Un approccio basato sul rischio

Non bisogna poi dimenticare che il GDPR promuove un approccio agli adempimenti di tipo risk-based, assai innovativo rispetto al vecchio quadro giuridico e molto adatto a superare le rigidità che l’applicazione 8 M. CONTI - E. S. KUMAR - C. LAL - S. RUJ, A survey on security and privacy issues of bitcoin, in IEEE Communications Surveys and Tutorials., vol. 20(4)/2018, pp. 3416-3452.

di questa tecnologia indubbiamente manifesta. Il tema è stato variamente affrontato dallo European Data Protection Board (EDPB), che a più riprese ha fornito indicazioni sul modo corretto in cui questo approccio deve essere considerato dai titolari, da ultimo nel parere reso in materia di privacy by design e

privacy by default9.

Come chiarito dall'EDPB in questo parere, l’efficacia è al centro dell’approccio basato sul rischio. Ciò significa che i titolari devono essere in grado di dimostrare di aver realizzato misure specifiche per rischi specifici, integrando le tutele con l’uso degli strumenti tecnologici, in contesti in cui le misure tradizionali non sarebbero state altrettanto efficaci o sarebbero risultate inadeguate. L’obiettivo è evitare una conformità puramente formale al GDPR. Questo approccio è molto importante nel contesto della tecnologia blockchain, in cui con opportuni accorgimenti tecnico-organizzativi è concretamente possibile ridurre in modo significativo i rischi per i diritti e le libertà degli interessati fino al punto da consentire una efficace applicazione dei principi. In assenza di un orientamento ai rischi questa possibilità, in molti casi, non sarebbe neppure ipotizzabile.

Con un concreto approccio basato sul rischio, l’applicazione del principio di minimizzazione risulta meno lontana. L’attenzione va spostata proprio alla fase preliminare di design, e ci si deve concentrare maggiormente sulla necessità stessa della tecnologia blockchain per raggiungere un determinato scopo. Questo test di necessità deve inoltre tenere conto della comparazione tra blockchain e ogni altra opzione tecnologica, e deve compiutamente valutare l’effettiva impraticabilità di queste ultime.

L’approccio risk-based facilita inoltre la realizzazione del principio di limitazione delle finalità, messa alla prova dalla persistente disponibilità del dato, su cui si fonda la disintermediazione, e che è ampiamente potenziata dalla tecnologia blockchain. La limitazione delle finalità è essenzialmente un aspetto comportamentale e richiede innanzitutto un'adeguata governance e l’affidabilità dei partecipanti coinvolti nella catena. Da un punto di vista tecnologico, la limitazione della finalità può essere favorita dall’impiego di soluzioni crittografiche e da un’adeguata policy di custodia delle chiavi, in grado di porre ostacoli all'uso dei dati per una nuova finalità al di fuori dalla blockchain.

Un cenno particolare merita il diritto di cancellazione individuale, che è senz’altro il più complesso tra i diritti da garantire in una blockchain. L'effetto del diritto, ancora una volta, è la chiave per intraprendere un percorso di compliance basato sull’analisi dei rischi. A questo proposito, può essere utile riflettere sulla differenza di scopo che sussiste tra la cancellazione del dato in un rapporto bilaterale e quella in un ambiente disintermediato in cui l’intera infrastruttura tecnologica è realizzata per raggiungere un interesse “di gruppo”. Nel primo caso è abbastanza immediato concludere che l’obiettivo della cancellazione è

rendere il dato indisponibile al titolare, e che il modo più semplice per farlo è eliminare il dato dai sistemi di quest’ultimo, senza con ciò comportare effetti sui diritti degli altri interessati. Nel secondo caso, la discussione tecnica e giuridica è tutta da avviare, ma di certo non può esservi l’effetto di invalidare con l’esercizio del proprio diritto le transazioni effettuate da tutti gli altri partecipanti. Volendo ricorrere a una metafora, si deve pensare a una blockchain come a un castello di carte, in cui l'eliminazione di un singolo dato può far crollare tutta la struttura. Siamo dunque in presenza di una forte esternalità negativa che deriva dall’esercizio di un diritto individuale, che non può essere risolta utilizzando categorie di pensiero tradizionali. La tecnologia offre però molte nuove opzioni che nel tempo bisognerà esplorare. La più promettente è senz’altro costituita dalla possibilità di intervenire sui dati prima che essi siano caricati sulla blockchain per trasformarli in “oggetti informatici nuovi”, ossia in impegni vincolanti (commitment), impiegabili unicamente all’interno della catena, e non interoperabili in nessun altro contesto. Queste tecnologie, dette zero-knowledge-proof, dopo una lunga fase di validazione scientifica10, cominciano oggi a essere disponibili in diversi prodotti e potrebbero realmente rappresentare il punto di conciliazione tre le esigenze del diritto e la rigidità manifestata da blockchain nel consentirne l’esercizio11. Occorrerà verificarne sul campo l’applicabilità in situazioni concrete e non si può che incoraggiarne la più ampia sperimentazione.

Il GDPR offre ai titolari anche un “luogo” in cui affrontare i rischi e promuovere soluzioni: il documento di valutazione d’impatto (Data Protection Impact Assessment, o DPIA). È un obbligo per i titolari nelle situazioni di rischio elevato, ma è anche un’opportunità per superarle con interventi efficaci di mitigazione. L'EDPB ha chiarito con delle linee guida12 i criteri da seguire per determinare se un trattamento richiede una DPIA, precisando che un criterio per individuare situazioni a rischio elevato è costituito dall’impiego di nuove soluzioni tecnologiche o organizzative che determinino un potenziale impatto per i diritti e le libertà delle persone. Per quanto qui detto diffusamente, blockchain rientra in questa situazione. Nelle linee guida dell’EDPB sono contenute utili indicazioni operative su come effettuare una DPIA per questa tecnologia.

10 O. GOLDREICH - S. MICALI - A. WIGDERSON. Proofs that yield nothing but their validity, in Journal of the ACM, volume 38(3)/1991, pp.690-728

11 Come peraltro di recente riconosciuto dall’EU BLOCKCHAIN OBSERVATORY &

FORUM, promosso dalla COMMISSIONE EUROPEA. Si veda il documento Conclusion Workshop Report – Online Video

Conference, 6 May 2020

12 ARTICLE 29 DATA PROTECTION WORKING PARTY Guidelines on Data Protection Impact Assessment (DPIA) and

7. Conclusioni

Blockchain oltre a essere una tecnologia di sicura prospettiva per molte applicazioni, e in particolare per applicazioni nel pubblico interesse, è anche per certi versi un importante laboratorio di sperimentazione per affrontare e risolvere molte spigolosità tra diritti e tecnologie, alle quali dovremo sempre più abituarci. Queste frizioni tra diritti e tecnologie vanno viste con uno spirito propositivo e l’approccio risk-based introdotto dal Regolamento è un’opzione di grande interesse, che varrà la pena di sperimentare per tutte le nuove tecnologie. Considerare il rischio come una possibilità significa essere consapevoli che un evento avverso può manifestarsi (nelle varie forme in cui, di volta in volta, questo debba intendersi in ciascun contesto tecnologico), ma non che l’evento avverso sia ineluttabile. Conoscere il rischio significa essere in grado di intervenire con soluzioni tecniche e organizzative in modo da allontanare ogni volta l’occorrenza dell’evento che si intende scongiurare. Spostare ogni volta in alto l’asticella delle garanzie, in un processo che non può fermarsi. Non serve dunque una pigra contrapposizione statica e pregiudiziale tra tecnologie e diritti, fondata su rigide categorie concettuali, che può avere un effetto paralizzante, ma un confronto dinamico, in cui la tecnologia chiede al diritto di esplicitare ogni volta il senso della tutela nel nuovo contesto tecnologico, offrendo al contempo modalità nuove ed efficaci di garanzia della centralità della persona. Tutto ciò, partendo dal caso blockchain, potrà servire da stimolo per un rinnovato dialogo tra tecnologia e diritto dal quale entrambi risulteranno arricchiti e potenziati.

Blockchain, controllo a distanza e lavoro nella gig