Cosa c’entra la Data Protection con Blockchain?
Vent’anni sono un lasso di tempo significativo.
Convenzionalmente un ventennio è un’unità di misura che segna il volgere di
un’epoca, di una generazione. E’ significativo che il genio letterario di
Alexandre Dumas abbia intitolato appunto "Vent’anni dopo" uno dei
romanzi della trilogia dedicata ai Tre Moschettieri, per sviluppare
compiutamente la trama delle vicende di D'Artagnan e dei suoi compagni di
avventura.
Anche per la legge sul trattamento dei dati personali, la
vicenda iniziata l’8 maggio 1997, data di entrata in vigore della gloriosa
legge n. 675, la prima "legge sulla privacy", possiamo vedere cosa
succede "Vent’anni dopo". Il traguardo appena tagliato ci porta nell’era
della nuova Data Protection, che sarà governata da un Regolamento Europeo (il
n. 2016/679) di cui tanto si sta parlando in questi mesi e che diventerà
pienamente operativo il 25 maggio 2018.
Le novità introdotte dalla Riforma europea sono numerose e
il tempo che ci separa dall’adozione delle regole di nuova concezione sarà
appena sufficiente per riprogrammare le attività di trattamento che i titolari
(siano essi aziende, enti pubblici o associazioni dovranno svolgere).
Si è detto, giustamente, che il regolamento europeo è
finalizzato a rispondere alle sfide poste dagli sviluppi tecnologiche e dai
nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei
dati personali sempre più avvertite dai cittadini del Paesi dell’Unione
europea. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le
regole fissate nell’UE. Si è enfatizzato il nuovo ruolo del Data Protection
Officer che promette di essere il futuro protagonista di tanti aspetti della
gestione dei dati personali e che sarà, in un certo senso, il
"Designer" della privacy aziendale, se, come è vero, il nuovo
criterio da rispettare sarà quello di progettare la tutela dei dati
progettandola e prevenendo i rischi nel trattamento dei dati, secondo quella che
comunemente viene definita " Privacy by design".
Indubbiamente il testo del nuovo regolamento europeo sui dati
personali costituisce un salto di qualità per le imprese, le pubbliche
amministrazioni e gli stessi cittadini e impone un cambiamento culturale e di
approccio verso una nuova consapevolezza del valore dei dati nella moderna
società tecnologica, nell’ottica di trasparenza e di accountability
(cioè di vera responsabilizzazione) dei titolari del trattamento Su questi
aspetti molto è stato già scritto, anche in modo piuttosto scontato. Ma la
discussione sulla portata di queste norme non ha ancora preso in esame l’impatto
che le nuove regole in materia di dati personali avranno rispetto alle
tecnologie a disposizione per gestire informazioni e documenti.
Penso in particolare a cosa significa trattare dati personali
usando uno strumento come la "Blockchain", che è la soluzione
informatica su cui si basano, ad esempio, le valute virtuali come il bitcoin.
Blockchain, per chi non lo sapese, in estrema sintesi è un database
distribuito, una sorta di registro che sfrutta la tecnologia peer-to-peer e che
permette a chiunque di prelevarlo dal web. In poche parole è un elenco di
eventi in cui sono registrate tutte le operazioni effettuate e tutte le azioni
sono soggette al controllo degli utilizzatori. Con la conseguenza che ciò che
è riportato nel registro condiviso non è alterabile e modificabile senza il
consenso di chi fa parte della catena degli utilizzatori della Blockchain.
Non si tratta di uno strumento marginale, interessante solo
per chi si occupa di criptovalute o di stravaganze informatiche. Al contrario è
una risorsa innovativa che sarà la leva fondamentale per realizzare la
disintermediazione di transazioni e per distrubuire in modo efficace conoscenza
e competenze professionali. Secondo una previsione del World Economic Forum
entro il 2025 ci saranno attività che genereranno oltre il 10% del PIL del
mondo che saranno registrate su tecnologie che si basano sui principi della
Blockchain.
Ma Blockchain per essere usata in modo legittimo richiederà
di superare questi due problemi specifici dal punto di vista della data
protection:
1) i dati annotati nel registro della Blockchain, inclusi
quelli identificativi degli utenti e dei titolari degli eventi
registrati,saranno pubblici e conoscibili da chiunque. Quindi usare Blockchain
significherà diffondere dati personali in grande quantità e occorrerà
definire come conciliare questo aspetto con le regole di trattamento dei dati
previste dal nuovo Regolamento Europeo;
2) i dati presenti in Blockchain, per definizione, devono
essere conservati a tempo indeterminato proprio per garantire la genuinità del
registro. Si pone quindi un rilevante problema di gestione del principio di
minimizzazione dei dati, che è un caposaldo del nuovo regolamento, e che impone
tra le altre cose di definire tempi di conservazione dei dati limitati.
Peraltro, accanto a questi problemi, le opportunità che
Blockchain offre per un trattamento evoluto dei dati personali sono assai
rilevanti: questo strumento si prospetta come la soluzione essenziale per chi
vorrà gestire gli adempimenti previsti dal nuovo regolamento in modo efficiente
ed economico perché permetterà di gestire in modo documentato e inalterabile
tutte le operazioni effettuate su un determinato database. Blockchain sarà il
terreno fertile in cui attecchiranno processi di effettiva accountability
aziendale e sarà inevitabile che i futuri software che si svilupperanno per
gestire gli adempimenti previsti dal regolamento guardino alla tecnologia
Blockchain per gestire gli obblighi di documentazione che gravano, pesantemente,
su titolari e responsabili del trattamento in base al nuovo regolamento europeo.
Prevedo che i nuovi Privacy Management Tools, i software che si diffonderanno
per gestire gli adempimenti normativi in tema di data protection, saranno basati
su tecnologia Blockchain e diventa necessario che i giuristi esperti di data
protection si mettano al servizio dell’ingegneria informatica, per sviluppare
soluzioni rispettose della normativa in questo ambito. Anche perché penso che
il futuro della data protection richiederà sempre di più di avvalersi di
coloro che nel mondo anglosassone chiamano i Privacy Engeneers, gli ingegneri
della privacy, e sempre meno di persone preposte alla verifica di conformità
alle norme.
La tutela dei dati personali non è più un tema
esclusivamente legale ma diventa un argomento che riguarda l’organizzazione,
la gestione dei processi produttivi e distributivi, la struttura degli strumenti
informatici messi a disposizione degli utenti.
Questa è la vera frontiera che rapidamente dovremo superare
per poter usare in modo sicuro dati e tecnologie. Vent’anni dopo l’avvio
dell’analisi dei temi di data protection ci troviamo quindi a discutere non
più solo di leggi ma anche di tecnologie, di tecniche organizzative, di
informatica applicata.
Visto che questo articolo nasce anche da un’occasione di
celebrazione in onore di Interlex formulo l’augurio che nel prossimo ventennio
le pagine della rivista ospitino interventi di qualità ed innovativi su questi
temi: penso che siano questi i veri nodi da sciogliere nell’era dei Big Data
se vogliamo evitare che la tecnologia prenda il sopravvento e determini le
nostre decisioni invece di limitarsi ad accompagnarle e sostenerle, come
dovrebbe accadere.
Vent’anni dopo la prima ondata di data protection ci
troviamo a immaginare cosa accadrà nei prossimi venti anni. Mi sembra sia anche
solo questo un dato positivo da registrare con soddisfazione: quando una
ricorrenza non si limita a farci ricordare il passato ma ci spinge ad immaginare
il futuro vuol dire che si sta parlando di una materia vitale che fa pare della
nostra esistenza e di quella dei nostri figli.
* Avvocato in Milano -
Presidente dell’Osservatorio Europeo sulla Data Protection
|