Blockchain e Privacy: tra punti di frizione e possibili vantaggi

Introduzione: blockchain, bitcoin e web 3.0

La prima grande implementazione moderna della blockchain attraverso l’utilizzo di un registro pubblico per le transazioni è visceralmente legata alla nascita del protocollo Bitcoin e risale al 2009. Da allora, questi due concetti - Blockchain e Bitcoin - sono inevitabilmente legati, e per molti rappresentano quasi dei sinonimi.

In realtà, sicuramente Bitcoin è oggi il crypto-asset, la criptovaluta più famosa al mondo a basarsi su questa tecnologia, e ha aperto la strada al suo utilizzo in ambito di finanza decentralizzata; tuttavia la tecnologia blockchain ha oggi un'applicazione molto più ampia rispetto a Bitcoin e al mondo delle criptovalute, e le sue applicazioni, tra le altre, spaziano dall'esecuzione dei c.d. «smart contract» alla verifica delle catene di fornitura, la certificazione di opere digitali e la compravendita di immobili qualificandosi come il motore primario del cambiamento anche del world wide web per come lo conosciamo oggi.

Questa enorme possibilità di essere applicata su domini di varia entità, le permette di essere qualificata, a tutti gli effetti, come una disruptive technology, cioè come una tecnologia che offre vantaggi quali costi inferiori, semplicità e spesso maggiore convenienza rispetto agli attuali benchmark di mercato, puntando ad ottenere nel futuro performance incrementali tanto migliori da sostituire la tecnologia precedentemente utilizzata.

Tale proprietà si rinviene soprattutto se la blockchain viene inclusa in un contesto tecnologico più ampio.

Infatti, la blockchain consente agli utilizzatori di mantenere il possesso delle proprie informazioni e trasferire la proprietà dei contenuti all’interno della catena stessa, abilitando il passaggio ad una nuova forma di web, il c.d Web 3 (o Web 3.0); questa nuova era del web, il cui termine è stato coniato nel 2014 da Gavin Wood, co-fondatore di Ethereum (la più grande blockchain di servizi ad oggi disponibile) non solo consente di leggere e scrivere contenuti, ma offre anche la possibilità di possederli, marcando un passaggio decisivo verso un sistema più decentralizzato e orientato alla proprietà individuale anche degli asset virtuali.

Ma come spiegare, senza presunzione alcuna di completezza, cos’è la blockchain?

Letteralmente traducibile in «catena di blocchi», è una tecnologia di registro distribuito (Distributed Ledger Technology – DLT) che consente la registrazione di dati in maniera sicura, trasparente ed immutabile.

Tali dati sono inseriti in «blocchi» distribuiti su una rete di nodi (con buona approssimazione raffigurabili come singoli utenti che accedono alla rete per il tramite di un computer), i quali dispongono di copie identiche del registro in ogni momento.

La tecnologia blockchain consente di rispondere adeguatamente, in via principale, alle seguenti domande ed esigenze: perché ho la necessità di appoggiarmi ad una terza parte per effettuare una transazione (ndr. qualsiasi tipo di transazione, non per forza di tipo economico, ma idealmente identificabile in una transazione di dati)? Come può essere consentito questo scambio di dati tra gli utenti costituenti la rete, in assenza di una terza parte fiduciaria?

La Blockchain consente di rispondere a queste due domande tramite la combinazione dei suoi tre principi cardine:

1. decentralizzazione, ovvero distribuzione del controllo su tutta la rete, principio che rimuove la necessità di interfacciarsi con un’autorità centralizzata che detiene il controllo sui dati;
2. consenso, ovvero il sistema che permette ai nodi di accordarsi su quale versione della blockchain sia valida, garantendo la coerenza e l’integrità di tutti i dati;
3. crittografia, ovvero utilizzo di funzioni di hash per creare catene sicure di blocchi e coppie di chiavi per autenticare transazioni tramite firme digitali, attraverso le regole matematiche già identificate nel 1976 nell’opera “New Directions in Cryptography” (W. Diffie and M. Hellman, "New directions in cryptography," in IEEE Transactions on Information Theory, vol. 22, no. 6, pp. 644-654, November 1976).

In sostanza, la tecnologia blockchain consente di sopperire al tipico scetticismo umano, basato su una naturale assenza di fiducia nei confronti degli sconosciuti: “Technology is much more trustworthy than people. Blockchain techncology brings us intelligent trust” (Mingxing Xu, Ying Tian and Jiyue Li, Blockchain, An illustrated guidebook to understanding blockachain, pag. 28).

I punti di frizione con il gdpr

Come scrive il collega Rampone: “La blockchain agisce per sintesi della volontà di una moltitudine indeterminata di soggetti che interagiscono tra loro in modo anonimo e spesso anche inconsapevole del progetto globale a cui ubbidiscono, semplicemente eseguendo le linee di un codice open source che opera secondo un protocollo peer-to-peer dando origine a quello che qualcuno definisce un vero e proprio organismo”. (F. Rampone, I dati personali in ambiente blockchain tra anonimato e pseudonimato, Ciberspazio e diritto, vol. 19, n. 61 (3 - 2018), pp. 457-458).

Questa particolare natura decentralizzata e multi-partecipata della blockchain porta ad inevitabili ricadute in merito al coordinamento con una norma di tipo verticale come il GDPR, che ragiona in un’ottica top-down associando al Titolare (Data Controller) la responsabilità ultima in merito alle attività  di trattamento effettuate impiegando mezzi propri e scegliendo in autonomia la finalità del trattamento e le relative misure di sicurezza adottate, e avvalendosi eventualmente di soggetti terzi (Data Processor e Sub-Processor) per svolgere interamente o in parte i trattamenti per conto del Titolare, ovvero di uno o più Contitolari (Joint Controller) che determinano congiuntamente mezzi e finalità del trattamento.

Analizziamo quindi di seguito i primari punti di frizione con il GDPR.

Il primo punto di frizione riguarda proprio (i) l’identificazione dei ruoli privacy nell’ambito dell’ecosistema DLT, che porta in letteratura a differenti interpretazioni e approcci.

Tra questi, la CNIL – attualmente unica Autorità Privacy ad avere pubblicato un proprio contributo sul tema a Settembre del 2018 – ha osservato che tutti i partecipanti all’interno della blockchain, che hanno il diritto di scrittura sui blocchi della catena, dovrebbero essere considerati – qualora persone fisiche che agiscono per fini lavorativi/commerciali e non personali, e pertanto tali sottoposti al GDPR - come Titolari del trattamento, ad eccezione dei “minatori”, che sono figure chiave all’interno della blockchain che tuttavia si limitano soltanto a validare le transazioni all’interno della catena di blocchi, e pertanto non sono coinvolti nel merito (finalità e/o mezzi) delle transazioni stesse.

Sempre la CNIL analizza anche la casistica in cui un gruppo di partecipanti decida di effettuare operazioni di trattamento di dati personali sfruttando la tecnologia blockchain, e allora in tal caso consiglia di identificare preventivamente il Titolare del trattamento, ovvero diversamente tutti i partecipanti potrebbero essere considerati come Contitolari.

In ultimo, l’Autorità Francese si domanda se esistano Responsabili del trattamento (Data Processors) da individuare in ambito blockchain, e cita l’esempio degli sviluppatori di smart contract che trattano dati personali per conto del titolare del trattamento, oppure dei (già citati supra) minatori che validano le transazioni secondo le regole della specifica blockchain, ammettendo tuttavia le evidenti difficoltà pratiche ed operative di formalizzare dal punto di vista contrattuale la relazione Titolare/Responsabile.

Seconda area di frizione è legata al (ii) principio di minimizzazione (data minimization) in quanto sulla base delle caratteristiche intrinseche della blockchain i dati sono immutabili, a prova di manomissione e disponibili a tutti i partecipanti in modo trasparente; ciò implica una contraddizione diretta con le norme sulla protezione dei dati, motivo per il quale la maggior parte delle Autorità – anche informalmente interpellate - e degli esperti concordano sul fatto che non sia consigliabile inserire dati personali sulla blockchain, ma per esempio consigliano di adottare soluzioni che permettano di memorizzare i dati all'esterno della catena, inserendo solo i relativi hash all’interno della blockchain, garantendo così soltanto al proprietario della chiave privata l’accesso a questi dati e incrementando ulteriormente le misure di sicurezza adottate a protezione dei dati personali, oltre le misure precedentemente citate.

Terza area di principale frizione con la normativa data protection è legata al più critico dei diritti riconosciuti dalla normativa europea agli interessati, ovvero il (iii) diritto di cancellazione (Right to be forgotten); infatti, secondo l'architettura informatica della blockchain è possibile cancellare solo l'ultimo blocco della «catena di blocchi» senza distruggere o compromettere la struttura e la validità stessa della blockchain, ovvero senza richiedere una potenza computazionale elevata per modificare i blocchi precedentemente costituiti.

Anche in questo caso la soluzione, da intendersi come workaround suggerito però anche dalla CNIL, è l’utilizzo di hash crittografici “allo stato dell’arte” che rimarrebbero le uniche informazioni effettivamente presenti sulla blockchain, con l'archiviazione off-chain dei relativi dati personali; in tal modo, il titolare del trattamento potrebbe rendere i dati di fatto inaccessibili e quindi avvicinarsi agli effetti della cancellazione, in quanto la distruzione delle chiavi di decodifica associate renderebbe impossibile l'accesso ai dati e l'identificazione dell'interessato.

Anche il diritto di rettifica in ambito blockchain va gestito in maniera peculiare, in quanto nulla può essere direttamente modificato all’interno di un blocco, tuttavia i dati possono essere aggiornati, e così di fatto rettificati, in un nuovo blocco: solo una transazione successiva può annullare una transazione precedente, anche se questa continuerà necessariamente a comparire nella catena.

I possibili vantaggi in ambito privacy

Se da un lato le frizioni con la normativa sono evidenti, nonostante vi sia apertura da parte delle Autorità Privacy all'applicazione di correttivi e workaroud specifici, la tecnologia blockchain potrebbe avere insita nel suo DNA alcune caratteristiche che consentirebbero paradossalmente di diventare uno strumento in grado di meglio raggiungere uno degli obiettivi primari alla base del GDPR: garantire il pieno controllo dei dati personali agli interessati (il considerando 7 del GDPR prevede che “le persone fisiche dovrebbero avere il controllo dei propri dati personali”).

Letteralmente interpretato, e in un mondo ideale privacy-compliant, gli interessati dovrebbero poter controllare quasi “real-time” (o quanto meno in modo effettivo, e non puramente teorico) quanto accade ai loro dati personali, così da poter decidere chi effettivamente deve avere accesso ai dati personali e per quanto tempo.

Come in realtà sappiamo, l'interessato oggi ha pochi mezzi concreti ed effettivi per poter effettuare queste verifiche puntuali, e le modalità che vengono tradizionalmente adottate dai Titolari del trattamento riescono solo parzialmente ad avvicinarsi al volere del Legislatore.

Viceversa, la blockchain potrebbe garantire il pieno controllo dei dati personali, offrendo soluzioni in cui gli utenti possono verificare e ricostruire tutto il ciclo di vita dei loro dati, fin dalla loro prima trasmissione/condivisione con il Titolare del trattamento.

In sostanza, se adeguatamente progettata, la tecnologia blockchain può consentire forme alternative di gestione dei dati che presentano vantaggi concreti rispetto ai modelli attuali, basandosi sull'idea che l'interessato disponga di una chiave privata, così come teorizzata da W. Diffie and M. Hellman nell'opera citata supra, che gli consenta di controllare l'accesso ai propri dati personali da parte di qualsiasi soggetto terzo.

Per esempio, sono stati ipotizzate soluzioni multilivello (un esempio in Benedict Faber et al, ‘BPDIMS: Blockchain-Based Personal Data and Identity Management System, 2019, Proceedings of the 52nd Hawaii International Conference on Systems Science) che potrebbero fornire agli interessati un completo controllo sui propri dati, così ipotizzato:

• un primo il livello (Smart Contract Layer) dove mediante l'ausilio di smart contract verrebbero stabilite le condizioni per gli scambi di dati tra l'interessato e i fornitori di beni e/o servizi;
• un secondo livello di accesso (Access Layer) potrebbe consentire di collegare un database esterno, contenente i dati personali dell'interessato con la blockchain. In questo modo i dati non uscirebbero di fatto dalla sfera di controllo degli interessati, i quali fornirebbero un mero accesso ai dati ai Titolari che risulterebbero parificati a degli “ospiti” qualificati e tracciati all'interno del database dell'interessato. Solo gli interessati sarebbero in grado di modificare questo insieme di autorizzazioni e quindi l'accesso effettivo ai dati.
• un terzo livello (Hash Storage) sarebbe dedicato agli hash dei dati, che vengono creati quando i dati personali dell'utente vengono verificati da predeterminate Trusted Authority. In questo modo, la blockchain memorizzerebbe un hash dei dati verificati, consentendo ai fornitori di interfacciarsi con un set verificato di dati personali dell'utente.
• Infine, il database esterno alla blockchain (può essere offline oppure per esempio in cloud) dove verrebbero archiviati i dati effettivi dell'utente, opportunamente e adeguatamente crittografati con chiavi di proprietà esclusiva dell'interessato, e collegati direttamente al livello di accesso; l'archiviazione fuori catena consentirebbe peraltro di superare le frizioni viste al precedente paragrafo legate al principio di minimizzazione e alla cancellazione dei dati.

Un altro esempio virtuoso di utilizzo della blockchain in ambito privacy è legato alla possibilità di sfruttarla come strumento di Data Governance.

Ad esempio, le blockchain possono essere progettate per consentire la condivisione dei dati senza la necessità di un “central trusted intermediary”, offrendo trasparenza su chi ha avuto accesso ai dati e automatizzando la condivisione degli stessi, riducendo così anche i costi delle transazioni. Sul punto si stima che, in presenza di informazioni verificabili, si possa determinare un taglio nei costi di ricerca e di informazione, nei costi di monitoraggio e di applicazione nelle transazioni economiche globali, congiuntamente all'ottenimento di una semplificazione dei processi aziendali, del miglioramento dell'efficienza, visibilità, trasparenza e tracciabilità dell'intera catena del valore (Chen, W., Botchie, D., Braganza, A., & Han, H. (2022). A transaction cost perspective on blockchain governance in global value chains. Strategic Change, 31(1), 75–87).

Inoltre, gli incentivi basati su token nel modello cripto-economico delle blockchain potrebbero avere il potenziale per influenzare l'attuale economia della condivisione dei dati, che ricordiamo essere stata di recente rafforzata in maniera importante anche mediante la pubblicazione della normativa Data Act.

In conclusione

Una tecnologia come la blockchain, fortemente legata dai suoi albori al mondo delle criptovalute che molti giudicano (senza conoscere) come uno strumento pericoloso, altamente speculativo e adatto soltanto a favorire il crimine organizzativo, genera evidentemente opinioni diverse su come possa essere utilizzata in linea con la normativa europea in ambito privacy, o addirittura su come possa avere dei potenziali vantaggi specifici per gli interessati.

È tuttavia innegabile che la tecnologia blockchain sia ormai destinata a durare, nonostante le applicazioni pratiche e i benefici immediatamente tangibili per l’utente o il consumatore medio siano ancora ad oggi ridotte.

Iniziative come la European Blockchain Regulatory Sandbox - di recente lancio (2023) - mirano a promuovere il dialogo tra i diversi attori del settore, incentivando proprio la creazione di casi d'uso reali, ottenendo supporto normativo e legale in modo protetto e sicuro.

È inoltre fondamentale comprendere e accettare che la blockchain rappresenti un cambiamento di paradigma legato alla natura decentralizzata della tecnologia stessa, caratteristica unica che scardina il modello tradizionale e centralizzato di funzionamento di sistemi e processi.

Per questo, come punto di partenza, sono essenziali l'apprendimento e la formazione, ancora molto limitati quantomeno in Italia, e a questo fine ritengo che le Autorità, in particolar modo quelle in ambito Privacy, potrebbero aiutarci maggiormente nel dipanare o nel chiarire ulteriormente alcuni punti ancora aperti, così come evidenziarne in maniera esplicita i potenziali pregi, che allo stato attuale ancora scoraggiano nell’utilizzo massivo della tecnologia: si ricorda infatti che nella strategia 2021-2023 del Comitato Europeo per la Protezione dei Dati (EDPB) e nel piano di lavoro dell'EDPB per il 2023-24 viene fatto specifico riferimento anche allo sviluppo di “Linee guida sulla blockchain”, ad oggi non ancora pubblicate, di cui si auspica la pubblicazione nel corso dell’anno.