Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Vent’anni dopo. La protezione dei dati personali tra nuove norme e nuove tecnologie. Data Protection e Blockchain

- Marco Maglio* - 8 maggio 2017

Cosa c’entra la Data Protection con Blockchain?

Vent’anni sono un lasso di tempo significativo. Convenzionalmente un ventennio è un’unità di misura che segna il volgere di un’epoca, di una generazione. E’ significativo che il genio letterario di Alexandre Dumas abbia intitolato appunto "Vent’anni dopo" uno dei romanzi della trilogia dedicata ai Tre Moschettieri, per sviluppare compiutamente la trama delle vicende di D'Artagnan e dei suoi compagni di avventura.

Anche per la legge sul trattamento dei dati personali, la vicenda iniziata l’8 maggio 1997, data di entrata in vigore della gloriosa legge n. 675, la prima "legge sulla privacy", possiamo vedere cosa succede "Vent’anni dopo". Il traguardo appena tagliato ci porta nell’era della nuova Data Protection, che sarà governata da un Regolamento Europeo (il n. 2016/679) di cui tanto si sta parlando in questi mesi e che diventerà pienamente operativo il 25 maggio 2018.

Le novità introdotte dalla Riforma europea sono numerose e il tempo che ci separa dall’adozione delle regole di nuova concezione sarà appena sufficiente per riprogrammare le attività di trattamento che i titolari (siano essi aziende, enti pubblici o associazioni dovranno svolgere).

Si è detto, giustamente, che il regolamento europeo è finalizzato a rispondere alle sfide poste dagli sviluppi tecnologiche e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini del Paesi dell’Unione europea. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’UE. Si è enfatizzato il nuovo ruolo del Data Protection Officer che promette di essere il futuro protagonista di tanti aspetti della gestione dei dati personali e che sarà, in un certo senso, il "Designer" della privacy aziendale, se, come è vero, il nuovo criterio da rispettare sarà quello di progettare la tutela dei dati progettandola e prevenendo i rischi nel trattamento dei dati, secondo quella che comunemente viene definita " Privacy by design".

Indubbiamente il testo del nuovo regolamento europeo sui dati personali costituisce un salto di qualità per le imprese, le pubbliche amministrazioni e gli stessi cittadini e impone un cambiamento culturale e di approccio verso una nuova consapevolezza del valore dei dati nella moderna società tecnologica, nell’ottica di trasparenza e di accountability (cioè di vera responsabilizzazione) dei titolari del trattamento Su questi aspetti molto è stato già scritto, anche in modo piuttosto scontato. Ma la discussione sulla portata di queste norme non ha ancora preso in esame l’impatto che le nuove regole in materia di dati personali avranno rispetto alle tecnologie a disposizione per gestire informazioni e documenti.

Penso in particolare a cosa significa trattare dati personali usando uno strumento come la "Blockchain", che è la soluzione informatica su cui si basano, ad esempio, le valute virtuali come il bitcoin. Blockchain, per chi non lo sapese, in estrema sintesi è un database distribuito, una sorta di registro che sfrutta la tecnologia peer-to-peer e che permette a chiunque di prelevarlo dal web. In poche parole è un elenco di eventi in cui sono registrate tutte le operazioni effettuate e tutte le azioni sono soggette al controllo degli utilizzatori. Con la conseguenza che ciò che è riportato nel registro condiviso non è alterabile e modificabile senza il consenso di chi fa parte della catena degli utilizzatori della Blockchain.

Non si tratta di uno strumento marginale, interessante solo per chi si occupa di criptovalute o di stravaganze informatiche. Al contrario è una risorsa innovativa che sarà la leva fondamentale per realizzare la disintermediazione di transazioni e per distrubuire in modo efficace conoscenza e competenze professionali. Secondo una previsione del World Economic Forum entro il 2025 ci saranno attività che genereranno oltre il 10% del PIL del mondo che saranno registrate su tecnologie che si basano sui principi della Blockchain.

Ma Blockchain per essere usata in modo legittimo richiederà di superare questi due problemi specifici dal punto di vista della data protection:

1) i dati annotati nel registro della Blockchain, inclusi quelli identificativi degli utenti e dei titolari degli eventi registrati,saranno pubblici e conoscibili da chiunque. Quindi usare Blockchain significherà diffondere dati personali in grande quantità e occorrerà definire come conciliare questo aspetto con le regole di trattamento dei dati previste dal nuovo Regolamento Europeo;

2) i dati presenti in Blockchain, per definizione, devono essere conservati a tempo indeterminato proprio per garantire la genuinità del registro. Si pone quindi un rilevante problema di gestione del principio di minimizzazione dei dati, che è un caposaldo del nuovo regolamento, e che impone tra le altre cose di definire tempi di conservazione dei dati limitati.

Peraltro, accanto a questi problemi, le opportunità che Blockchain offre per un trattamento evoluto dei dati personali sono assai rilevanti: questo strumento si prospetta come la soluzione essenziale per chi vorrà gestire gli adempimenti previsti dal nuovo regolamento in modo efficiente ed economico perché permetterà di gestire in modo documentato e inalterabile tutte le operazioni effettuate su un determinato database. Blockchain sarà il terreno fertile in cui attecchiranno processi di effettiva accountability aziendale e sarà inevitabile che i futuri software che si svilupperanno per gestire gli adempimenti previsti dal regolamento guardino alla tecnologia Blockchain per gestire gli obblighi di documentazione che gravano, pesantemente, su titolari e responsabili del trattamento in base al nuovo regolamento europeo.

Prevedo che i nuovi Privacy Management Tools, i software che si diffonderanno per gestire gli adempimenti normativi in tema di data protection, saranno basati su tecnologia Blockchain e diventa necessario che i giuristi esperti di data protection si mettano al servizio dell’ingegneria informatica, per sviluppare soluzioni rispettose della normativa in questo ambito. Anche perché penso che il futuro della data protection richiederà sempre di più di avvalersi di coloro che nel mondo anglosassone chiamano i Privacy Engeneers, gli ingegneri della privacy, e sempre meno di persone preposte alla verifica di conformità alle norme.

La tutela dei dati personali non è più un tema esclusivamente legale ma diventa un argomento che riguarda l’organizzazione, la gestione dei processi produttivi e distributivi, la struttura degli strumenti informatici messi a disposizione degli utenti.

Questa è la vera frontiera che rapidamente dovremo superare per poter usare in modo sicuro dati e tecnologie. Vent’anni dopo l’avvio dell’analisi dei temi di data protection ci troviamo quindi a discutere non più solo di leggi ma anche di tecnologie, di tecniche organizzative, di informatica applicata.

Visto che questo articolo nasce anche da un’occasione di celebrazione in onore di Interlex formulo l’augurio che nel prossimo ventennio le pagine della rivista ospitino interventi di qualità ed innovativi su questi temi: penso che siano questi i veri nodi da sciogliere nell’era dei Big Data se vogliamo evitare che la tecnologia prenda il sopravvento e determini le nostre decisioni invece di limitarsi ad accompagnarle e sostenerle, come dovrebbe accadere.

Vent’anni dopo la prima ondata di data protection ci troviamo a immaginare cosa accadrà nei prossimi venti anni. Mi sembra sia anche solo questo un dato positivo da registrare con soddisfazione: quando una ricorrenza non si limita a farci ricordare il passato ma ci spinge ad immaginare il futuro vuol dire che si sta parlando di una materia vitale che fa pare della nostra esistenza e di quella dei nostri figli.

*  Avvocato in Milano - Presidente dell’Osservatorio Europeo sulla Data Protection

Per intervenire nel Forum, clicca qui
Inizio pagina    Indice del Forum      Home

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright