L’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato in data 21 novem…
Quale rapporto tra blockchain e privacy? La domanda, lo precisiamo subito, resterà aperta. Ma il dibattito sul futuro della tecnologia a blocchi passerà anche dal confronto con il GDPR.
Se ne è parlato lo scorso 15 gennaio presso Nctm Studio Legale, nell’incontro “Persone in Rete” che ha visto la partecipazione, tra gli altri, di Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali, e Armando Spataro, già Procuratore della Repubblica di Torino. Nel dialogo tra i due è emerso, ad esempio, il tema dell’educazione alla privacy delle nuove generazioni post-Millennials. Ma, soprattutto, di quanto sarà cruciale in futuro l’equilibrio tra i diritti delle persone e il potere della tecnologia.
Sullo sfondo, lo scontro in atto a livello globale tra Cina e USA, concorrenti per la supremazia nelle tecnologie di intelligenza artificiale. Le quali hanno senso (e potere) solo quando dispongono di grandi moli di dati da elaborare. Una sfida in cui l’Europa è tecnologicamente assente (e le intenzioni di cercare di colmare il gap dovranno essere seguite dai fatti) anche se ha recuperato terreno con una normativa, il GDPR, che accetta la sfida di inquadrare la dignità delle persone all’interno dell’era digitale.
«Nel mondo fisico abbiamo definito il perimetro della nostra libertà e di quella degli altri. In quello digitale affidiamo i nostri dati a gestori che non conosciamo o comunque hanno un potere molto più ampio del nostro … dobbiamo costruire un nuovo perimetro di tutela della libertà, dello sviluppo tecnologico, del rapporto tra macchina e uomo … guardando all’impatto che le tecnologie hanno sulla dignità delle persone».
Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali
IL POTERE DELL’ALGOCRAZIAUno dei rischi maggiori, nel prossimo futuro, è nella cosiddetta “algocrazia”. Il potere crescente che gli algoritmi, con i loro automatismi, stanno assumendo in diversi ambiti della vita. Un esempio lampante è stato portato da Armando Spataro, raccontando degli algoritmi usati da alcuni governi per rilevare le affermazioni violente e le incitazioni all’odio postate sui social network nell’ambito del contrasto al terrorismo. Questi algoritmi, nell’identificare un’affermazione violenta, identificano anche i reati? E potrebbero tecnicamente associare affermazioni violenti e reati, arrivando a “scrivere una sentenza”?
Automatizzare questo genere di attività e di decisioni è compatibile con la dignità delle persone e con un corretto rapporto tra uomo e macchina?
Il rischio di una tecnocrazia ritorna anche in una tecnologia che è l’hype del momento: la blockchain. Paolo Gallarati, Partner di Nctm Studio Legale, ha spiegato bene come nel caso dei registri distribuiti vengano meno quelle definizioni ed esperienze comuni che aiutano ciascuno, legali compresi, a orientarsi nella materia. Perché non c’è dubbio che sulla blockchain andranno a transitare molti dati relativi ad aziende e persone. I dati finanziari e comportamentali, certamente, se non anche quelli sensibili. Sorvolando sui dettagli, si ripropone il tema del rapporto tra blockchain e GDPR: non c’è dubbio che la normativa si applichi. E quindi andranno definiti, ad esempio, standard internazionali per garantire il rispetto dei diritti di rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione a un processo automatizzato. Aspetti di cui tocchiamo negli incontri semestrali del Blockchain Club di AziendaBanca e che vedranno una possibile soluzione con la conservazione offchain di questi dati.
Ma andrà anche definito, ad esempio, chi deve risarcire i danni per un eventuale trattamento illecito e su chi cadranno le sanzioni. Chi sono il titolare e il responsabile? La titolarità è forse diffusa, perché chiunque partecipa alla tecnologia come “nodo” e convalida le transazioni in quanto “miner” diventa titolare del trattamento? E quali differenze andranno previste tra DLT permissioned e permissionless? E ancora, quali standard per l’aggiornamento tecnologico e per la tecnica crittografica? Il rischio è, appunto, di una tecnologia che imponga il proprio funzionamento sfuggendo al controllo di altri, secondo un modello tecnocratico che metterebbe a rischio la tutela del dato e, infine, della dignità della persona.
Anche perché la Francia, con l’ordinanza 1674 datata 8 dicembre 2017, ha codificato l’uso della blockchain per registrare le proprietà e il trasferimento di titoli non quotati: la CNIL (versione francese del Garante della Privacy, NdR) ha fornito indicazioni su come applicare il GDPR alla blockchain, confermando la possibilità di utilizzare la cifratura e/o l’anonimizzazione del dato per garantire il diritto di cancellazione. E in Italia il Decreto Semplificazioni 2019 nomina esplicitamente registri distribuiti e blockchain, aprendo la strada alla validità giuridica (dopo i decreti attuativi e i regolamenti tecnici).
Qualcosa di analogo dovrà anche essere valutato nel caso degli smart contract. Che, come sappiamo, sfruttano le tecnologie DLT per concretizzare l’utopia (o la distopia, dipende dal punto di vista) di un contratto che auto-esegue se stesso al verificarsi di determinate condizioni. E che, oltre ai già citati aspetti critici legati alla privacy, introduce anche un meccanismo inedito, facendo sì che i contraenti demandino in toto l’esecuzione di un accordo a un software. Rinunciando a una libertà, nel pieno senso della parola, che con un contratto tradizionale è disincentivata, ma comunque sempre possibile: quella di scegliere di non adempiere al proprio impegno.
