GDPR & BLOCKCHAIN: ostacoli e possibili sinergie
Sommario: 1. Il GDPR – 2. La blockchain – 3. Conclusioni
Gli argomenti che hanno segnato l’anno corrente e che hanno messo in simbiosi il mondo legal con quello IT, sono fondamentalmente due: a) la piena attuazione del Regolamento UE 2016/679, più comunemente conosciuto con l’acronimo GDPR (General Data Protection Regulation); b) l’introduzione della Blockchain (che probabilmente sarà ricordata dai nostri posteri come il preludio della nuova rivoluzione industriale della nostra epoca).
1. Il GDPR
In seguito alla piena attuazione del GDPR, il 25 maggio scorso, diversi colossi economici mondiali sono dovuti correre ai ripari per adeguarsi al nuovo Regolamento. Esempio lampante è quanto è emerso in data 12/12/2018: Google ha annunciato l’apporto di modifiche ai termini di servizio e alla privacy policy, designando l’Irlanda come sede europea per i suoi servizi di trasmissione dati in Europa. Tali modifiche entreranno in vigore il 22 gennaio 2019.
Il più significativo degli aggiornamenti apportati all’informativa privacy sarà la nomina di “Google Ireland Limited” come responsabile del trattamento dei dati nell’ UE, il quale sarà in linea con la legge irlandese e opererà in conformità alle leggi sulla privacy, incluso il GDPR.
L’adeguamento al GDPR nel nostro Paese risulta ad oggi ancora troppo lento e solo il 33% delle aziende italiane afferma di essere compliance al Regolamento. Stesso dicasi per le P.A. (specialmente nelle piccole realtà e nei piccoli Comuni, dove il più delle volte non si ha nemmeno contezza su quali siano i dati che vengono raccolti, né tantomeno su come essi vengano trattati).
A dare una scossa a questo lassismo generalizzato, si auspica siano decisive le parole dell’avv. Luca Bolognini (Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati), il quale in merito alla fatturazione elettronica (che diventerà obbligatoria a partire dal 1 gennaio 2019), ha affermato che: “Una violazione della regolamentazione privacy, anche quando operata dallo Stato, comporta l’inutilizzabilità dei dati, quindi il blocco di tutta la ‘macchina’“.
Partendo dalla corretta asserzione dell’avvocato, ipotizziamo tre casi per cogliere la ridondanza del GDPR in casi di varia natura e all’ordine del giorno sia per le PA che per le imprese.
1) La privacy ha una posizione di preminenza rispetto al FOIA: in caso di richiesta di accesso civico generalizzato ad un Ente, questi deve valutare ogni caso singolarmente al fine di non ledere il diritto alla privacy degli interessati. In caso di violazione di tale diritto l’accesso deve essere negato.
2) Installazione di sistemi di videosorveglianza: sotto espressa indicazione del Garante, tale pratica è consentita solo se sussistano i seguenti principi: a) liceità; b) necessità; c) proporzionalità; d) finalità. Inoltre, alcuni trattamenti concernenti la videosorveglianza sono oggetto di obbligo di verifica preliminare, pertanto dovranno osservare le indicazioni del Garante, espresse in seguito a detta verifica.
3) Richiesta dell’interessato di esercitare i propri diritti ai sensi dell’art. 17 GDPR (diritto all’oblio): “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”.
Altra peculiarità, non di poco conto, del GDPR è che l’onere della prova è inverso (l’accusa non deve essere provata ma la difesa si), pertanto, in caso di accusa di trattamento illecito, sta al titolare dimostrare di aver trattato i dati in conformità al Regolamento (ossia nel rispetto del principio di “accountability”).
2. La blockchain
La blockcahin, come suggerisce il nome, è una “catena di blocchi” verificabili, non modificabili e decentralizzati e può essere pubblica o privata.
È, in sostanza, una sorta di registro digitale in cui vengono condivisi dati, raggruppati in blocchi, che seguono un ordine temporale, la cui integrità è garantita grazie alla crittografia.
Quindi se un dato viene reso pubblico su di essa, questo non potrà mai essere rimosso; va da sé che questo pone la blockchain in forte contrasto col GDPR in virtù del sopra annunciato diritto all’oblio.
Merita sicuramente di essere citata una recente relazione, contenente 20 proposte per una corretta regolamentazione della blockchain, redatta e depositata da parte del Parlamento francese all’Assemblea nazionale. Tra tutte è decisamente di spicco la proposta n. 1, che prevede l’ideazione di una blockchain pubblica europea, in modo che i futuri protocolli siano sotto il controllo dell’ UE e che questi diventino standard mondiali.
3. Conclusioni
L’utilizzo totale della blockchain difficilmente potrà essere conforme al GDPR, ma, verosimilmente, alcune sue qualità potrebbero addirittura rafforzare il principio cardine del Regolamento UE di “accountability”.
Prendendo in esame il consiglio del Garante di pubblicazione del registro dei trattamenti (art. 30 GDPR) e considerando che all’interno del registro non c’è nulla che possa ledere la privacy di nessuno (per esempio all’interno del registro c’è la voce “fornitori” e come vengono protetti i loro dati, ma non è deducibile dalla semplice voce “fornitori” chi essi siano), la pubblicazione su un registro digitale pubblico non modificabile, verificabile e la cui integrità è garantita, rappresenterebbe decisamente una delle più alte manifestazioni di responsabilità.
Inoltre, considerando la temporalità della blockchain, si può costruire, seguendo ogni blocco, una cronistoria del registro e dei sui aggiornamenti. Si potrebbe, quindi, parlare di Registri con valenza probatoria che soppianterebbero i comuni fogli Excel utilizzati nella casistica preponderante.
In Italia, stando a quelli che sarebbero dovuti essere gli ultimi aggiornamenti giurisprudenziali, sarà il giudice a stabilire, caso per caso, la valenza giuridica della blockchain. Viene quindi ristretta la sua portata rispetto alla precedente disposizione, che la poneva alla stregua delle firme elettroniche presenti nel CAD (Codice dell’amministrazione digitale).
Uno dei motivi che ha portato a questa decisione è una leggera incertezza temporale, di un lasso di tempo di due ore, della pubblicazione su blockchain (a ragion veduta nei casi rientranti l’I.P. – intellectual proprety – ma non nel caso di un registro dei trattamenti, non costituendo, un incertezza di due ore sull’orario di registrazione – nei registri viene inserita solo la data – un ostacolo alla valenza probatoria del registro).
A discapito delle previsioni più ottimiste, però, nel decreto semplificazioni, pubblicato su Gazzetta Ufficiale del 14 dicembre a.c., non c’è menzione alcuna sulla blockchain.
Si auspica che in futuro si possa avere una corretta regolamentazione (nel rispetto del GDPR), preferibilmente in linea col modello elargito dal Parlamento francese per la comunità europea, e una mappatura dei casi in cui la blockchain possa godere automaticamente di valore giuridico, senza dover aspettare il riscontro giudiziale, affinché sia, anche in Italia, conforme a quelle che sono le finalità degli ausili tecnologici: velocità e praticità.
In virtù di quanto esposto, analogicamente, questo modus operandi troverebbe applicabilità anche per la pubblicazione dei modelli organizzativi del D.Lgs 231/2001 (che sta acquisendo nuova linfa vitale e diventando nuovamente oggetto di studio per i giuristi, anche in virtù del recente disegno di legge (n. 726) del Senato per renderlo obbligatorio), in quanto garantirebbe che un dato modello è stato adottato prima o dopo la configurazione di un reato, presente nel modello, o che sarebbe dovuto esserlo.
Non sono pochi, infatti, i casi di modelli costruiti in un breve lasso di tempo (ovviamente con scarsi risultati) per tentare di eludere i controlli delle Autorità competenti e cercare di dimostrare, illecitamente, l’assenza di responsabilità da parte dell’ente.
Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.
Antonio Bello
Laureato presso l'Università degli Studi di Perugia.
Tesi di laurea in diritto internazionale intitolata: "La crisi nordcoreana e le sanzioni ONU" (North Korean crisis and UN sanctions).
Consulente legale - Data protection specialist & privacy consultant.
Latest posts by Antonio Bello (see all)
- GDPR & BLOCKCHAIN: ostacoli e possibili sinergie - 27 December 2018
- Questione di Coscienza - 17 May 2018