Vuoi ricevere i nostri aggiornamenti?
Blockchain e smart contract: le prime definizioni normative e i profili relativi al trattamento dei dati personali
CNIL “Solutions for a responsible use of the blockchain in the context of personal data”
Prendendo atto della sempre maggiore diffusione della tecnologia blockchain in svariati ambiti riguardanti il diritto, il legislatore italiano ha recentemente fornito una prima definizione di blockchain o meglio “Tecnologie basate su registri distribuiti” e quasi contemporaneamente il Garante per la tutela dei dati personali francese (CNIL) si è interrogato sul trattamento dei dati all’interno di una blockchain.
Blockchain e smart contract: la definizione normativa
Il Decreto Semplificazioni, D.L. 135/2018 approvato in via definitiva il 7/2 u.s., fornisce per la prima volta nel quadro normativo nazionale le definizioni di “Tecnologie basate su registri distribuiti” e di “Smart contract”, attribuendo loro un valore legale.
Art. 8ter “Tecnologie basate su registri distribuiti e smart contract”
- “Si definiscono ‘Tecnologie basate su registri distribuiti’ le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili.”
Al di là della definizione l’aspetto innovativo sta nell’attribuire un valore giuridico al documento informatico memorizzato attraverso l’uso delle blockchain; ai sensi del comma 3 infatti “La memorizzazione di un documento informatico attraverso l’uso di tecnologie basate su registri distribuiti produce gli effetti giuridici della validazione temporale elettronica di cui all’art. 41 del Reg. UE 910/2014” ovvero gode della presunzione di accuratezza della data e dell’ora che indica e dell’integrità dei dati ai quali tale data e ora sono associati.
- “Si definisce ‘smart contract’ un programma per elaboratore che opera su tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse. Gli smart contract soddisfano il requisito della forma scritta previa identificazione informatica delle parti interessate”.
Non solo pertanto viene definito cosa si intende per smart contract ma, ben più importante, ad esso vengono attribuiti il valore giuridico e la valenza probatoria di un contratto in forma scritta, nel momento in cui sono rispettati gli standard tecnici che l’Agid dovrà individuare entro 90 giorni dalla legge di conversione del Decreto semplificazioni.
Blockchain e trattamento dei dati personali
Alla luce della sempre maggiore diffusione della tecnologia blockchain, la CNIL si è chiesta quali possano essere le interazioni del loro utilizzo con il trattamento dei dati personali. Il primo quesito concerne quali siano i possibili ruoli privacy e quindi i soggetti interessati al trattamento dei dati ed in particolare

Quando più soggetti decidono di portare avanti un’azione tramite blockchain per uno scopo comune la CNIL raccomanda che detti soggetti decidano sin dall’inizio chi dovrà assumere le decisioni in merito al trattamento dei dati e quindi assumere il ruolo di Titolare del trattamento; in caso contrario tutti saranno considerati alla stregua di Contitolari.
Chi può essere identificato come Responsabile del trattamento?

La CNIL inoltre sottolinea che blockchain e smart contract che contengano dati personali devono necessariamente rispettare i principi della privacy by design e by default nonché della minimizzazione dei dati che vengono registrati, parimenti il tempo di conservazione dei dati deve essere in linea e giustificato da quello che è lo scopo della blockchain stessa.
Non ultimo il Titolare del dato deve garantire agli interessati i cui dati personali sono registrati all’interno della blockchain l’esercizio dei diritti garantiti dal GDPR.
In definitiva il Garante francese consiglia un’attenta valutazione caso per caso da parte dei Titolari del trattamento della effettiva necessità di ricorrere alla tecnologia blockchain o agli smart contract ogni volta che sono coinvolti dati personali, suggerendo di procedere ad una valutazione di impatto (DPIA) preventiva alla creazione della blockchain al fine di verificare se il rischio residuo è accettabile.