Con l’avvento e la diffusione della tecnologia blockchain e, in generale, delle DLT (Distributed ledger technologies) la materia della protezione dei dati personali, disciplinata a livello europeo dal Regolamento UE 679/2016 (GDPR), ha dovuto interfacciarsi con nuovi aspetti e sfide nella sua applicazione. Soffermandoci, in particolare, sulla blockchain, per apprezzarne l’impatto in questo contesto, è necessario partire proprio dalla sua definizione. Tralasciando lo stretto dettame normativo, la si deve considerare un registro digitale in cui vengono raccolti dati sotto forma di unità (blocchi o nodi), contenenti informazioni complete e cristallizzate nel tempo, identificate attraverso un codice univoco (hash). L’aspetto innovativo di un tale tipo di tecnologia risiede principalmente nella decentralizzazione e nella immutabilità dei dati raccolti. Assieme ai summenzionati aspetti di decentralizzazione e di immutabilità, non vanno tralasciati i diversi meccanismi di governance (registri distribuiti con autorizzazione –permissioned– e senza autorizzazione –permissionless– in combinazione private o public) e di algoritmi di consenso (PoW e PoS) attraverso cui questo tipo di tecnologia funziona e può essere strutturata.

In che modo, quindi, il GDPR potrebbe entrare in gioco? Se i dati conservati sulla blockchain rientrano nella definizione dell’art. 4, co. I, allora siamo in presenza di dati personali e di conseguenza si dovrà applicare tale normativa. Abbiamo appena parlato di “raccolta di dati”, di “decentralizzazione”, di “immutabilità”, di “governance” e di “algoritmi di consenso”; ebbene, tali caratteristiche della blockchain rivelano una prima possibile impasse nel confronto con una normativa di principi, come quella del GDPR, che disciplina il trattamento di dati di carattere personale centralizzato, per cui il consenso non è più focale nella sua architettura e che prevede per l’interessato tutta una serie di diritti da poter esercitare, tra cui il diritto di accesso (art. 15) e di cancellazione (art. 17).

Uno dei punti di maggior attrito tra la normativa a tutela della data protection e la sua applicazione alla blockchain risiede proprio nel tipo di governance con cui essa è stata strutturata. Si pensi, ad esempio, al caso di una blockchain permissionless e public, che maggiormente esprime la rivoluzione che ha voluto apportare questo tipo di tecnologia: in una situazione di decentralizzazione massima è certamente difficile individuare i contorni esatti dei ruoli e delle responsabilità in capo ad essi, così come previsti da una normativa che richiede l’esatta identificazione dei soggetti e delle attività che questi devono andare a svolgere nella raccolta, nel trattamento e nella conservazione dei dati personali.

L’espressione massima di tale problematicità è presente, ad esempio, nel settore della DeFi. Il Regolamento 679/2016, è utile ricordarlo, disciplina a livello sovrannazionale e in modo direttamente esecutivo ed applicabile nei Paesi membri UE la materia della data protection: il cambio di prospettiva rispetto alla precedente Direttiva 95/46/CE è rinvenibile, in prima analisi, nell’attore a cui è rivolto (il titolare del trattamento) e nel principio attorno a cui tale normativa ruota: l’accountability, ossia la responsabilizzazione del titolare nell’applicazione delle regole de qua; l’approfondimento di tali aspetti lascia intravedere quanto possa essere difficile applicare la normativa ai soggetti coinvolti nell’erogazione dei servizi su blockchain, che spesso possono non avere alcun potere effettivo sulla sua architettura, ma anche ai validatori stessi, che in primis “creano” la blockchain; 

Provando, però, a considerare non solo i punti di frizione, è possibile cogliere alcuni elementi di convergenza tra i due temi in parola: l’intento comune è quello di favorire lo sviluppo del mercato digitale e delle tecnologie, attraverso una normativa che rispetti il principio di neutralità della tecnologia, da un lato, e l’applicazione delle DLT ad un numero sempre maggiore di settori, dall’altro; la cybersicurezza assume un ruolo centrale, come attività obbligatoria e necessaria di salvaguardia dei dati raccolti, che i soggetti del GDPR devono prevedere, al fine di scongiurare la possibilità del data breach, e ciò ha un evidente risvolto sulla efficacia e credibilità in colui che intende utilizzare la blockchain; lo sviluppo di blockchain seguendo i principi di privacy by design e by default. Ancora. In relazione alle tecniche di pseudonimizzazione (C26,29,75 art.4, co.V GDPR) e anonimizzazione applicate dal titolare, potrà risultare più o meno agevole l’individuazione di quest’ultimo, in base alla dotazione di mezzi idonei a re-identificare gli interessati a cui sono riconducibili le chiavi pubbliche registrate sulla blockchain (ad es. gli exchange). La realtà allo stato dell’arte è la mancanza di una normativa sulla data protection attagliata perfettamente sulla blockchain e sulle DLT.

Gli sforzi del legislatore europeo, però, sin dalle prime fasi di elaborazione del GDPR, son stati nel senso di rispettare il c.d. principio di neutralità della tecnologia (C15): a parere della scrivente, non è, pertanto, auspicabile un nuovo ed ulteriore intervento normativo, quanto quello delle Autorità di controllo, ossia i Garanti della privacy a livello nazione o di concerto tra loro (EDPB), al fine di semplificare l’applicazione di ciò che  già esiste e di indirizzare l’interprete, attraverso best practice e Linee Guida. In tale direzione, qualche indicazione va rinvenuta nei report dell’EU Blockchain Observatory and Forum o del Garante francese CNIL; il Parlamento europeo, inoltre, ha provato a fornire tre policy che permetterebbero di non andare a modificare una normativa: interpretazione del regolamento, creazione di codici di condotta (già previsti all’art. 40 GDPR) e sistemi di certificazione di settore (art.42 GDPR) e la promozione di ricerca multidisciplinare. Alla luce di quanto sopra esposto, la vera domanda è: come e, soprattutto, è davvero possibile normare e attribuire ruoli e responsabilità a qualcosa che nasce con la finalità di rendere davvero operante il meccanismo peer to peer tra gli utenti e, perciò, di attuare la decentralizzazione dei prodotti, dei servizi e della loro fruizione?