti, anche in considerazione della conservazione illimitata dei dati.