Edoardo Giardino è avvocato e professore associato nonché abilitato alle funzioni di professore ordinario di…
Blockchain e titolare del trattamento dei dati personali: il nodo rimane irrisolto
di Alberto Gambino, direttore scientifico di DIMT e presidente di IAIC
e Chantal Bomprezzi, fellow di IAIC
Con il nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) l’importanza e il ruolo del titolare del trattamento assume ancora maggior rilievo. In particolare, il legislatore europeo ha adottato un nuovo approccio al rischio per mezzo dell’introduzione del principio di Accountability, che rappresenta una tra le novità più significative della nuova disciplina. Il termine “accountability” è sinonimo di “responsabilità”, che incombe sul titolare in maniera più accentuata rispetto al passato. Si abbraccia, cioè, una concezione del rischio che non è limitata alla fase della violazione, ma che si estende anche a quella precedente, in cui il dato non è stato violato ma potrebbe esserlo sulla base di determinati rischi che spetta al titolare valutare, approntando tutta una serie di accorgimenti in via cautelativa.
Anzitutto, ai sensi dell’art. 32 Reg., il titolare deve decidere le “misure tecniche e organizzative” da adottare: “tecniche”, nel senso che deve stabilire delle misure di sicurezza tecnologiche che possano proteggere i dati da manomissioni esterne o divulgazioni non autorizzate; “organizzative”, in termini di governance dell’attività per cui il trattamento è effettuato. L’attenzione alla prevenzione si estrinseca, all’articolo 25 del Regolamento, anche nei concetti di data protection by design (sin dalla progettazione) e data protection by default (per impostazione predefinita), che prevedono l’adozione di specifiche tecniche di sicurezza, quali la pseudonimizzazione o la minimizzazione dei dati, al fine di impedire il trattamento oltre le finalità a cui il titolare abbia acconsentito e l’accessibilità ad un numero indefinito di persone.
Qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare, dopo aver effettuato una valutazione d’impatto (art. 35 Reg.), è tenuto a consultare l’Autorità di controllo nazionale prima di procedere al trattamento (art. 36 Reg.). Nel caso, invece, in cui avvenga comunque una violazione, il titolare deve notificarlo all’Autorità di controllo e all’interessato (data breach notification, artt. 33 ss. Reg.). Il titolare del trattamento è tenuto a fornire all’interessato tutta una serie di informazioni, tra cui la propria identità e le proprie informazioni di contatto. In sintesi, a mente del GDPR, il titolare del trattamento è un soggetto che occupa una posizione centrale, al quale gli interessati possono rivolgersi per far valere i principi e i diritti in materia di protezione dei dati personali, e sul quale incombono specifiche responsabilità.
Il titolare del trattamento diviene tale di fatto, senza una specifica formalità prescritta dalla legge, per cui sono le circostanze a far comprendere chi determina “finalità e mezzi del trattamento” (art. 4, par. 1, n. 7 Reg.), assumendo la responsabilità dell’osservanza delle norme a protezione dei dati personali. Con “finalità” si intende il “perché” del trattamento, mentre con “mezzi” il “come”, vale a dire i mezzi tecnici ma anche organizzativi del trattamento (ad esempio, chi può avere accesso ai dati). È possibile che, ai sensi dell’art. 26 Reg., più soggetti siano titolari del trattamento (o contitolari).
Ciò premesso, l’individuazione del titolare del trattamento con riferimento alla blockchain rappresenta uno dei più controversi oggetti di dibattito circa il rapporto tra tale tecnologia e il GDPR.