BLOCKCHAIN E PRIVACY

Privacy e blockchain sono due argomenti che negli ultimi anni hanno ottenuto un forte eco

mediatico, da un lato, per via del rialzo delle quotazioni del bitcoin e, dall’altro, per via dell’entrata

in vigore del GDPR (il Regolamento (UE) 2016/679 sul trattamento dei dati personali) che ha

rivitalizzato l’attenzione del pubblico sul tema del trattamento dei dati personali. Il problema che è

sorto nella trattazione di questi due argomenti riguarda il possibile legame tra la legge e la

tecnologia: la dottrina si è infatti chiesta se legge e tecnologia potessero andare “a braccetto” o se la

prima ostacolasse lo sviluppo della seconda. La tecnologia infatti non è mai neutrale: il suo sviluppo

deve essere controllato altrimenti rischia di incidere in maniera negativa nell’esercizio di alcuni

diritti.

Per affrontare la questione appena esposta, bisogna prima di tutto chiarire il significato di dato

personale al fine di comprendere se le informazioni contenute nelle blockchain possano essere

qualificate come tali e debbano, pertanto, essere soggette ad un’apposita disciplina di privacy. La

definizione di dato personale fornita dall’art. 4 del GDPR, non dissimile da quella dell’art. 2 della

direttiva 95/46/CE, recita: “il dato personale è qualsiasi informazione riguardante una persona

fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che

può essere identificata, direttamente o indirettamente, con particolare riferimento a un

identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un

identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica,

genetica, psichica, economica, culturale o sociale”. A leggere questa definizione, verrebbe da dire

che tutto è un dato personale. E in effetti c’è chi ha sottolineato la possibilità di leggere la

definizione in termini così ampi e ha qualificato la legge europea sulla privacy come la legge del

tutto. Se infatti il dato personale è una qualsiasi informazione che può in qualche modo, attuale o

potenziale, condurre all’identificazione di una persona fisica, non si riesce a fissare un confine. Per

circoscrivere la nozione di dato personale, viene in aiuto il Gruppo di Lavoro ex art. 29, oggi
Comitato europeo per la protezione dei dati, che con il parere WP136 del 2007 ha fornito utili

elementi per l’interprete volti a scongiurare, o quantomeno limitare, il rischio di una definizione di

dato personale omnicomprensiva. Adottando un approccio analitico sulla definizione di dato

personale fornita dalla legge, il Gruppo ha individuato le tre parole che forniscono la sua chiave di

lettura: “informazione”, “riguardante” e “identificabile”. Quanto al concetto di “informazione”, esso

è di poco aiuto per circoscrivere la portata della definizione perché, come visto sopra, tutto è

informazione. Quanto al concetto di “riguardante” si può aggiungere qualcosa. Va notato innanzi

tutto che nella versione in inglese è scritto «related to» che non è proprio «riguardante», ma un

concetto più ampio: vuol dire che l’informazione è connessa in qualche modo ad una persona fisica.

Concetto quindi molto ampio che potrebbe essere appunto tradotto con “connessa a”, sicché il

Gruppo ha fornito un test di verifica del nesso tra informazione e persona fisica basato su una

triplice analisi: un dato è “personale” se, oltre agli altri elementi che pure devono ricorrere, è per

contenuto o per scopo o per risultato riconducibile all’identificazione attuale o potenziale di una

persona fisica. Per il contenuto, vale l’esempio di una cartella clinica il cui contenuto è chiaramente

riferibile ad una persona fisica. Per lo scopo vale l’esempio dell’indirizzo IP di un PC: esso non è

immediatamente percepibile come dato personale, come accade per il contenuto di una cartella

clinica, ma se è utilizzato per rintracciare una persona fisica (per esempio chi commette un illecito

penale o civile mettendo in rete o fruendo abusivamente di materiale coperto da copyright, per cui

dall’IP, incrociando i dati con l’ISP, si risale al titolare del contratto e per presunzione all’identità

del colpevole) allora è anch’esso considerato dato personale, ancorché identifichi direttamente solo

una macchina. Per il risultato, vale l’esempio dei dati di navigazione dei taxi utilizzati solo per

ottimizzare lo smistamento delle chiamate: il trattamento si risolve di fatto in un monitoraggio dei

percorsi dei tassisti, loro abitudini e performance. Questa specificazione del concetto di dato

personale fornita dal Comitato europeo per la protezione dei dati è utile per comprendere quali

informazioni contenute nelle blockchain sono funzionali all’identificazione di una persona fisica e

devono, pertanto, essere protette con un’apposita disciplina che si adegui allo sviluppo della
tecnologia. La blockchain, che letteralmente significa catena di blocchi, è infatti frutto di

un’evoluzione tecnologica che ha portato alla creazione di un enorme sistema decentralizzato atto a

verificare tutte le transazioni tra gli utenti ed evitare le frodi. Essa è un grande registro digitale

all’interno del quale le operazioni registrate e gestite – che possono andare dal trasferimento di una

criptovaluta alla compravendita di un bene immobiliare – costituiscono ciascuna un “blocco”. Nello

specifico, i blocchi possono essere considerati informazione in versione digitale: ciascun blocco

contiene infatti sia una serie di informazioni relative alla transazione che si registra e alle parti

coinvolte, sia una serie di elementi, denominati “hash” and “timestamp”, che rendono il blocco

unico. I diversi blocchi della catena (da qui il ricorso ai termini “block” and “chain”) sono collegati

tra loro nell’ordine in cui sono stati creati e sono immodificabili poiché l’annessione di ogni blocco

deve essere approvata da tutti i nodi alla rete tramite un predeterminato meccanismo di validazione,

anche detto “consenso”. Una copia esatta di tutti i blocchi è infatti sempre sincronizzata e

conservata da ciascun nodo del sistema, il quale può procedere ad un aggiornamento del medesimo

soltanto nel rispetto del meccanismo di consenso prescelto. La tecnologia blockchain ricorre anche

alla crittografia per impedire che soggetti diversi dalle parti di una transazione abbiano accesso alla

medesima: essa utilizza una crittografia asimmetrica che si basa sull'utilizzo di una coppia di chiavi,

chiave pubblica e chiave privata. La coppia di chiavi è legata matematicamente da una funzione,

questa assicura che un messaggio criptato con una delle due chiavi possa essere decifrato solo

dall'altra. La chiave pubblica viene usata da un mittente per criptare informazioni, mentre la chiave

privata viene usata da un ricevente per decifrarle. Dato che le due chiavi sono diverse l’una

dall’altra, la chiave pubblica può essere condivisa senza compromettere la sicurezza di quella

privata. Ciascuna coppia di chiavi asimmetriche è unica, garantendo che un messaggio criptato

usando una chiave pubblica può essere letto soltanto dalla persona che possiede la corrispondente

chiave privata. Questo tipo di crittografia dipende quindi fortemente dal presupposto che la chiave

privata rimanga segreta. Se una chiave privata viene condivisa o esposta accidentalmente, la

sicurezza di tutti i messaggi che sono stati cifrati con la sua chiave pubblica corrispondente sarà
compromessa. Ebbene, in un sistema configurato in questo modo la fiducia nella veridicità di

quanto registrato è riposta non più nell’autorità centrale che ne supervisiona il corretto andamento,

ma nella tecnologia stessa e nei suoi meccanismi di funzionamento interno. Ma se diventa superfluo

il ruolo di una terza parte imparziale che supervisioni, registri e convalidi le transazioni e, più in

generale, garantisca il regolare funzionamento del sistema, allora anche il ruolo delle autorità

centrali (come banche, autorità fiscali, notai, e così via), finora centrale nell’ambito di ogni società,

rischia di entrare in crisi. Si ritiene a questo punto che sia il meccanismo del consenso ad eliminare

il bisogno di una terza parte fidata, rendendo la blockchain una “macchina del tempo”, che crea

fiducia pur in assenza di fiducia, poiché il codice stesso è fiducia. Ma se il codice è fiducia, il codice

è anche legge. In effetti il meccanismo del consenso è tale da richiedere che ogni transazione sia

conforme alla legge sin da principio, ovvero in sede di convalida di ciascuna transazione. Ogni non

conformità è infatti esclusa ex ante. È così che con la tecnologia blockchain si ripropone l’assunto

in base al quale in ambiente digitale è il codice a diventare legge. Peraltro, si deve ricordare che gli

usi della blockchain non si limitano al solo ambito finanziario, ma la tecnologia è già ora impiegata

in numerosi settori. Si rivela infatti particolarmente utile per la registrazione di beni, anche

materiali, per certificare la provenienza di prodotti e, infine, per gestire i diritti di proprietà

intellettuale. Invero, il meccanismo del consenso decentrato e l’immodificabilità di quanto

registrato fanno sì che la blockchain sia esente da errori, sia immune da manipolazioni, aumentando

quindi non solo la sicurezza della rete ma anche l’affidabilità delle informazioni registrate. Inoltre,

in base al meccanismo di consenso decentrato che viene applicato alla blockchain, è possibile la

divisione in due macrocategorie – blockchain “permissioned” e “permissionless” – a seconda che,

rispettivamente, sia un attore preselezionato – o un gruppo di attori – ad operare come validatore o

che sia la totalità dei partecipanti al sistema a svolgere colletivamente questo

ruolo. Le Blockchain permissionless o pubbliche vengono definite così perché non richiedono

alcuna autorizzazione per poter accedere alla rete, eseguire delle transazioni o partecipare alla

verifica e creazione di un nuovo blocco. Le più famose sono sicuramente Bitcoin ed Ethereum,

dove non vi sono restrizioni o condizioni di accesso. Chiunque può prenderne parte: si tratta di una

struttura completamente decentralizza, in quanto non esiste un ente centrale che gestisce le

autorizzazioni di accesso. Queste sono condivise tra tutti i nodi allo stesso modo. Nessun utente

della rete ha privilegi sugli altri, nessuno può controllare le informazioni che vengono memorizzate

su di essa, modificarle o eliminarle, e nessuno può alterare il protocollo che determina il

funzionamento di questa tecnologia. Le Blockchain permissioned sono, invece, soggette ad

un’autorità centrale che determina chi possa accedervi. Oltre a definire chi è autorizzato a far parte

della rete, tale autorità definisce quali sono i ruoli che un utente può ricoprire all’interno della

stessa, definendo anche regole sulla visibilità dei dati registrati.

Le Blockchain permissioned introducono quindi il concetto di governance e centralizzazione in una

rete che nasce come assolutamente decentralizzata e distribuita. Chiamata

comunemente Blockchain del Consorzio, invece di consentire a qualsiasi persona con una

connessione Internet di partecipare alla verifica del processo di transazione, affida il compito ad

alcuni nodi selezionati ritenuti degni di fiducia. Oltre a queste due tipologie di blockchain, ne esiste

una terza la quale presenta moltissime caratteristiche in comune con la blockchain permissioned ed

è la blockchain privata. Si tratta di reti private e non visibili, che sacrificano decentralizzazione,

sicurezza e immutabilità in cambio di spazio di archiviazione, velocità di esecuzione e riduzione dei

costi. Questo tipo di Blockchain viene controllato da un’organizzazione, ritenuta altamente

attendibile dagli utenti, che determina chi possa accedere o meno alla rete e alla lettura dei dati in

essa registrati. L’organizzazione proprietaria della rete inoltre, ha il potere di modificare le regole di

funzionamento della Blockchain stessa, rifiutando determinate transazioni in base alle regole e alle

normative stabilite. Il fatto che sia necessario essere invitati ed autorizzati per poter accedervi

garantisce un maggior livello di privacy agli utenti e determina la segretezza delle informazioni

contenute. Le Blockchain private possono essere considerate le più veloci e le più economiche, in

quanto le transazioni sono verificate da un numero limitato di nodi riducendo così le tempistiche;

pertanto le commissioni di transazione sono significativamente inferiori a quelle

delle Blockchain pubbliche ed è per questo che, in questi ultimi anni, le Blockchain private stanno

riscuotendo maggior successo di quelle pubbliche tra le società private e le istituzioni finanziare.

L’elencazione appena esposta non è sicuramente esaustiva, ma serve per mettere in evidenza come

nel mercato esistano vari modelli di blockchain atti a garantire che tutte le transazioni siano

trasparenti e che sia certo il momento in cui sono state effettuate. L’esistenza di questa diversità di

blockchain impedisce di introdurre una disciplina generale atta a regolare il trattamento dei dati

personali in esse contenuti in quanto ogni modello si basa su una struttura interna ed una tecnica del

consenso che incidono sul livello di decentralizzazione e, di conseguenza, richiedono un differente

controllo. Nelle blockchain pubbliche, per esempio, non si richiede agli utenti di registrarsi e non si

prevede un controllo ex-ante dei medesimi, offrendo quindi un alto livello di anonimato, anche se

non è proprio utilizzare questo termine. Vale la pena ricordare come la natura della blockchain

pubblica implichi che ogni transazione sia pubblicata e collegata a una chiave pubblica, che

rappresenta in modo univoco un particolare utente; la chiave è (potrebbe essere) crittografata in

modo che nessuno sia in grado di identificare direttamente l’individuo o l’azienda sottostante

all’utente. Tuttavia, il riutilizzo della chiave pubblica consente ai singoli di essere individuati con

riferimento alla loro chiave pubblica, anche senza poter essere direttamente identificati; questo

poiché lo scopo stesso della chiave pubblica è quello di individuare gli autori di una determinata

transazione, per garantire che le transazioni siano attribuite alle persone (entità) corrette. Attraverso

questo meccanismo si concede alle parti registrate delle operazioni di operare sotto “pseudonimo”.

Già nel 2014, nell’Opinion 05/2014 (WP 216), il Gruppo di lavoro comune delle Autorità garanti

degli Stati membri, abbreviato in Gruppo articolo 29 (WP29), aveva fornito indicazioni sulla

differenza tra dati anonimi e dati pseudonimi (la “pseudonimizzazione” consiste nel “trattamento

dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato

specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive

siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che

tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” – art. 4 n. 5).
Questa distinzione è particolarmente importante in relazione alla blockchain, in quanto la

regolamentazione contenuta nel GDPR non si applica ai dati anonimi, poiché questi non possono

essere ricondotti ad alcun soggetto. A tale stregua, occorre considerare che la soglia per qualificare

un dato come anonimo è molto alta. In effetti, già nella vigenza della Direttiva 95/46/CE si è

affermato che l’anonimizzazione è ciò che risulta dall’elaborazione dei dati personali al fine di

impedire in modo irreversibile l’identificazione; nel fare ciò, i responsabili del trattamento dei dati

devono tenere in considerazione tutti i mezzi che possano ragionevolmente essere usati per

l’identificazione. In linea teorica, quindi, e conclusivamente, l’hash di un dato - che deriva

dall’applicazione di un apposito algoritmo, riferibile a una funzione matematica, unidirezionale,

irreversibile, ma non irripetibile - consente di collegare informazioni tra loro, dando luogo ad

attività che potranno essere generalmente considerate alla stregua di una tecnica di

pseudonimizzazione, ma non di anonimizzazione, tanto più ove si consideri che i dati personali

crittografati, spesso, possono ancora essere riferiti ad una persona, qualora il corrispondente

algoritmo sia violato ovvero sia impiegata, legittimamente, la relativa chiave di decifrazione.

Pertanto, i dati crittografati saranno spesso qualificati come dati personali e non come

anonimi. Ciò significa, ancora, che nella maggior parte dei casi il GDPR sarà applicabile ad almeno

alcuni dei dati coinvolti nei sistemi blockchain.

Una volta spiegato il meccanismo di pseudonomizzazione che permette di applicare il GDPR ad

alcuni dati, definiti come personali, contenuti nelle blockchain , è necessario chiarire come tali dati
possono essere “trattati”. Per fare ciò, bisogna partire dal presupposto che il sistema di blockchain
così come delineato dal Regolamento europeo per la protezione dei dati personali è decentralizzato
e questo non consente con precisione di individuare né un’autorità che si occupi del controllo del
trattamento dei personali né il titolare effettivo del trattamento. La CNIL ( o Commission nationale
de l'informatique et des libertés è un'autorità amministratitva indipendente francese incaricata di
assicurare l'applicazione della legge sulla tutela dei dati personali nei casi in cui si effettuino
raccolte, archiviazioni ed elaborazioni di dati personali) rileva, tuttavia, che i partecipanti, che
hanno il diritto di scrivere sul canale, possono essere considerati titolari del trattamento, in quanto
determinano le finalità (gli obiettivi perseguiti dal trattamento) e i mezzi implementati (formato dei
dati, utilizzo della tecnologia Blockchain, ecc.). Più specificamente, la CNIL è del parere che il
partecipante è titolare del trattamento:
  quando è una persona fisica e il trattamento di dati personali è collegato a un’attività
professionale o commerciale;
 quando è una persona giuridica e che inserisce dati personali su blockchain.

È opportuno sottolineare che, qualora un gruppo di partecipanti decida di attuare un trattamento

con uno scopo comune, il titolare sia identificato in via preliminare tra loro. In caso contrario, tutti i
partecipanti dovrebbero essere considerati come contitolari del trattamento (ex art. 26 GDPR), e
dovranno pertanto definire, in modo trasparente, gli obblighi in capo ad ognuno di loro, afferenti il
Regolamento. Al fine di fare chiarezza, sicuramente non possono essere ritenuti titolari:
i minatori, in quanto il loro operato è circoscritto alla convalida delle transazioni, senza avere voce
in merito all’oggetto di queste transazioni, non determinando né le finalità né i mezzi da attuare; e
le persone fisiche che immettono dati personali nella blockchain, al di fuori da un’attività
professionale o commerciale (cioè quando l’attività è esclusivamente personale). Quanto alla figura
del responsabile del trattamento andrebbero nominati come tali : gli sviluppatori degli Smart
Contracts, in quanto trattano i dati personali per conto del titolare; i minatori, poiché eseguono le
istruzioni del titolare quando verificano che la transazione soddisfi i criteri tecnici. Entrambi
dovrebbero quindi definire, con il titolare del trattamento, un contratto che specifichi gli obblighi di
entrambe le parti e che incorpori le disposizioni dell’articolo 28 del GDPR.
L’individuazione dei soggetti appena citati è, nella pratica, molto complessa e tale complessità fa
sorgere un altro scoglio apparentemente insormontabile che è quello di garantire i diritti
dell’interessato, disciplinati al capo III, negli artt. 12 – 23 del Regolamento in oggetto. In particolar
modo la peculiarità intrinseca della blockchain della non modificabilità e cancellazione risulta
essere in forte contrasto con il più noto “diritto all’oblio” sancito nell’art. 17 del GDPR. A dar
manforte a un’auspicabile conformità tra blockchain e GDPR, sono state le parole del professor
Christopher Millard, della “Queen Mary University” di Londra, il quale ha dichiarato: “La
blockchain non è affatto la prima tecnologia emergente ad essere etichettata come incompatibile
con la privacy e gli altri principi giuridici fondamentali. Le applicazioni blockchain potrebbero
essere dirompenti, ma ciò non significa che non possano essere progettate e implementate in modo
conforme alla legge”. Secondo lo studio condotto dall’università londinese, sarebbe ipotizzabile
una blockchain compliance al GDPR mediante la crittografia dei dati personali e la successiva
eliminazione delle corrispettive chiavi decrittografiche, lasciando su blockchain solo i dati
indecifrabili o mediante l’uso dei cosiddetti modelli di memoria “fuori catena”. Al di là di
questa risoluzione, le (presunte) incompatibilità tra applicazione del GDPR e natura di una
blockchain risiedono a un livello più generale. Il Regolamento Ue 2016/679, meglio noto come
General data protection regulation, ha voluto limitare la “leggerezza” con la quale venivano gestiti i
dati personali. A tal proposito, il GDPR conferisce ai cittadini dell’Ue il diritto di:
 Cancellare i dati personali quando non più necessari per lo scopo per il quale sono stati
raccolti;
 Chiedere la correzione dei dati errati;
 Limitare l’elaborazione o l’utilizzo dei dati personali.

Da quanto esposto, sono tre, a livello macro, i punti dove il rapporto tra blockchain e GDPR sembra
incrinarsi:
  Dati immodificabili. I dati personali presenti in una blockchain non sono modificabili se
non coinvolgendo tutti i blocchi gerarchicamente adeguati. Ma il GDPR prevede che un utente
possa richiedere la modifica di tali dati.
 Dati pubblici e consultabili. I dati personali inseriti in una blockchain sono pubblici e
consultabili da tutti i partecipanti. Ma non è detto che un utente abbia indicato che tali dati
possano essere accessibili.
 Dati conservabili per sempre. I dati personali in una blockchain possono essere conservati
illimitatamente. Invece, il GDPR prevede quello che è stato ribattezzato diritto all’oblio.
Probabilmente, il nodo gordiano della cosa sta proprio qui. E, altrettanto probabilmente, riuscire
a dirimerlo permetterebbe, a cascata, di risolvere molte delle questioni aperte tra l’introduzione
di un sistema basato sulla blockchain e la corretta (quanto obbligatoria) applicazione delle norme
presenti nel General data protection regulation.

Come sancisce l’articolo 17 del GDPR: “L’interessato ha il diritto di ottenere dal titolare del
trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il
titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”.
Però l’immodificabilità dei dati è proprio uno degli elementi distintivi della blockchain. Come
coniugare le due cose? In particolare, qui si vuole porre l’attenzione sulla difficoltà di cancellare
dati personali inseriti in una blockchain, alla luce del diritto all’oblio previsto dall’art. 17 del
Regolamento menzionato. Appare opportuno precisare, tuttavia, che, sebbene il
termine blockchain venga declinato sempre al singolare, in realtà, ne esistono vari modelli. Ciò
implica che la conformità dei vari tipi di registri distribuiti al GDPR può essere valutata solo sulla
base di un’analisi caso per caso, che tenga conto della specifica progettazione tecnica e dei modelli
di governance adottati da ciascuno. L’art. 17 del GDPR, intitolato «Diritto alla cancellazione»,
prevede due diritti specifici, che l’interessato può esercitare in presenza di determinate condizioni.
Questi diritto sono il diritto alla cancellazione dei dati da parte del titolare del trattamento e il
«diritto all’oblio» propriamente detto. Quest’ultimo è più ampio del primo, perché prevede
l’obbligo per il titolare che abbia comunicato i dati in oggetto a soggetti terzi non solo di cancellare
questi dati, ma anche di informare gli altri titolari della richiesta dell’interessato, in modo che
anch’essi cancellino qualsiasi link, copia o riproduzione dei suoi dati personali. Il diritto alla
cancellazione viene spesso definito, in maniera sintetica e non del tutto esaustiva, come il diritto
dell’interessato a non vedere più riprodotte nella rete informazioni riguardanti sue vicende
personali, che, decorso un certo periodo di tempo, potrebbero anche non essere più rappresentative
della sua identità personale. Tuttavia, è importante tenere presente che lo scopo dello strumento
predisposto dall’art. 17 del GDPR è più generale e vuole permette all’interessato una maggiore
autodeterminazione nella gestione dei propri dati e, quindi, un maggiore controllo sulle
informazioni che lo riguardano. Tuttavia, come già accennato, i dati inseriti all’interno di
una blockchain costituiscono parte integrante del registro logico e non possono essere modificati.
Perché l’utilizzo di una blockchain possa risultare conforme a quanto previsto dal Regolamento,
quindi, devono essere individuate delle soluzioni che permettano l’intervento sui dati nel caso in cui
ciò risulti necessario. Per chiarezza, possiamo distinguere i dati presenti nelle blockchain in due
grandi famiglie: i dati relativi alle singole transazioni e le chiavi pubbliche degli utenti. Ebbene, per
i primi è possibile trovare delle soluzioni che risultino in linea con quanto previsto dall’art. 17, per i
secondi, la questione risulta più complicata in quanto essi sono indispensabili per il funzionamento
del registro. Per ovviare al problema dell’immodificabilità del registro logico, si possono archiviare
i dati relativi alle transazioni in un database modificabile, inserendo solo un loro riferimento
in blockchain. Alcune società stanno collaborando per lo sviluppo di soluzioni blockchain per
aziende e governi che possano essere conformi al GDPR. Più precisamente, finora è stato
realizzato un servizio per la gestione dei processi aziendali, basato su blockchain, che si sviluppa su
due livelli. Un primo livello è costituito da una blockchain pubblica e un secondo livello è costituito
da una serie di database privati. Infine, si noti come il termine «cancellazione», utilizzato dall’art.
17 del GDPR, non è definito in maniera puntuale all’interno del Regolamento, mancando una
spiegazione tecnica che descriva in cosa debba concretamente consistere tale cancellazione.
Nell’incertezza del significato, alcune Autorità nazionali e sovranazionali hanno fatto notare che
sono possibili delle alternative alla totale distruzione dei dati, che risultano comunque conformi al
disposto dell’art. 17. Ad esempio, l’Autorità austriaca per la protezione dei dati personali ha
riconosciuto una certa flessibilità riguardo all’utilizzo dei mezzi tecnici necessari alla cancellazione,
ritenendo che anche l’anonimizzazione dei dati possa rappresentare un mezzo adatto a realizzare la
cancellazione dei dati. L’Autorità inglese, poi, ha affermato che anche “mettere fuori uso i dati”
può risultare soddisfacente ai fini dell’applicazione dell’art. 17 del GDPR. Allora, i dati personali
sono da considerarsi fuori uso, seppur non effettivamente cancellati, se il titolare del trattamento: (a)
non è in grado di usare tali dati per decisioni che riguardino un certo individuo; (b) non dà a
nessun’altra organizzazione l’accesso a tali dati; (c) prevede delle soluzioni tecniche ed
organizzative per mettere in sicurezza i dati; (d) si impegna a garantire la cancellazione permanente
delle informazioni se e quando ciò diventerà possibile. Ciò detto, sembra che il «diritto all’oblio»
possa considerarsi in parte ridimensionato dallo stesso Legislatore europeo: si noti, infatti, che, nel
secondo comma dell’art. 17 del GDPR, dove si prevede che il titolare è tenuto a informare tutti gli
altri eventuali titolari della richiesta dell’interessato di cancellare ogni dato che lo riguarda,
inserisce l’inciso «tenendo conto della tecnologia disponibile e dei costi di attuazione». A
conclusione di questa breve analisi, si può ritenere che l’applicazione del diritto all’oblio previsto
dal GDPR non debba scoraggiare l’adozione di una soluzione innovativa come la blockchain.
Ciò con la precisazione che, chiunque scelga di adottare tale strumento, deve comunque fare il
possibile, in fase di sviluppo e progettazione, per prevedere delle soluzioni che permettano di
modificare i dati in un momento successivo, come nel caso della citata archiviazione dei dati off-
chain.
Dalla tale trattazione di alcuni aspetti critici della nuova tecnologia blockchain, si può comprendere
che il GDPR ci pone di fronte a dinamiche molto differenti: esso prevede che si guardi al dato con
la dovuta attenzione e considerazione; richiede che si arrivi alla consapevolezza del valore del dato,
non solo per l’azienda che lo registra, gestisce, manipola e trasforma ma soprattutto per chi possiede
il dato e per le persone a cui i dati si riferiscono. Questo è il vero obiettivo della normativa, che non
significa semplicemente adeguare il firewall o l’antivirus per non incorrere nelle sanzioni ma
nemmeno, all’estremo opposto, arrivare a tracciare ogni singolo bit a cui l’utente può accedere.
L’approccio al GDPR, per essere corretto, deve iniziare con il prendere consapevolezza di
come il dato viene gestito in azienda, dall’acquisizione fino alla sua cancellazione.
Purtroppo molte volte si tende a sottovalutare l’importanza dei dati, dando per scontato la loro
disponibilità e correttezza, non governando adeguatamente la loro sicurezza nel senso più ampio del
termine. Ci si riferisce all’importanza dei dati come materia prima da cui estrarre conoscenze e
informazioni per il miglioramento del business; all’importanza e al valore dei dati per l’azienda,
agli impatti economici legati alla perdita di informazioni o alla perdita di valore delle informazioni
in essi contenuto; ai CryptoLocker che hanno fermato aziende per intere settimane – se non per
sempre -, alla corruzione dei dati dovuti a problemi hardware che rendono gli stessi non più
attendibili o incompleti, per arrivare alla fuga dei dati nel senso della copia non autorizzata – casi
come Yahoo, ad esempio - . Il valore dei dati in termini di informazione corretta e sicura che
rappresenta un vantaggio competitivo per l’azienda, è solo una faccia della medaglia. L’altra è
quella dei dati personali e dei dati sensibili riferiti a persone. Ma per chi hanno valore queste
informazioni? Per le persone che affidano alle nostre aziende i propri dati personali e sensibili
fiduciosi che verranno custoditi ed utilizzati per gli scopi concordati, vedi i contratti di lavoro, i dati
dei CRM per la profilazione dei clienti, i dati di vendita, i dati legati alle carte fedeltà, i cookies del
browser etc.
Questa nuova consapevolezza richiede alla funzione IT di estendere le proprie competenze e di
spingersi oltre i limiti incontrati fino ad oggi. E’ necessario quindi addentrarsi nei processi
aziendali, capirli, disegnarli ma soprattutto supportare l’implementazione dei nuovi processi per la
sicurezza dei dati. La funzione IT deve diventare “consulente del dato” per l’azienda, proprio in
virtù della sua posizione privilegiata di gestore dei dati. Questa è la sfida che il GDPR sta
lanciando alle nostre aziende: capire l’importanza del dato e della sua integrità garantendo la
sua protezione. Una protezione che, come recita la normativa GDPR, deve essere “by design”
ovvero insita nel processo di gestione del dato. Non dovranno più esistere livelli minimi di
sicurezza ma livelli adeguati in funzione della tipologia del dato trattato. La funzione IT deve quindi
iniziare a padroneggiare nuove competenze, è necessaria la conoscenza approfondita delle
normative vigenti e del flusso che i dati seguono nei processi aziendali. Solo in seguito si potrà
introdurre la corretta gestione del dato, ma tutto deve essere gestito nel  quadro di un processo che
entra a far parte dei processi aziendali.

Gdpr, un primo commento sul decreto di adeguamento - 5 settembre 2018, articolo di Maurizio
Reale e Sabrina Salmeri

La privacy in ambiente blockchain: GDPR e tecnologia blockchain sono compatibili? - Ottobre

2018, redazione iusletter

Chiavi pubbliche e private: Bitcoin e la crittografia "asimmetrica" o a "chiave pubblica" – Vincenzo

Lalli

Blockchain e privacy: come affrontare e risolvere i principali problemi - Michele Iaselli

Diritto all’oblio: genesi ed evoluzione – Serena Fiorentini