Un profilo assai interessante del rapporto tra tecnologia Blockchain e protezione dei dati personali è dato da quelli che vengono detiniti adempimenti privacy interni, su tutti la nomina di tutte quelle figure individuate, nel sistema europeo, come di capitale importanza nell’ottica del trattamento dei dati personali.

Precedentemente si è visto come, con riferimento ai trattamenti di dati personali effettuati utilizzando la Blokchain e le altre tecnologie “a registro distribuito” debbano applicarsi nel disposizioni in tema di privacy di cui al Regolamento (UE) n. 2016/679.

Chiaramente, optare per l’applicazione di tale Regolamento significa risolvere, o almeno tentare di risolvere, le problematiche che potrebbero sorgere tra le particolarità della teconologia e le disposizioni del regoalmento.

Come conciliare infatti le rigide disposizioni a tutela dei dati personali di cui al Regolamento con un sistema complesso, modernissimo e diffuso quale la Blockchain?

Un problema particolarmente rilevante e quello della riconoscibilità in capo ai soggetti della Blockchain, dei c.d. “ruoli privacy”: Titolare del Trattamento, Responsabile del Trattamento, e interessato.

Se non risulta difficile individuare quest’ultima figura nel soggetto cui appartengono i dati conferiti in Blokchain, quanto alle altre il discorso è assai più complesso.

Il sistema di protezione europeo, infatti, si basa una chiara definizione dei ruoli: ad ogni trattamento deve essere associato un titolare e tale soggetto deve trattare i dati in ragione di una base giuridica chiara e precisa, definita con regole piuttosto ferree.

Appare dunque evidente già ad una prima lettura, la manifesta idiosincrasia tra il rigido sistema individuato dal Regolamento e un sistema aperto e decentralizzato quale la Blockchain, almeno ove quest’ultima sia una Blockchain pubblica o aperta (unpermissioned), dove non è possibile individuare un soggetto definito che detenga i dati e decida in ordine all’effettuazione dei vari trattamenti e alle loro modalità.

Con riferimento dunque a tale tipologia di Blockchain, nessuno dei soggetti coinvolti nella Blockchain pubblica appare in grado di determinare “le finalità e i mezzi del trattamento” ai sensi dell’art. 7, par. 1, n. 7 del Regolamento, essendo le Blockcchain di tale tipologia totalmente prive di una figura centrale o preminente rispetto agli altri utenti.

Tuttavia, stante la necessità di individuare un Titolare ogniqualvolta venga posto in essere un trattamento di dati personali, gli studiosi della materia si sono prodigati in diverse teorie su chi sia il soggetto più idoneo, nella Blockchain pubblica, a ricoprire tale qualifica.

Alcune teorie (per la verità quelle meno accreditate), partendo dal presupposto che il Titolar è il soggetto che si occupa di determinare le finalità (il perché) e i mezzi (il come del trattamento), hanno ritenuto di attribuire tale qualifica ora ai Software Developers (gli sviluppatori dei software), ora ai Miners (validatori).

Altre teorie invece, trovando un consenso maggiore tra gli esperti del settore, hanno invece ritenuto di concentrare la propria attenzione sui singoli utenti, paragonati ai nodi di una catena ritenendo, in particolare, che tutti i nodi siano Titolari del Trattamento l’uno indipendentemente dall’altro, dal momento che ciascuno di essi, di volta in volta, gestisce ed inserisce dati che vengono trattati dagli altri utenti/nodi, a loro volta in totale autonomia.


Tale ipotesi appare sicuramente affascinante e idonea a rappresentare la “virtualità” e la decentralizzazione del sistema Blockchain, ma resta assai problematica, dal momento che nessun nodo può spingersi a stabilire le finalità dell’intero Network, rappresentandone, in ogni caso, soltanto una unità.
Inoltre sarebbe problematico applicare ai nodi che non partecipano alle singole operazioni la qualifica di Responsabile del Trattamento, dal momento che ciascuno di essi, in ottemperanza a quanto disposto dall’art. 28, par. 3 del Regolamento, dovrebbe essere ogni volta nominato dal Titolare mediante contratto o atto scritto, cosa evidentemente impossibile ove le operazioni si svolgano nel contesto di una Blockchain pubblica.

Da ultimo poi, in un sistema siffatto, mancherebbero in toto poi le precondizioni per potersi assumere qualsiasi responsabilità o assolvere al principio di Accountability, in assenza di strumenti di controllo e monitoraggio dell’uso dei dati replicati in innumerevoli nodi in continua crescita.


In considerazione di tali difficoltà altri studiosi hanno ritenuto di separare gli utenti dai nodi, identificando con questi ultimi soltanto le componenti tecnologiche dell’infrastruttura, ritenendo invece quali Titolari del Trattamento i singoli utenti, quali tutti e soltanto i soggetti che pongono in essere le transazioni, adattando di conseguenza anche la finalità del trattamento agli scopi da questi ultimi perseguiti.

Si aprirebbe così una dicotomia tra soggetti che usano la Blockchain per l’esercizio della propria attività commerciale o professionale, che assumerebbero la qualifica di Titolari del Trattamento ai sensi dell’art. 4, par. 1, n. 7 del Regolamento e soggetti che utilizzano la Blockchain per finalità private, cui il GDPR non troverebbe applicazione.

Se il discorso sulle figure privacy è assai complesso quando calato nel contesto delle Blockchain aperte, molto più semplice è adattare il tema alle Blockchain chiuse o del consorzio: se infatti la presenza di una figura centrale può costituire un limite per l’applicazione di tutte le potenzialità di tale nuova tecnologia, dal punto di vista privacy sicuramente una presenza di questo tipo facilita l’individuazione del soggetto che determina in autonomia le modalità del trattamento, cui può essere agevolmente riconosciuta la qualifica di Titolare del Trattamento.

In conclusione, la possibilità di individuare figure idonee a ricoprire i ruoli previsti dal Regolamento (UE) n. 2016/679 appare relativamente agevole con riferimento alle Blockchain autorizzate/del Consorzio o private, mentre presenta serie problematiche con riferimento alle Blockchain aperte o unpermissioned, problematiche che potranno essere risolte soltanto utilizzando un approccio case by case, che del resto è quello fatto proprio dal legislatore europeo con l’adozione del Regolamento, al fine di poterne fare uno strumento versatile e facilmente adattabile al rapido progresso innescato dalle tecnologie attuali.