Uno dei punti di vista più interessanti a partire la quale è possibile analizzare la Blockchain e, in generale, i Distribuited Ledger è sicuramente quello della privacy.

Già all’esito di una breve analisi di tali tecnologie, infatti, sorgono spontanee due domande:

  1. le tecnologie Blockchain e Distribuited Ledger prevedono il trattamento di dati personali?
  2. Iin caso di risposta affermativa alla prima domanda, di quali dati personali si tratta?

La risposta tali quesiti non è per nulla facile, né banale, dal momento che, ad una prima lettura, le informazioni che vengono inserite e diffuse in Blockchain non sembrano presentare le caratteristiche proprie dei dati personali.

Infatti, ai sensi dell’art. 4 del GDPR, può essere definita dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Sono dunque dati personali, oltre agli idenficativi “tradizionali”, anche altri dati in grado di rivelare, anche solo indirettamente, l’identità di una specifica persona, in particolare quelli resi disponibili dalle nuove tecnologie, quali l’indirizzo IP, l’identificativo di un dispositivo telefonico godibile, le informazioni sul conto corrente bancario, i dati di geolocalizzazione etc.

La Blockchain tratta dati personali?

Quali sono dunque, tra gli elementi della Blockchain, quelli che permettono di identificare, anche indirettamente, le persone fisiche?

Posto che la Blockchain basa il proprio funzionamento sull’utilizzo di algoritmi e chiavi crittografiche che, interagendo tra di loro, “creano la catena”, la nostra attenzione dovrà concentrarsi proprio su questi elementi.

La Blockchaini, infatti, opera attraverso una rete decentralizzata di tipo peer to peer o “da pari a pari”, la quale annota in modo immutabile, permanente, verificabile, certificabile e tracciabile, quantunque crittografato, i dati relativi a tutte le transazioni che avvengono al suo interno, creando così un mastodontico database diffuso, non presente in un solo hardware, ma sugli hardware di tutti i soggetti che “partecipano alla catena”.

La catena dunque funziona attraverso i seguenti quattro elementi:

  • chiave pubblica del mittente di una determinata transazione;
  • chiave pubblica del destinatario/ricevente della transazione;
  • hash crittografico posto a protezione del contenuto della singola transazione (che potrebbe essere il più vario);
  • il Timestamp, ovvero quell’elemento in grado di attestare la data ed ora della transazione.

Di questi, l’elemento che assicura l’acquisizione e l’immagazzinamento delle informazioni, inclusi dati personali, all’interno della Blockchain è l’hash crittografico che viene attribuito alle singole informazioni: il processo di attribuzione dell’hash è irreversibile che impedisce di risalire al contenuto del documento, che viene “celato” dalla stringa di caratteri che vengono generati dalla funzione di hash.

Inoltre, a presidio della sicurezza dei dati conferiti in Blockchain vi è anche il binomio chiave pubblica – chiave privata: soltanto il soggetto che sia in possesso di entrambe le chiavi è in grado di decifrare le informazioni contenute nella Blockchain.

Pur essendo dunque il sistema strutturato in maniera tale che sia impossibile risalire al titolare della chiave pubblica a partire dalla stessa quando utilizzata in una singola operazione, non si può escludere che un utilizzo massivo della tecnologia Blokchain, con conseguente utilizzo della medesima chiave pubblica in più transazioni, possa rendere agevole il collegamento chiave pubblica – persona fisica, determinando così un rischio per i dati personali di quest’ultima.

Una volta risaliti attraverso la chiave pubblica all’autore di una determinata transazione, non sarà difficile, specie per hacker o altri professionisti del settore informatico, mettere in relazione questa con la chiave privata, riuscendo così a decifrare l’hash crittografico posto a protezione del contenuto della singola trasnazione e a rimuovere così qualunque forma di protezione.

Il rischio può essere ancora più grave in caso di Data Breach

I dati personali nella Blockchain: chiave e hash.

Stanti queste considerazioni, anche in virtù dei principi dettati dal Regolamento (UE) n. 2016/679, occorrerà optare per l’applicabilità ai sistemi Blockchain e Distribuited Ledger delle disposizioni europee in tema di proezione dei dati personali.

In particolare, dovranno essere ascritte alla categoria dei dati personali:

  • la chiave pubblica;
  • l’hash.

Quest’ultimo in particolare, costituendo strumento di pseudonimizzazione, è qualificabile trattamento dei dati personali ai sensi dell’art. 4, par. 5, del Regolamento.

Ciò implica che i dati personali sottoposti a pseudonimizzazione non perdono la qualifica di dati personali, ma a partire da essi risulta più difficile, e non impossibile, risalire ad un interessato identificato o identificabile.

Rebus sic stantibus, l’hash e la chiave pubblica dovranno essere considerat, per gli effetti potenzialmente lesivi delle persone fisiche derivanti dalla loro interazione, alla stregua di dati personali, con conseguente applicazione ai dati conferiti in Blokchain delle dispozioni dettate dal legislatore europeo a tutela dei dati personali occorrerà dunque individuare un Titolare del Trattamento, che dovrà effettuare tutti gli adempimenti del caso, nominando responsabili esterni e persone autorizzate al Trattamento, istituendo tenendo regolarmente il Registro dei Trattamenti e rilasciando idonea informativa agli interessati, sempre tenendo conto delle particolarità degli strumenti utilizzati secondo quanto stabilito dalla normativa europea.