GDPR: smart contract nella tecnologia blockchain (pseudonimizzazione, anonimizzazione e responsabile/titolare del trattamento)

GDPR, Blockchain e Smart contract : compatibili?

Si definisce lo Smart Contract  un "protocollo informatico che facilita, verifica, o farispettare, la negoziazione o l'esecuzione di un contratto, permettendo talvolta la parziale o la totale esclusione di una clausola contrattuale ^[1]".

Per sua natura è un contratto digitale di tipo giuridico, non è altro che un software eseguibile in una piattaforma di blockchain, per di più, il legislatore italiano lo ha definito, all'art. 8- ter della L. 11 febbraio 2019, n. 12 (recante "Conversione in legge, con modificazioni, del decreto-legge 14 febbraio 2018 n. 135, recante disposizioni urgenti in materia di sostegnoe semplificazione delle imprese e per la pubblica amministrazione") come "un programma per elaboratore che opera su tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse ^[2]".

Si ravvisa pertanto che è frutto di una codificazione informatica della volontà delle parti secondo una logica di if/then, in particolare, sussistono delle clausole attraverso le quali si stabiliscono le circostanze concrete da tenere in considerazioni e il contenuto della prestazione tra le parti. Invero, il contratto opera in modo automatico attraverso dei "codici informatici" che permettono l'auto-esecuzione del programma ^[3].
La stesura del testo è altresì precisa e ben definita, e lascia fuori qualsiasi elemento di personalizzazione. Si evidenzia difatti che il linguaggio informatico e la crittografia hash composta dal algoritmi matematici intangibili, immodificabili e unidirezionali definiscono tale contratto irretrattabile e immodificabile ex art. 1372 c.c. Ancora, in piattaforma blockchain tale contratto “intelligente”, mediante il code layer, garantisce l’esecuzione effettiva dello stesso. ovverosia si verificano effettivamente i rapporti formalizzati, senza poter dare alle parti alcuna opportunità, o meno, ad adempiere.

Verosimilmente, nel caso in cui due contraenti A e B, nel momento in cui vogliono acquistare una licenza d’uso per un’opera di proprietà intellettuale: la parte A genera lo smart contract, allegando l’informazione X (licenza d’uso) che si trasferisce nei confronti di B quando si verifica il passaggio di Y e l’accettazione dei termini dello scambio. Le condizioni di scambio sono, quindi, integrate e codificate affinché l’algoritmo proceda automaticamente al rilascio di X nei confronti di B e A riceva nel contempo Y^[4]. In ultimo, l'identificazione delle parti non è sempre agevole su internet, a causa dell'identità celata, con meccanismi di pseudonimizzazione o di anonimizzazione, seppure sia rilevante, ai fini della conclusione di un contratto, conoscere con certezza l'identità dell'altro contraente ^[5].

Le nuove regole sulla protezione dei dati personali, vedi Regolemaneto EU n. 2016/679 sembrano essere incompatibili con il sistema decentralizzato e immodificabile della blockchain ^[6], nello specifico, si evidenzia che i dati sono accessibili a tutti, a chiunque appartenga alla catena può accedere e conservare tali dati nell’intero registro distribuito. Peraltro, non è possibile identificare l’entità di elaborazione dei dati personali e il luogo in cui i medesimi vengono elaborati, così come è altrettanto difficoltoso individuare il responsabile del trattamento dei dati. Infine si avanzano dubbi sulla definizione di dato personale nella blockchain in quanto l’identità dell’utente è protetta da un codice rappresentato in chiave pubblica al fine di supportare la struttura distribuita di tale tecnologia.

In materia di protezione dei dati personali, si ravvisa che il processo di anonimizzazione, mediante le tecniche di randomizzazione e generalizzazione, è un vero e proprio trattamento successivo alla raccolta dei dati personali e al metodo di conservazione definendola una tecnica di de-intificazione irreversibile.

Tale processo quindi per sua natura informatica non è compatibile con la tecnologia blockchian, precisamente, i registri nei singoli nodi includono dati relativi ad ogni transazione effettuata da uno specifico utente secondo dei criteri e delle regole stabilite. Si può allora considerare la pseudonimizzazione una misura tecnica adeguata, per la protezione dei dati personali: gli attributi e/o identificatori sono sostituiti dai pseudonimi, nonché token o simbolo, che rappresentano dati realistici ma non dati originali, in quanto tale, i dati sono conservati in un database separato e adeguatamente protetto in cui è possibile reperire la corrispondenza tra dati originali e gli pseudonimi utilizzati, ^[7] affinché il titolare o il responsabile del trattamento possieda le informazioni “aggiuntive” per avviare il processo di re-identificazione degli interessati. Orbene, si riduce il rischio di identificazione diretta degli individui diminuendo la correlabilità  tra un insieme di dati rispetto all’identità interessata, senza produrre dati anonimi ^[8].

Per converso, il principio di minimizzazione dei dati da parte del titolare e/o del responsabile del trattamento,  che consiste nell’accesso limitato all’identità reale dei dati delle persone, se non esclusivamente a quello dei pseudonimi, non sembra essere di così facile applicazione nel sistema della blockchain, poiché tale enunciato prevede necessariamente il trattamento dei dati personali solo per scopi preventivamente individuati ^[9].

In occasione dell'«UNIDROIT-UNCITRAL Joint Workshop on smart contracts, artificial intelligence and distributed ledger technology» che si è tenuto a Roma presso la sede Unidroit il 6-7 maggio 2019, sono stati trattati vari temi sugli smart contract, intelligenza artificiale e sulla distributed ledger technology a livello internazionale: “il Professor Kanda ha evidenziato che occorre adottare un duplice approccio: da un lato, per così dire, difensivo, volto ad adattare gli strumenti già esistenti emanati da queste organizzazioni internazionali alle nuove tecnologie, e dall'altro, proattivo, volto ad emanare poche regole semplici per facilitare lo sviluppo delle tecnologie, in alcuni limitati settori” ^[10]. In linea a tale approccio, per ciò che concerne lo smart contract , si può apprezzare che il Regolamento Europeo in materia di protezione dei dati personali è stato elaborato sulla base di un flusso di trattamento di minore entità rispetto a quelli supportati dalla tecnologia della blockchain, oltre a non tenere conto delle diverse implicazioni che richiede l’intelligenza artificiale e la specificità della legge. A seguire, l’ Osservatorio Blockchain & Distributed Ledger, non assume di certo una posizione netta rispetto alla compatibilità tra il GDPR e la blockchain, bensì si sofferma nell’annoverare che non sussiste una soluzione univoca e che è necessario valutare di in volta in volta l’implementazione tecnologica e il trattamento dei dati personali, quindi delineare una soluzione che possa diminuire il più possibile le eventuali non conformità in relazione alla regolamentazione europea ^[11].