La tecnologia Blockchain: un panorama aggiornato sugli attuali scenari tecnici e normativi e le criticità relative alla protezione dei dati personali alla luce del Regolamento UE 679/2016

Nel novembre del 2008 un utente internet noto come Satoshi Nakamoto pubblicò un paper dal titolo “Bitcoin a peer to peer electronic cash system”, per poi pubblicare il relativo protocollo informatico suThe Cryptography Mailing listdisponibile su metzdowd.com.

Bitcoin e la tecnologia Blockchain. Nel 2009 Nakamoto ha distribuito la prima versione del software client e successivamente ha contribuito al progetto in via anonima insieme ad altri sviluppatori, per ritirarsi dalla comunità di Bitcoin nel 2010. La distribuzione del software è un evento che oggi ci consente di immaginare modelli di società digitalizzata basati su un concetto del tutto nuovo e rivoluzionario un bene digitale di cui spossessarsi in maniera definitiva e non duplicabile. Grazie a Satoshi Nakamoto probabile pseudonimo che cela una identità ad oggi sconosciuta e al suo paper noi oggi possiamo immaginare la possibilità di trasferire o sottoscrivere un elemento digitale definitivamente, senza potercene tenere una copia, senza poterlo riprodurre, senza poterlo falsificare e dando certezza su chi lo ha trasferito e su quando lo ha fatto. Satoshi Nakamoto, in parole semplici, ha introdotto all’interno del concetto infinito del mondo digitale, un elemento finito la scarsità di energia e tempo. Lo ha fatto per creare una nuova moneta digitale svincolata da qualunque banca o potere centrale. Ma, forse inconsapevolmente, ci ha regalato la più grande invenzione tecnologica di tutti i tempi poiché così come oggi è possibile dare univocità e certezza al trasferimento di una transazione Bitcoin, allo stesso modo potremmo dare univocità e certezza ad un qualunque atto giuridico, ad una sentenza, ad un quadro, alla provenienza di un capo di abbigliamento o di un prodotto alimentare e, non da ultimo e con le dovute precisazioni e criticità del caso , ad un voto in una elezione. La c.d. “Blockchain” o catena di blocchi, è, nella sostanza, un processo in cui un insieme di soggetti condivide risorse informatiche per rendere disponibile alla comunità di utenti un database virtuale. Questa è la tecnologia che sta alla base di Bitcoin e di numerose altre cripto valute. La Blockchain è fondamentalmente un registro aperto e distribuito che può memorizzare atti e transazioni in modo affidabile, verificabile e permanente. Una sorta di “libro giornale” contenente la storia di tutti gli atti e transazioni tra due o più parti, e dove ogni pagina del libro è un blocco legato alle altre pagine mediante l’uso di sistemi crittografici. In particolare, ogni blocco della catena contiene un puntatore “hash” come collegamento al blocco precedente, un timestamp e i dati della transazione. Attraverso la tecnologia Blockchain, applicata a Bitcoin, e semplificando notevolmente, ogni utente “parla” con gli altri utenti informandoli di una specifica transazione, aggiornando, così, ogni pagina del cosiddetto registro distribuito o distributed ledger da cui deriva la definizione anglosassone “Distributed Ledger Technologies” o DLT . Naturalmente esistono delle precise regole un protocollo di aggiornamento su come “realizzare” rectius “calcolare” le pagine di questo libro giornale virtuale al fine di allineare tutti i partecipanti a dei criteri specifici evitando così potenziali frodi e duplicazioni delle transazioni. La Blockchain quindi, in questo contesto, serve ad autenticare la validità delle transazioni attraverso un vero e proprio processo di firma elettronica caratterizzata da un originale e sofisticato sistema basato sulla crittografia. Blockchain, secondo diversi studiosi che per primi hanno affrontato la materia, può esser definito come a un sistema distribuito di tenuta delle transazioni b in forma incrementale c liberamente accessibile d basato sul consenso decentralizzato. In sostanza è un libro giornale a blocchi legati uno all'altro con un sistema di hash. L'hash di un blocco è il primo elemento del blocco successivo per legare tutta la catena in maniera quasi indissolubile. La tecnologia Blockchain, al fine di validare atti e transazioni come nel caso della rete Bitcoin , si avvale della tecnologia relativa alle firme digitali, verificate dalla comunità che aderisce alla rete di riferimento sistema cosiddetto “Peer to Peer” e – con una originale applicazione della teoria dei giochi – previo inserimento di un anagramma che funge da ulteriore elemento certificante e la cui risoluzione è riservata solo a chi che ne conosce o ne calcola la chiave di risoluzione. Qualora un utente voglia “falsificare” una firma o una transazione, attribuendosi bitcoin illegittimamente o falsificando atti e documenti firmati con l’ausilio di tale tecnologia, dovrebbe necessariamente ricostruire tutti i passaggi precedenti riportati nei precedenti blocchi o pagine del registro virtuale e quindi ogni anagramma. Senza la risoluzione di tutti i passaggi precedenti gli altri partecipanti alla comunità di calcolo e verifica si renderanno conto dell’errore e l’atto o la transazione falsificata non saranno validati. Considerata quindi la enorme potenza di calcolo necessaria per “falsificare” un atto o transazione firmato con la tecnologia Blockchain, è evidente che per il truffatore è quasi impossibile l’operazione in considerazione del rilevante costo in termini energetici e di tempo che richiederebbe tale falsificazione. Il sistema Bitcoin per garantire un alta sicurezza nelle transazioni usa un si-stema di crittografia asimmetrica. Questa è formata da 2 chiavi a chiave pubblica può essere distribuita e rappresenta l’indirizzo dove inviare bitcoin b chiave privata deve restare personale e segreta. Il meccanismo di base è che se con una delle due chiavi si cifra una transazione, questo potrà essere decifrato solo con l’altra chiave.

Il Considerando 6 del Regolamento Generale UE 27 Aprile 2016, numero 679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali di seguito, per brevità, “GDPR” menziona la rapidità dell'evoluzione tecnologica e la globalizzazione [] la tecnologia attuale che consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali come mai in precedenza nello svolgimento delle loro attività come le nuove sfide per la protezione dei dati personali. Inoltre, sempre in tale Considerando, il Legislatore europeo amplia la prospettiva verso il futuro la tecnologia ha trasformato l'economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali. Come leggere tutto ciò alla luce della rapida diffusione della tecnologia blockchain, soprattutto in rapporto alla necessaria conformità di tale tecnologia al nuovo quadro legale europeo sulla data protection introdotto dal GDPR? La risposta non è di facile formulazione, soprattutto perché per le sue peculiari caratteristiche, l’ambiente operativo e le modalità di trattamento di dati personali sottese, non è semplice far rientrare i paradigmi operativi della tecnologia Blockchain nel paradigma generale di tutela e protezione dei dati del GDPR. Anzi, ad un non approfondito esame, la tecnologia Blockchain intesa come registri distribuiti e database decentralizzati sembrerebbe addirittura depotenziare le tutele poste dal GDPR che va ricordato è stato scritto nel 2012, quando la tecnologia blockchain era solo agli albori e di cui certamente dovrà tenere conto la Commissione UE quando procederà alla prima revisione del Regolamento il 25 Maggio 2020 . E’ difatti proprio la decentralizzazione dei trattamenti un po’ come accade con la tecnologia di cloud storage e la molteplicità di attori che intervengono a sradicare una sorta di linearità dei flussi di comunicazione dei dati personali dal Titolare del trattamento verso gli interessati persone fisiche cui si riferiscono i dati, e viceversa che nel GDPR è appunto paradigmatica. Tuttavia, non va nemmeno commesso l’errore – al contrario – di ritenere la protezione dei dati e dei diritti delle persone fisiche la prospettiva esclusiva e assorbente del GDPR esso – difatti – pone sullo stesso piano della tutela effettiva degli interessati la promozione e il supporto alla libera circolazione dei dati nel mercato digitale e globalizzato entro il 2025 almeno il 10% del PIL del mondo sarà prodotto da attività e servizi che saranno erogati e distribuiti attraverso le tecnologie Blockchain . Quali sono dunque le sfide che la tecnologia Blockchain pone al GDPR? Intanto, una prima distinzione va fatta tra reti Blockchain pubbliche su cui si basa per esempio la circolazione delle criptovalute bitcoin ed ethereum e private soprattutto per quelle di natura pubblica public permissionless blockchain networks, che ad oggi rappresentano l’80% dell’intero panorama Blockchain è nella pratica più difficile interpretare gli obblighi ed applicare i dettami del GDPR. Nel caso di consorzi o società o agenzie governative che gestiscono reti Blockchain private permissioned sarà invece più semplice applicare alla lettera il GDPR rispetto alle reti pubbliche permissionless. Infatti tali consorzi, società, etc saranno in una posizione tale da poter più facilmente definire i ruoli privacy, i trattamenti e imporre le istruzioni a tutti i partecipanti, applicare i principi di privacy-by-design, etc. Nel caso delle public permissionless blockchain networks è proprio la loro natura di radicale decentralizzazione e distribuzione dei trattamenti che rappresenta la sfida maggiore alla conformità al GDPR. In secondo luogo, tra le varie criticità che la tecnologia Blockchain pone nell’ottica GDPR, si possono richiamare le seguenti 1. l’identificazione e la chiara applicazione degli obblighi che il GDPR pone in capo a Titolari e Responsabili del trattamento 2. la pseudonimizzazione e l’anonimizzazione dei dati personali 3. il rispetto dei principi generali del trattamento fissati dall’articolo 5 del GDPR es «liceità, correttezza e trasparenza», «minimizzazione dei dati», «limitazione della conservazione», etc 4. la piena ed efficace possibilità per gli interessati di esercitare effettivamente i propri diritti privacy.

Come sopra detto, la versione vigente del Codice dell’amministrazione digitale CAD in vigore dal 27 gennaio 2018 ha introdotto una nuova fattispecie di formazione del documento informatico nell’articolo 20, comma 1-bis. AgID deve stabilire delle Linee guida affinché questo comma sia applicabile ed efficace giuridicamente. Nel comma citato si stabilisce che «Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore omissis ». La tecnologia Blockchain sopra descritta, composta da crittografia asimmetrica, marche temporali e funzioni di hash, comprende tutte le componenti indispensabili per soddisfare quanto richiesto dal CAD nell’articolo 20, comma 1-bis, in materia di sistemi autenticazione, introducendo gli schemi di identificazione informatica dello SPID – Sistema Pubblico di Identità Digitale e della Carta di Identità Elettronica - CIE 3.0. Per completare il quadro sulle novità introdotte sul tema nell’ultimo CAD, è utile ricordare anche quanto stabilito nel secondo periodo dell’articolo 21, comma 2-bis «Gli atti di cui all’articolo 1350, numero 13 , del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale ovvero sono formati con le ulteriori modalità di cui all’articolo 20, comma 1-bis, primo periodo». Tuttavia, al fine di poter utilizzare la tecnologia Blockchain, quale valido strumento per l’autenticazione di atti e transazioni digitali, sarà necessario innanzitutto stabilire il tipo di accesso alla blockchain e capire se una blockchain permissioned con sistemi di controllo all’ingresso da parte di organi Statali sia compatibile ed efficiente per lo scopo, in considerazione dei rischi di attacco informatico sopra evidenziati. Certamente questa architettura introduce una nuova fattispecie di sottoscri-zione che si affiancherebbe in parallelo a quanto stabilito in eIDAS, e AgID avrà un importante ruolo nel definire le linee guida che potranno eventualmente includere tale rilevante tecnologia. Inoltre, è indispensabile definire nuovi ruoli della sottoscrizione informatica in coordinamento con l’identità digitale rappresentata da SPID ma anche dalla CIE. Da ultimo, e con opportuno rinvio al successivo capitolo, sarà opportuno va-lutare con attenzione gli aspetti relativi alla tutela dei dati personali e, quindi, operare in collaborazione e di concerto con l’Autorità Garante per la Protezione dei Dati Personali.

Attualmente, sulla base di quanto previsto dalla normativa italiana e in linea con le disposizioni europee, sono previste diverse tipologie di firma elettronica che possono essere così sintetizzate a firma elettronica generica chiamata anche nella prassi firma elettronica semplice l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica. b firma elettronica avanzata insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del fir-matario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. c firma elettronica qualificata un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato rilasciato da un certificatore accreditato e realizzata mediante un dispositivo sicuro per la creazione della firma. d firma digitale un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la prove-nienza e l'integrità di un documento informatico o di un insieme di documenti informatici. La firma digitale è quindi solo un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro. La firma elettronica qualificata ha in più della firma elettronica avanzata l'utilizzo di un dispositivo di firma sicuro e di un certificato qualificato rilasciato da un certificatore autorizzato. La firma elettronica avanzata deve garantire una connessione univoca al firmatario, essere creata con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. Tutti gli altri metodi di identificazione informatica sono firme elettroniche semplici. Il panorama normativo a livello nazionale in tema di firma elettronica è piuttosto risalente. La storia italiana del documento informatico e della firma digitale affonda le sue radici nell’articolo 15, comma 2, l. 15 marzo 1997, numero 59 «Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge». La stessa legge conferiva delega per l’emanazione di specifici regolamenti che definiscono i criteri di applicazione. Tale delega viene attuata con il d.P.R. 10 novembre 1997, numero 513 G.U. 13 marzo 1998, numero 60 . Seguono le regole tecniche sulla materia con il d.P.C.M. 8 febbraio 1999 G.U. 15 aprile 1999, numero 87 . L'Italia si è adeguata alla Direttiva 1999/93/CE nel 2002, con il d.lgs. 23 gennaio 2002, numero 10 G.U. 15 febbraio 2002, numero 39 , poi assorbito, con modifiche, dal codice dell’amministrazione digitale di cui al d.lgs. 7 marzo 2005, numero 82 e successive modifiche. In tale contesto spicca il recente d.lgs. numero 217/2017 il “d.Lgs. 217/2017” , pubblicato in Gazzetta Ufficiale il 12 gennaio 2018 con il quale sono state emanate le disposizioni integrative e correttive al d.lgs. 26 agosto 2016, numero 179, concernente modifiche ed integrazioni al Codice dell'Amministrazione Digitale CAD , di cui al d.lgs. 7 marzo 2005, numero 82, ai sensi dell'articolo 1 l. 7 agosto 2015, numero 124, in materia di riorganizzazione delle amministrazioni pubbliche. Tra i punti salienti di questa riforma si evidenzia, ai fini della presente trattazione, quanto segue a sostituzione delle regole tecniche del CAD con delle linee guida la cui adozione viene affidata direttamente all'Agenzia per l'Italia Digitale – AgID in modo da rendere l'attuazione tecnico-operativa delle disposizioni di legge capace di stare al passo con la continua evoluzione tecnologica. b La disciplina, attraverso l’utilizzo di definizioni più accurate e sintetiche, del c.d. “domicilio digitale”. c L’introduzione di uno specifico diritto per la cittadinanza di fruire dei servizi offerti dai soggetti pubblici “in forma digitale e in modo integrato” articolo 7, comma 1, CAD anche per il tramite del “punto di accesso” di cui all’articolo 64-bis CAD che, così come novellato dal presente intervento normativo, dispone che le pubbliche amministrazioni debbano, “in sede di evoluzione”, progettare e sviluppare i loro servizi e sistemi “in modo da garantirne l’integrazione e l’interoperabilità”.

Come detto un token basato su tecnologia blockchain potrebbe essere considerato come un elemento digitale idoneo a conferire certezza e non ripudiabilità di una firma. Per poter meglio comprendere l’importanza di tale utilità, è necessario dedicare qualche breve cenno alla normativa in materia di c.d. firma digitale. Con il termine “firma digitale” si indica un tipo di firma elettronica qualificata, basato sulla crittografia asimmetrica, alla quale si attribuisce una particolare efficacia probatoria, tale da potersi equiparare, sul piano sostanziale, alla firma autografa. A livello europeo il sistema delle firma elettroniche e quindi anche della cosiddetta firma digitale può essere ricondotto alla direttiva 1999/93/CE, Direttiva del Parlamento europeo e del Consiglio relativa ad un quadro comunitario per le firme elettroniche la “Direttiva 1999/93/CE” . Particolare importanza riveste l'articolo 5 della Direttiva, che prevede obblighi degli Stati membri relativi sia alle “firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura” sia ad altri sistemi di firma che oggi vengono genericamente chiamati deboli o semplici . L’articolo 5, rubricato “Effetti Giuridici delle firme elettroniche” stabilisce, infatti, che «Gli Stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura a. posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per dati cartacei e b. siano ammesse come prova in giudizio». L’articolo prosegue, stabilendo poi che «Gli Stati membri provvedono affinché una firma elettronica non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che è - in forma elettronica, o - non basata su un certificato qualificato, o - non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero - non creata da un dispositivo per la creazione di una firma sicura». Il difetto della Direttiva 1999/93/CE era trattare le firme elettroniche senza fornire un quadro transfrontaliero completo per transazioni elettroniche sicure, affidabili e di facile impiego. In sostanza, nonostante ciascuno Stato membro abbia, nel tempo, adottato norme a livello nazionale in materia di firma elettronica, non esisteva nella Direttiva una armonizzazione tra questi differenti sistemi di autenticazione, con conseguente problematica a livello europeo. In tale senso si colloca il recente Regolamento UE numero 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 il “Regolamento numero 910/2014” o “Regolamento” , finalizzato a rafforzare ed estendere la portata della Direttiva 1999/93/CE noto anche come Regolamento eIDAS - electronic IDentification, Authentication and trust Services” . Un obiettivo del Regolamento numero 910/2014 era l’eliminazione delle barriere esistenti all’impiego transfrontaliero dei mezzi di identificazione elettronica utilizzati negli Stati membri almeno per l’autenticazione nei servizi pubblici. Il regolamento non intendeva intervenire riguardo ai sistemi di gestione dell’identità elettronica e relative infrastrutture istituiti negli Stati membri. Lo scopo del regolamento era invece quello di garantire l’accesso ai servizi online transfrontalieri offerti dagli Stati membri disponendo di un’identificazione e un’autenticazione elettronica sicura e lasciando a ciascuno di essi la possibilità di individuare le migliori tecnologie del caso. Sul punto il considerando 14 del Regolamento numero 910/2014 stabilisce che «E’ opportuno che gli Stati membri rimangano liberi di utilizzare o di introdurre mezzi propri di accesso ai servizi online, a fini di identificazione elettronica, e che possano decidere dell’eventuale partecipazione del settore privato nell’offerta di tali mezzi». Al considerando 14, poi, il Regolamento si prefiggeva il compito di fissare talune condizioni in merito all’obbligo di riconoscimento reciproco tra gli Stati Membri, dei mezzi di identificazione elettronica, individuando dei criteri per determinare adeguati livelli di garanzia. In questo contesto, di particolare interesse è il considerando 16 del regolamento il quale stabilisce che «I livelli di garanzia dovrebbero caratterizzare il grado di sicurezza con cui i mezzi di identificazione elettronica stabiliscono l’identità di una persona, fornendo così la garanzia che la persona che pretende di avere una determinata identità è effettivamente la persona cui tale identità è stata assegnata. Il livello di garanzia dipende dal grado di sicurezza fornito dai mezzi di identificazione elettronica riguardo all’identità pretesa o dichiarata di una persona tenendo conto dei procedimenti ad esempio, controllo e verifica dell’identità, e autenticazione , delle attività di gestione ad esempio, l’entità che rilascia i mezzi di identificazione elettronica e la procedura di rilascio di tali mezzi e dei controlli tecnici messi in atto». Peraltro la Commissione Europea aveva già finanziato un progetto sperimentale finalizzato alla identificazione dei cittadini dell’Unione Europea attraverso sistemi di autenticazione elettronica. Si veda, in proposito, il progetto “STORK”, finanziato dalla Commissione Europea con circa 13 milioni di € nel periodo 2008-2011 e il successivo “STORK2”. Il Regolamento, alla luce di quanto sopra, fissa le condizioni sulla base delle quali gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro, stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche e istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web articolo 1 del Regolamento . In questo contesto, particolare rilievo assumono le definizioni di “Firma Elettronica”, “Firma Elettronica Avanzata” e “Firma Elettronica Qualificata”. Ai sensi dell’articolo 3, punto 10, la Firma Elettronica viene definita come quell’insieme di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare. La Firma Elettronica Avanzata, invece, ai sensi dell’articolo 26 e dell’articolo 3, punto 11 del Regolamento, è una firma elettronica che deve soddisfare i seguenti requisiti a è connessa unicamente al firmatario b è idonea a identificare il firmatario c è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo e d è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. e L’articolo 3, punto 12, definisce la Firma Elettronica Qualificata, una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche. In questo contesto, l’articolo 3, punto 34 definisce «validazione temporale elettronica qualificata», una validazione temporale elettronica che soddisfa i seguenti requisiti a collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati b si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato e c è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente. L’allegato 2 del Regolamento stabilisce in dettaglio i requisiti che devono possedere i dispositivi per la creazione di Firme Elettroniche Qualificate. Nell’allegato si stabilisce, al fine di considerare affidabili ai sensi del Regolamento i dispositivi per la creazione di una firma elettronica qualificata, deve essere garantito, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue a è ragionevolmente assicurata la riservatezza dei dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica b i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono comparire in pratica una sola volta c i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili d i dati per la creazione di una firma elettronica utilizzati nella creazione della stessa possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi. L’allegato stabilisce poi che i prestatori di servizi fiduciari qualificati, che gestiscono dati per la creazione di una firma elettronica per conto del firmatario possono duplicare i dati per la creazione di una firma elettronica solo a fini di back-up, purché rispettino i seguenti requisiti a la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali b il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.

Bitcoin e la tecnologia Blockchain. Nel novembre del 2008 un utente internet noto come Satoshi Nakamoto pubblicò un paper dal titolo “Bitcoin a peer to peer electronic cash system”, per poi pubblicare il relativo protocollo informatico su The Cryptography Mailing list disponibile su metzdowd.com. Nel 2009 Nakamoto ha distribuito la prima versione del software client e successivamente ha contribuito al progetto in via anonima insieme ad altri sviluppatori, per ritirarsi dalla comunità di Bitcoin nel 2010. La distribuzione del software è un evento che oggi ci consente di immaginare modelli di società digitalizzata basati su un concetto del tutto nuovo e rivoluzionario un bene digitale di cui spossessarsi in maniera definitiva e non duplicabile. Grazie a Satoshi Nakamoto probabile pseudonimo che cela una identità ad oggi sconosciuta e al suo paper noi oggi possiamo immaginare la possibilità di trasferire o sottoscrivere un elemento digitale definitivamente, senza potercene tenere una copia, senza poterlo riprodurre, senza poterlo falsificare e dando certezza su chi lo ha trasferito e su quando lo ha fatto. Satoshi Nakamoto, in parole semplici, ha introdotto all’interno del concetto infinito del mondo digitale, un elemento finito la scarsità di energia e tempo. Lo ha fatto per creare una nuova moneta digitale svincolata da qualunque banca o potere centrale. Ma, forse inconsapevolmente, ci ha regalato la più grande invenzione tecnologica di tutti i tempi poiché così come oggi è possibile dare univocità e certezza al trasferimento di una transazione Bitcoin, allo stesso modo potremmo dare univocità e certezza ad un qualunque atto giuridico, ad una sentenza, ad un quadro, alla provenienza di un capo di abbigliamento o di un prodotto alimentare e, non da ultimo e con le dovute precisazioni e criticità del caso , ad un voto in una elezione. La c.d. “Blockchain” o catena di blocchi, è, nella sostanza, un processo in cui un insieme di soggetti condivide risorse informatiche per rendere disponibile alla comunità di utenti un database virtuale. Questa è la tecnologia che sta alla base di Bitcoin e di numerose altre cripto valute. La Blockchain è fondamentalmente un registro aperto e distribuito che può memorizzare atti e transazioni in modo affidabile, verificabile e permanente. Una sorta di “libro giornale” contenente la storia di tutti gli atti e transazioni tra due o più parti, e dove ogni pagina del libro è un blocco legato alle altre pagine mediante l’uso di sistemi crittografici. In particolare, ogni blocco della catena contiene un puntatore “hash” come collegamento al blocco precedente, un timestamp e i dati della transazione. Attraverso la tecnologia Blockchain, applicata a Bitcoin, e semplificando notevolmente, ogni utente “parla” con gli altri utenti informandoli di una specifica transazione, aggiornando, così, ogni pagina del cosiddetto registro distribuito o distributed ledger da cui deriva la definizione anglosassone “Distributed Ledger Technologies” o DLT . Naturalmente esistono delle precise regole un protocollo di aggiornamento su come “realizzare” rectius “calcolare” le pagine di questo libro giornale virtuale al fine di allineare tutti i partecipanti a dei criteri specifici evitando così potenziali frodi e duplicazioni delle transazioni. La Blockchain quindi, in questo contesto, serve ad autenticare la validità delle transazioni attraverso un vero e proprio processo di firma elettronica caratterizzata da un originale e sofisticato sistema basato sulla crittografia. Blockchain, secondo diversi studiosi che per primi hanno affrontato la materia, può esser definito come a un sistema distribuito di tenuta delle transazioni b in forma incrementale c liberamente accessibile d basato sul consenso decentralizzato. In sostanza è un libro giornale a blocchi legati uno all'altro con un sistema di hash. L'hash di un blocco è il primo elemento del blocco successivo per legare tutta la catena in maniera quasi indissolubile. La tecnologia Blockchain, al fine di validare atti e transazioni come nel caso della rete Bitcoin , si avvale della tecnologia relativa alle firme digitali, verificate dalla comunità che aderisce alla rete di riferimento sistema cosiddetto “Peer to Peer” e – con una originale applicazione della teoria dei giochi – previo inserimento di un anagramma che funge da ulteriore elemento certificante e la cui risoluzione è riservata solo a chi che ne conosce o ne calcola la chiave di risoluzione. Qualora un utente voglia “falsificare” una firma o una transazione, attribuendosi bitcoin illegittimamente o falsificando atti e documenti firmati con l’ausilio di tale tecnologia, dovrebbe necessariamente ricostruire tutti i passaggi precedenti riportati nei precedenti blocchi o pagine del registro virtuale e quindi ogni anagramma. Senza la risoluzione di tutti i passaggi precedenti gli altri partecipanti alla comunità di calcolo e verifica si renderanno conto dell’errore e l’atto o la transazione falsificata non saranno validati. Considerata quindi la enorme potenza di calcolo necessaria per “falsificare” un atto o transazione firmato con la tecnologia Blockchain, è evidente che per il truffatore è quasi impossibile l’operazione in considerazione del rilevante costo in termini energetici e di tempo che richiederebbe tale falsificazione. Il sistema Bitcoin per garantire un alta sicurezza nelle transazioni usa un si-stema di crittografia asimmetrica. Questa è formata da 2 chiavi a chiave pubblica può essere distribuita e rappresenta l’indirizzo dove inviare bitcoin b chiave privata deve restare personale e segreta. Il meccanismo di base è che se con una delle due chiavi si cifra una transazione, questo potrà essere decifrato solo con l’altra chiave.

Per poter inquadrare al meglio la questione è necessario un approccio “aprioristico” e transnazionale e da questo punto di vista si ritiene opportuno prendere le mosse da un recentissimo caso affrontato negli Stati Uniti, e in particolare dalla Corte Distrettuale del Massachusetts. Il 3 ottobre 2018 è stata pubblicata la decisione del Giudice della Corte Distrettuale del Massachusetts Rya W. Zobel, in relazione ad una ICO con la quale si è stabilito che le cryptovalute sono da considerarsi a tutti gli effetti al pari di una commodity e che pertanto la Commodity Futures Trading Commission CFTC ha piena competenza ad indagare in merito. In estrema sintesi, e per semplificare ai fini del presente articolo, con commodity si intende un bene fungibile offerto sul mercato e che avrebbe le medesime caratteristiche indipendentemente da chi lo produce. In italiano potrebbe essere definito “bene indifferenziato” e il termine inglese deriva dal francese commodité. Una commodity deve essere facilmente immagazzinabile e conservabile nel tempo, cioè non perdere le caratteristiche originarie. Le commodities possono costituire un’attività sottostante per vari tipi di strumenti derivati, in particolare per i “futures” strumenti finanziari regolati dallo U.S. Securities Act del 1933 e dallo U.S. Securities Exchange Act del 1934 . Una delle caratteristiche di una commodity è che il suo prezzo viene determinato dal mercato. Generalmente le commodities sono prodotti agricoli o prodotti di base non lavorati come l’oro, il sale, lo zucchero e il caffè. La Commodity Futures Trading Commission CFTC , fondata nel 1974, è la Commissione indipendente del Commercio in Futures sulle materie prima degli Stati Uniti. La sua sede principale si trova a Washington e fra i suoi obiettivi vi è la protezione degli investitori dalla manipolazione, dalle truffe e dalle pratiche di trading abusive. Il Governo degli Stati Uniti, per il tramite della CFTC, ha avviato una azione nei confronti dei fondatori di una nuova cryptovaluta immessa sul “mercato” attraverso una apposita ICO e un relativo “White Paper” analogo al prospetto finanziario nelle IPO sulla base della Section 6 c 1 del Commodities Exchange Act, e sulla base della CFTC Regulation 180.1 a , 17 C.F.R Secondo i fondatori della cryptovaluta, la CFTC non aveva alcuna competenza a investigare in relazione ad una ICO, poiché si trattava di cryptoassets non equiparabili a commodities. Non trattandosi quindi di “merce” in senso tecnico, i fondatori e i loro legali ritenevano che la competenza ad investigare spettasse invece alla SEC Securities and Exchange Commission . Il Giudice del Massachusetts, invece, ha ritenuto, nel caso di specie, i token come delle commodities e per tale motivo ha riconosciuto piena competenza alla CFTC. E’ bene tuttavia chiarire alcuni aspetti. Ogni ICO ha una storia così come ogni cryptoasset. Ci sono diverse tipologie e la casistica cresce quotidianamente ormai token come beni, token come premi, token per accedere ad un servizio o ad un bene, token che danno diritto a degli sconti, token come titoli di credito o come documenti rappresentativi di merce, token come titoli di legittimazione. E ancora, token che hanno una o più delle caratteristiche sopra dette o token che non hanno alcun valore monetario o proprietario. E’ evidente quindi la difficoltà se non impossibilità nell’inquadrare apriori-sticamente i cryptoassets come una valuta, un features strumento finanziario , una commodity bene o altro. Sarà quindi compito dell’interprete nel caso concreto dare una risposta e quindi valutare l’eventuale normativa applicabile. Ciò premesso, è evidente comunque che la sentenza statunitense pubblicata il 3 ottobre scorso ha sicuramente un impatto notevole a livello internazionale e dovrebbe certamente essere tenuta in considerazione anche a livello nazionale italiano. Dal punto di vista interpretativo nazionale e comunitario una cryptovaluta – pur avendo le caratteristiche e potenzialmente i requisiti della valuta intesa come valore di un determinato oggetto – non è ad oggi inquadrata come moneta o come valuta avente corso legale. D’altra parte la stessa Corte di Cassazione, con sentenza del 2 dicembre 2011, numero 25837, ha stabilito chiaramente che «Può essere qualificata moneta soltanto il mezzo di pagamento universalmente accettato, che è espressione delle potestà pubblicistiche di emissione e di gestione del valore economico, in conformità agli obbiettivi stabiliti dall’ordinamento nazionale e sovranazionale». Di particolare rilevanza, ai fini dell’inquadramento giuridico delle cryptovalute nel panorama europeo, riveste la sentenza della Corte di Giustizia Europea del 22 ottobre 2015 numero C-264/14 in relazione alla applicabilità della Direttiva Comunitaria sull’IVA , nella quale si stabilisce chiaramente che «è pacifico che la valuta virtuale bitcoin non abbia altre finalità oltre a quella di un mezzo di pagamento e che essa sia accettata a tal fine da alcuni operatori». Si ricorda poi anche se non applicabile erga omnes la Risoluzione Ministeriale numero 72/E del 2 settembre 2016 relativa ad un interpello presentato da una società alla Agenzia delle Entrate territorialmente competente, in merito ad operazioni di acquisto e vendita di bitcoin e alla applicabilità del regime IVA. Tale risoluzione, da più parti criticata poiché in controtendenza con quanto precisato dalla citata sentenza della Corte di Giustizia Europea del 2015, ha stabilito, in buona sostanza, tra l’altro, che il bitcoin è una tipologia di moneta “virtuale”, o meglio “criptovaluta”, utilizzata come “moneta” alternativa a quella tradizionale avente corso legale emessa da una Autorità monetaria”. Vi è poi il d.lgs. numero 25/5/2017 numero 90, il quale inquadra i token come rappresenta-zione digitale di valore, non emessi da una banca centrale o da un’autorità pubblica, non necessariamente collegati a una valuta avente corso legale, utilizzati come mezzo di scambio per l’acquisto di beni e servizi e trasferiti, archiviati e negoziati elettronicamente. Meritano infine menzione due recenti interpelli che hanno generato le due risposte dell’Agenzia delle Entrate Interpello 956-39/2018 e Interpello 903-47/2018 in relazione a questioni attinenti i contribuenti non in regime di impresa e le cryptovalute, risposte, queste, che in sostanza assimilano le cryptovalute alle valute estere e delineano il regime fiscale applicabile. E’ evidente che il rilevante sforzo interpretativo fornito dall’Agenzia delle Entrate caratterizzato da una interessante fase di studio della questione non può da solo aiutare ad inquadrare la materia anche in considerazione della complessità che sta alla base del funzionamento stesso di questi token “estratti” dalla blockchainumero Per questo motivo, atteso il probabile sviluppo di attività imprenditoriali legate a questa tecnologia, è auspicabile un urgente intervento legislativo in materia e, a tal fine, il Governo sta istituendo un comitato di esperti che possa supportare il Ministero dello Sviluppo Economico anche per elaborare nuove soluzioni finalizzate alla gestione di un fenomeno tecnologico tanto affascinante quanto problematico poiché ribalta paradigmi ed equilibri del passato in maniera dirompente.

Alla data di redazione del presente articolo vi sono circa 2212 c.d. cryptovalute, un termine atecnico per definire dei “gettoni” o “token” digitali, calcolati o come si dice in gergo “minati” esattamente come l’oro su una determinata blockchain, e con diverse finalità e sigle identificative. Le più diffuse sono certamente Bitcoin BTC , Ethereum ETH , Bitcoin Cash BCH , criticato “spin-off” o meglio “fork” di Bitcoin, Litecoin LTC , Monero XMR , IOTA MIOTA . Un bitcoin vale, ad oggi circa 6.500 USD, ma è partito nel 2010 da una valutazione di pochi centesimi di dollaro e solo nel 2017 è cresciuto da 300 USD a circa 18.000 USD. Naturalmente, essendo divisibile, è possibile acquistarne anche una limitata porzione fino alla sua unità minima denominata “satoshi” pari a 0,00000001 di BTC. La crescita di valutazione esponenziale ha creato non pochi problemi agli organi regolatori e alle banche, poiché ci si è trovati di fronte un elevato numero di risparmiatori che attratti da questa improvvisa crescita di valore, si sono lanciati in incauti acquisti, destando spesso l’attenzione di procuratori e giudici sia in Italia che all’estero, per i risvolti anche di carattere penale che ne sono scaturiti. E’ opportuno infatti precisare che l’acquisto di una cryptovaluta può essere effettuato non solo per il tramite di soggetti terzi i c.d. “exchange” che forniscono servizi di “cambio” da valute FIAT a cryptovalute, ma anche direttamente dall’“emettitore” che decide, sfruttando la tecnologia blockchain, di creare un nuovo token o cryptovaluta , dandogli un nome, una sigla, una finalità e offrendolo al pubblico attraverso una procedura cosiddetta Initial Coin Offering ICO , termine questo utilizzato per analogia con le procedure di collocamento in borsa note come Initial Public Offering. Esattamente come nelle IPO, anche nelle ICO i creatori del nuovo token, si rivolgono al pubblico per raccogliere danaro generalmente da destinarsi per sviluppare il progetto che sta alla base di tale nuovo token, anche se non mancano numerosi casi di truffa in cui purtroppo sono caduti molti investitori e che sono oggetto di indagini penali in Italia e in numerosi paesi del mondo. Si noterà, da quanto sopra detto, la presenza di diverse analogie con il mon-do della finanza. Fatto questo che ha posto il regolatore di fronte alla problematica relativa ad un corretto inquadramento giuridico di questi token e alle finalità in alcuni casi dubbie delle ICO. Ad avviso di chi scrive, assimilare i token digitali alle valute potrebbe essere fuorviante e tecnicamente non corretto. Tuttavia, stante il successo anche in termini di scambio e di crescita di valore dei bitcoin e di molte altre cryptovalute, vi è una diffusa tendenza ad equiparare le stesse alle valute tradizionali.

L’individuazione del Titolare del trattamento Con riferimento alla prima criticità identificazione chiara di Titolare – o Titolari o Contitolari - e Responsabile del trattamento , va evidenziato come in ambito Blockchain possono darsi situazioni e contesti assai diversi tra loro in alcuni casi il Titolare o il Responsabile possono essere facilmente individuati e ad essi possono imputarsi gli obblighi normativi previsti in materia di trattamento dei dati. Ad esempio, nel recente documento presentato dal Garante privacy francese CNIL contenente alcune prime linee guida su Blockchain e GDPR il titolo del documento – rilasciato lo scorso Settembre 2018 – è “Blockchain primi elementi di analisi” , la CNIL evidenzia che in ambito Blockchain i partecipanti – che hanno il potere di scrittura sulla catena di blocchi e quello di sottomettere le informazioni alla validazione dei miners – sono dei Titolari del trattamento ai sensi dell’articolo 4, numero 7 del GDPR «titolare del trattamento» la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” . Ciò in quanto tali partecipanti, appunto, prendono le decisioni sulle finalità e sui mezzi impiegati dal formato dei dati alla tecnologia Blockchain nel trattamento. Ad esempio, un Notaio che iscrive un atto di proprietà di un suo cliente in una Blockchain è il titolare di tale trattamento, come lo è una banca che vi iscrive i dati dei clienti. Tuttavia, non tutti gli attori che interagiscono in ambito Blockchain sono considerati dal Garante francese come titolari del trattamento non lo sono – ad esempio – i miners che si limitano alla validazione delle transazioni sul cui oggetto non hanno potere di intervento nè potere decisionale in ordine alle finalità del trattamento anzi la CNIL li qualifica in certi casi come Responsabili del trattamento che eseguono le istruzioni del Titolare-partecipante alla Blockchain o le persone fisiche che scrivono dati personali nella catena Blockchain per fini esclusivamente personali ai sensi della esclusione di applicabilità del GDPR prevista dall’articolo 2, comma 2, lettera c del GDPR “trattamenti effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico” . Per esempio, non è un titolare del trattamento una persona che procede per proprio conto alla vendita di bitcoin mentre tale persona fisica sarà un titolare se procede a transazioni nell’ambito della sua attività professionale o commerciale per conto di altre persone fisiche . Tuttavia – al di là di schemi proposti dalla CNIL - vi possono essere anche circostanze in cui è in pratica quasi impossibile identificare un titolare del trattamento si pensi quando le transazioni Blockchain sono scritte dagli stessi soggetti cui si riferiscono i dati personali. O – ancora una volta – si pensi alle public permissionless blockchain networks queste ultime si fondano su un modello che sostituisce il tradizionale modello relazionale Titolare/interessato o fornitore/cliente con un modello basato su un trattamento collettivo e distribuito attraverso protocolli condivisi, nell’ambito del quale identificare un Titolare del trattamento come richiesto dal GDPR è praticamente quasi impossibile e comunque oggetto di dibattito ancora aperto, rispetto al quale non vi sono ancora indicazioni emanate dalle Corti o dai Garanti privacy europei riuniti nel Comitato Europeo per la Protezione dei dati personali . In ogni caso, nell’ambito del dibattito che si sta sviluppando sulla titolarità del trattamento ai sensi del GDPR in questi casi, è possibile riassumere le posizioni dei vari contributi proposti, come segue 1. per alcuni sarebbe auspicabile non considerare titolari del trattamento colori i quali attivano un protocollo Blockchain sui propri PC onde agire quali nodi di validazione o nodi di partecipanti nell’ambito di public permissionless blockchain networks altri invece sostengono esattamente il contrario il download di softwa-re, nodi, etc. li pone quali titolari del trattamento che perseguono tali specifiche finalità 2. con riferimento agli utenti di rete che siglano e trasmettono transazioni mediante i nodi e registri di una rete Blockchain, essi saranno considerati Titolari del tratta-mento se tali attività si inquadrano in quelle professionali e/o commerciali svolte inclusa la fornitura di software o servizi che consentono la pubblicazione dei dati personali su una Blockchain in caso di persone fisiche che per proprio uso esclusivamente personale e non connesso at attività commerciali o professionali eventualmente svolte, essi saranno esclusi – come anche evidenziato dal CNIL nelle sue linee guida sopra citate – dall’applicabilità del GDPR ai relativi trattamenti 3. per quanto riguarda i redattori di smart contract o “contratto intelligente”, essenzialmente un software che esegue le condizioni postulate precedentemente dagli sviluppatori quando si verificano, o meglio, un contratto tradizionale i cui effetti sono garantiti da un codice, un algoritmo che garantisce che al verificarsi di alcune condizioni poste in precedenza inevitabilmente si spieghino gli effetti concordati previamente dalle parti c’è ancora forte incertezza se rispetto allo smart contract sia titolare del trattamento il publisher o l’utilizzatore finale che lo invoca o se lo siano entrambi. Pseudonimizzazione o anonimizzazione dei dati personali nella catena Blockchain alla luce del GDPR Quanto alla seconda criticità di carattere generale circa il rapporto tra Blockchain e GDPR, e cioè la pseudonimizzazione e anonimizzazione dei dati personali, va osservato quanto segue. In primo luogo occorre chiarire la differenza tra “dato anonimo o anonimizzato” e “dato pseudonimizzato”. Ai sensi del Considerando numero 26 del GDPR «I principi di protezione dei dati non dovrebbero applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca». Già nel 2014, con il Parere WP 5/2014 sulle tecniche di anonimizzazione, i Garanti UE ebbero a chiarire che - l’anonimizzazione è il risultato del trattamento successivo di dati personali raccolti all’origine e identificativi allo scopo di impedire irreversibilmente l’identificazione della persona interessata proprio attraverso una tecnica di anonimizzazione - i dati anonimizzati sono quindi dati anonimi già corrispondenti a una persona identificabile ma che non ne permettono più l’identificazione - il risultato dell’anonimizzazione quale tecnica applicata ai dati personali dovrebbe essere, allo stato attuale della tecnologia, permanente come una cancellazione, vale a dire dovrebbe rendere impossibile il trattamento dei dati personali - la pseudonimizzazione non è un metodo di anonimizzazione. Si limita a ridurre la correlabilità di un insieme di dati all’identità originaria di una persona interessata, e rappresenta pertanto una misura di sicurezza utile, ma il dati pseudonimizzato resta un dato personale soggetto alla disciplina sulla protezione dei dati. Con il GDPR, è stata introdotta articolo 4, numero 5 la definizione di «pseudonimizzazione» il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. Quindi i dati personali sottoposti a pseudonimizzazione che ai sensi del GDPR è una specifica misura di sicurezza si veda l’articolo 32 GDPR , potrebbero essere attribuiti a una persona fisica mediante l'utilizzo di ulteriori informazioni aggiuntive conservate dal titolare separatamente in tale prospettiva essi non sono dati anonimi o anonimizzati, bensì vanno considerati informazioni su una persona fisica identificabile e – come tali – “dati personali” soggetti al GDPR. Inoltre, la pseudonimizzazione è anche considerata dal GDPR tra le principali misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie misure di protezione dei dati fin dalla sua progettazione è cioè una misura che consente di adempiere anche agli obblighi di c.d. privacy-by-design e anche di privacy-by-default prescritti dall’articolo 25 del GDPR. Ed a proposito di rapporto tra Blockchain e principio di privacy by design, appare opportuno ricordare che l’articolo 25 GDPR impone sì di adottare misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le necessarie misure di protezione dei dati fin dalla sua progettazione, ma sempre “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento” l’applicazione pratica alla Blockchain del principio di privacy-by-design potrebbe risultare difficoltosa proprio perchè è una tecnologia che va oltre lo stato attuale dell’arte lo stesso European Data Protection Supervisor – EDPS – la ha definita nella Opinion 5/2018 una tecnologia emergente, insieme alla intelligenza artificiale e al machine learning e non è una tecnologia consolidata e basata su standard internazionali definiti e regolamentati. Nell’ambito della tecnologia Blockchain è attualmente in corso il dibattito tecnico su quando un flusso di informazioni possa effettivamente essere considerato – alla luce del GDPR –anonimo o meno dunque, di conseguenza, “pseudonimizzato” e su quali tecniche garantiscano una effettiva anonimizzazione del dato per esempio le tecniche di offuscamento, di generalizzazione, di randomizzazione, di crittografia . Fermo restando che tale dibattito non è concluso e che – soprattutto – non vi sono allo stato indicazioni normative o regolamentari specifiche circa il rapporto Blockchain-GDPR in materia anche se il la Opinion 5/2014 sopra citata e le regole del GDPR costituiscono ad avviso di chi scrive una serie di riferimenti normativi abbastanza chiari , la principale conclusione è che in ambito Blockchain va valutato di volta in volta e caso per caso se l’applicazione di una determinata tecnica consenta di trasformare un dato personale in dato anonimo o solo pseudonimizzato. Ad esempio, gli sviluppatori di applicazioni possono impiegare diverse tecniche di offuscamento, di crittografia o di aggregazione dei dati per trasformarli in firme digitali che crittograficamente sono connesse ai dati personali originari senza rivelarne però il contenuto informativo e di identificazione. In termini più pratici, per considerare se le tecniche di offuscamento, di crittografia o di aggregazione rendono il dato “anonimo” o solo “pseudonimizzato”, va valutato come anche chiarito dai garanti UE nel Parere 5/2014 la probabilità del verificarsi di un duplice rischio 1 il rischio di reversibilità, inteso come rischio che il processo di anonimizzazione sia reversibile e che la tecnica di crittografia utilizzata renda tecnicamente possibile ricostruire i dati personali originari es impiegando la cosiddetta decrittazione basata sul “metodo della forza bruta”, cioè un algoritmo che consiste nel verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta 2 il rischio di correlabilità, cioè la possibilità di collegare i dati crittografati ad una persona fisica esaminando il contesto o comparandoli con altre informazioni disponibili. In tale prospettiva, ad esempio, un dato sottoposto a crittografia reversibile non è un dato anonimizzato ma “pseudonimizzato”ai sensi del GDPR. Per quanto riguarda le tecniche di crittografia basate su funzioni di hash che è una tecnica non reversibile , anche in questo caso tale tecnica di crittografia - ampiamente utilizzata in ambito Blockchain - può – a seconda dei casi – far restare il dato “personale” in quanto pseudonimizzato e non anonimo. Blockchain e rispetto dei principi generali fissati dal’articolo 5 del GDPR Quanto alla terza criticità di carattere generale circa il rapporto tra Blockchain e GDPR, e cioè il rispetto dei principi generali del trattamento fissati dall’articolo 5 del GDPR nel trattamento dei dati su Blockchain, può osservarsi quanto segue. Quanto al principio di liceità del trattamento, non è sempre agevole – in una rete radicalmente decentralizzata – determinare la base giuridica del trattamento tra le sei basi giuridiche di cui all’articolo 6 del GDPR . Un trattamento è difatti lecito ai sensi dell’articolo 5 del GDPR solo ove sia documentabile la base giuridica specificata al successivo elenco di cui all’articolo 6 GDPR su cui si fonda consenso dell’interessato, oppure adempimento di un contratto, obbligo legale, interesse legittimo, etc. . Si pensi al caso del consenso come base giuridica, se necessario si è sopra detto delle difficoltà relative alla individuazione del Titolare del trattamento in reti Blockchain pubbliche permissionless a chi dovrebbe essere fornito tale consenso quando è spesso in pratica impossibile capire chi è il titolare? Oppure, può ritenersi di fatto prestato il consenso al solo atto di utilizzare una rete decentralizzata come Bitcoin ? Certamente no, viste le caratteristiche di inequivocabilità del consenso espresso come anche stabilite e precisate dalle recenti Linee Guida sul consenso emanate dal Comitato Europeo per la Protezione dei dati personali. Potrebbe allora costituire il contratto la base giuridica del trattamento, nel momento in cui un utente inizia una transazione stiamo sempre parlando di reti Blockchain pubbliche permissionless e si vincola negozialmente con la piattaforma? Anche in questo caso la risposta è negativa oltre che alla difficoltà rappresentata in tal caso dalla identificazione del Titolare del trattamento, nessun comportamento concludente potrebbe comunque costituire il presupposto di una valida base giuridica del trattamento. E’ meno problematico – invece - individuare la base giuridica del trattamento nel caso delle reti Blockchain private permissioned in questo caso, difatti, è possibile ad esempio vincolare i partecipanti alla accettazione preventiva di termini e condizioni generali prima dell’accesso alla piattaforma. Con riferimento ad altri principi fissati dall’articolo 5 del GDPR, sembra che la tecnologia Blockchain proponga dei conflitti insuperabili in termini di sua conformità. Prendiamo ad esempio il principio di minimizzazione del trattamento che impone di trattare i soli dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono raccolti o di limitazione della conservazione che impone di conservare i dati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati . Al contrario, le reti Blockchain sono disegnate in modo tale che una volta scritto, il dato resta immutabile e permanentemente sulla piattaforma a garanzia e tutela del registro anzi, è proprio questa una delle principali caratteristiche tecnologiche di Blockchainumero Blockchain ed esercizio dei diritti privacy degli interessati ai sensi degli articolo 15-22 del GDPR Il che ci porta alla quarta criticità di carattere generale circa il rapporto tra Blockchain e GDPR, e cioè la piena ed efficace possibilità per gli interessati di esercitare effettivamente i propri diritti. Va evidenziato come a detta di alcuni la Blockchain non permetterebbe soprattutto l’esercizio di particolari diritti previsti dal GDPR e cioè la rettifica articolo 16 GDPR o la piena cancellazione articolo 17 delle informazioni personali anche se il GDPR non definisce quando un dato possa ritenersi “cancellato” e sul concetto di ciò che può essere considerata definitiva cancellazione in ambito Blockchain è tuttora in corso un dibattito tecnico . Di conseguenza la Blockchain sarebbe incompatibile con il GDPR difatti proprio a causa della struttura decentralizzata della tecnologia Blockchain sarebbe tecnicamente impossibile la modifica e la cancellazione dei dati personali eventualmente richieste dall’interessato senza distruggere la catena stessa, poichè sarebbe necessario operare su tutta la catena, proprio perché i vari blocchi sono interconnessi fra loro e anzi, i dati archiviati in una Blockchain sono per questo a prova di manomissione, quindi la loro cancellazione non sarà possibile una volta che tali dati sono immessi nella catena distribuita . Con riferimento al diritto di accesso che ai sensi dell’articolo 15 GDPR conferisce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e a specifiche e precise informazioni , nelle reti pubbliche Blockchain permissionless rimane il problema dell’interlocutore e del Titolare individuabile cui avanzare l’istanza. Anche nel caso di un particolare nodo cui avanzare l’istanza, non è detto che in tal caso esso potrebbe avere le informazioni oggetto dell’istanza di accesso. Con riferimento al diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che incida in modo analogo significativamente sulla persona dell’interessato cfr. articolo 21 e 22 GDPR , alcuni ritengono che la problematica in ambito Blockchain si ponga soprattutto con riferimento agli smart contracts sopra citati alcuni algoritmi alla base di tali accordi sono sviluppati per operare in modo completamente automatizzato se ad esempio in sede regolatoria si introducessero degli obblighi di intervento umano, è ovvio che le potenzialità e l’affidabilità di tali strumenti ne uscirebbero radicalmente depotenziate.

In conclusione, va detto che i potenziali conflitti tra tecnologia Blockchain e GDPR ripropongono un tema corrente nel rapporto tra Tecnologia e Diritto spesso – come in questo caso – l’avanzamento tecnologico è più veloce della sua disciplina e dell’adeguamento normativo, in una situazione che spesso ricorda il paradosso di Achille e la tartaruga. Ciò non implica tuttavia che i potenziali conflitti e le criticità qui evidenziate non possano trovare una sintesi e una soluzione con misurati interventi come detto, la Commissione nel 2020 dovrà rivedere il GDPR che bilancino equilibratamente gli opposti interessi in gioco della tutela dei dati e della diffusione sempre più ampia di tecnologie che quei dati utilizzano a scopi professionali, commerciali od istituzionali. Come pure brillantemente è stato evidenziato non è la tecnologia in quanto tale a dover essere conforme al GDPR, ma l’uso che di essa se ne fa.