Tecnologie blockchain, protezione dei dati e commissione europea
In allegato a questa notizia i lettori troveranno un documento nel quale, con una ammirevole lungimiranza, vengono esaminati i problemi legati all’applicazione delle tecnologie blockchain, nel pieno rispetto del regolamento generale sulla protezione dei dati.
Ormai sono stati più volte analizzate le situazioni positive, connesse all’utilizzo di tecnologie blockchain, che talvolta vengono anche chiamate di DLT-distributed ledger technology. L’utilizzo di queste tecnologie nell’ambito dell’unione europea favorirebbe sicuramente un mercato unico digitale.
Da più parti tuttavia sono stati avanzati dei dubbi circa il fatto che queste tecnologie possano essere pienamente conformi con le indicazioni del regolamento generale sulla protezione dei dati, che a sua volta pone alcuni problemi di coordinamento ed armonizzazione a livello europeo. Lo studio sviluppato dalla commissione europea analizza le relazioni tra le tecnologie blockchain e il regolamento generale europeo, in modo da mettere in evidenza i possibili problemi e proporre possibili soluzioni.
Con l’occasione, ricordo ai lettori che una blockchain è un database digitale condiviso e sincronizzato, che è mantenuto grazie un algoritmo di consenso ed è archiviato su numerosi nodi, vale a dire computer che archiviano una versione locale del database. Il grande vantaggio di questa tecnologia è la estrema resilienza che si può raggiungere, grazie alla duplicazione dei database, che possono essere presenti in tante copie quanti sono i soggetti coinvolti nella gestione del data base stesso. Ogni nodo archivia una copia integrale del data base e può aggiornare il database stesso in maniera indipendente. In questi sistemi, i dati sono quindi raccolti, archiviati e trattati in una struttura decentrata. Inoltre, gli archivi possono essere modificati solo aggiungendo elementi, e i dati non possono essere rimossi se non in circostanze eccezionali.
Da notare inoltre che blockchain fa riferimento a una serie di tecnologie e non esiste un’unica versione. L’espressione quindi fa riferimento a diverse architetture distribuite di basi dei dati, che possono essere assai diverse fra di loro.
Ecco perché la verifica di conformità con le indicazioni del regolamento generale europeo deve essere effettuata caso per caso.
Ricordo che il regolamento generale europeo è diventato vincolante nel maggio del 2018. L’obiettivo di questo regolamento è quello di facilitare il movimento di dati fra i vari dati membri dell’unione europea e stabilire anche un quadro di riferimento nella protezione dei dati stessi; questa struttura pone degli obblighi in capo ai titolari del trattamento, cui compete assumere decisioni in merito alle finalità ed ai mezzi di trattamento dei dati stessi.
Per brevità non posso di seguito elencare tutti i punti in cui vi è una possibile tensione fra le caratteristiche delle tecnologie blockchain e quelle richieste dal regolamento generale, ma un paio almeno meritano di essere illustrate.
Ad esempio, il regolamento generale europeo prevede che esista un titolare, responsabile della raccolta e trattamento dei dati, al quale l’interessato può rivolgersi per far valere i propri diritti. Le tecnologie blockchain invece distribuiscono i dati presso un gran numero di utenti, e questo decentramento può rendere assai difficile l’esercizio di un diritto sacrosanto di un interessato, ad esempio l’aggiornamento dei dati.
Proprio a proposito della cancellazione dei dati, la architettura delle tecnologie blockchain fa sì che sia oltremodo difficile cancellare dati, proprio per garantire la integrità dei dati stessi. A questo punto si può creare un conflitto fra le garanzie di integrità, che sono offerte dalla tecnologia blockchain, e le esigenze di cancellazione dei dati, quando il titolare riceve una richiesta in questo senso.
Un’altra area di conflitto è legata ad esempio al fatto che l’articolo 25 del regolamento fa riferimento al fatto che i dati raccolti e trattati devono essere i minimi possibili. Le tecnologie blockchain accrescono in continuazione le basi dei dati, dove si trovano i dati personali, e la distribuzione presso numerosi utenti può andare in contrasto con la finalità di limitazione della raccolta dei dati.
Ecco perché il documento, che i lettori potranno esaminare in allegato, prevede alcuna possibilità di intervento.
La prima possibilità di intervento è legata alla pubblicazione di linee guida, che possono guidare gli utenti, che utilizzano tecnologie blockchain, nel rispetto di alcuni elementi fondamentali del trattamento di dati personali.
Una seconda possibilità è legata alla pubblicazione di codici di condotta e meccanismi di certificazione, d’altronde previsti dallo stesso regolamento generale, che possono facilitare il rispetto dei dettati del regolamento stesso.
Una terza possibilità è legata alla messa a disposizione di appropriati fondi, che consentano agli specialisti di approfondire i temi trattati nel documento, al fine di proporre ragionate e ragionevoli soluzioni.
Nel frattempo resta evidentemente in capo ad ogni titolare, che utilizza queste tecnologie, la responsabilità di rispettare i dettati del regolamento generale europeo.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.