Quando parliamo di protezione dei dati personali, o privacy, spesso l’attenzione si concentra sui principali soggetti coinvolti nei processi di trattamento dei dati: il titolare del trattamento (in genere, l’azienda o l’organizzazione che stabilisce di trattare i dati e definisce le finalità), il responsabile del trattamento (l’organizzazione o la persona, di solito un fornitore di servizi, a cui il titolare affida il trattamento da eseguire secondo le sue stesse istruzioni), l’interessato (ovvero la persona fisica a cui i dati si riferiscono). Ciò che succede a monte del trattamento, ovvero nella fase di organizzazione degli strumenti che andranno a trattare i dati personali, è stato generalmente ignorato fino all’entrata in vigore, nel 2018, del Regolamento europeo per la protezione dei dati personali (comunemente chiamato GDPR). Il GDPR, al considerando 78 recita: “In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali … i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e … a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”. Il considerando citato, già di per sé piuttosto esplicito, va letto insieme all’art. 25 del Regolamento, rubricato “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”. Il legislatore europeo, con buona lungimiranza, comprende che in un contesto tecnologico e digitalizzato, la protezione dei dati personali non può essere un adempimento successivo che si innesta su un prodotto (software) già realizzato nelle sue componenti tecniche. Piuttosto, più il prodotto è stato studiato e realizzato, in ogni sua fase, tenendo conto dell’impatto che possa avere sugli individui i cui dati personali va a trattare, maggiore è il livello di protezione che sarà in grado di realizzare. Quindi, la protezione dei dati va progettata (privacy by design) ed impostata (privacy by default) contestualmente alla ideazione e realizzazione tecnica del prodotto.
Questo significa che la protezione dei dati personali è una responsabilità dell’azienda che sviluppa software per conto dell’utilizzatore? Non esattamente. Il GDPR riferisce la responsabilità sempre al titolare e/o responsabile del trattamento e mai a chi, per conto di questi, realizza il prodotto che tratta i dati. Il motivo di questa impostazione è logico e condivisibile: un software può essere studiato per essere conforme alla norma, ma essere utilizzato in modo difforme. E’ altrettanto vero che realizzare un software senza aver adottato le misure richieste di protezione dei dati significa consegnare al cliente un prodotto inutilizzabile o, quantomeno, incompleto. Quale cliente consapevole lo acquisterebbe? La responsabilità dello sviluppatore non è tanto di natura amministrativa, quindi, quanto piuttosto di natura civilistica e commerciale.
Ancora un po’ più complesso è il concetto quando ci si sposta al software design in un contesto di ricerca. Da un punto di vista tecnico, la vera sfida in quest’ambito è che il realizzare la compliance privacy non consiste in una mera implementazione di regole tecniche di una normativa, ma in un processo di ricerca che deve fare parte integrante delle attività di R&D.
Ho avuto (ed ho tuttora) modo di dare concreta attuazione a tutte queste considerazioni nel corso della mia attività di assistenza (in qualità di consulente privacy) ad un’azienda tecnologica del settore fintech, CherryChain srl. L’attività di ricerca e sviluppo di CherryChain è orientata a semplificare e rafforzare le relazioni digitali. Il processo di R&D ha come scopo la generazione di nuovo valore nell’ecosistema tra aziende, clienti e fornitori per poter sfruttare al meglio le tecnologie DLT e gli Smart Contract. Si tratta di formulare nuovi modelli di business associati ad un approccio distribuito. Quest’ultimo in particolare richiede grande sforzo per ottenere una soluzione secondo normativa.
La Distributed Ledger Technology (DLT) è una soluzione basata su Registro Distribuito che consente di creare un protocollo per distribuire informazioni e dati tra più soggetti partecipanti all’ecosistema di business. In questo senso non si parla di solo accesso ai dati, ma di distribuzione di questi tramite un’architettura diffusa con logiche (es. Smart Contract) più trasparenti nel flusso degli eventi che permettono l’esecuzione di condizioni contrattuali, visibili a tutta la rete. Le azioni automatizzate di un sistema sono demandate agli Smart Contract. Questi sono un insieme di istruzioni espresse in linguaggio informatico e visibili a tutti (common knowledge computing), che vengono eseguite automaticamente al verificarsi di predeterminati presupposti oggettivi. Lo Smart Contract garantisce l’esecuzione delle condizioni, ed è la parte del protocollo che contiene la business logic per l’applicazione. DLT e Smart Contract insieme permettono di creare una soluzione trasparente per l’esecuzione di determinate condizioni e verificare la correttezza per gli eventi registrati, il cui codice non è modificabile e non censurabile tra le parti.
Occuparsi di privacy per CherryChain in un contesto DLT e Smart Contract significa conciliare l’esigenza di circolazione e condivisione di dati tra la pluralità di soggetti partecipanti all’ecosistema di business e la garanzia dei livelli di riservatezza, minimizzazione e protezione richiesti dalla normativa. E’ una sfida nella sfida in quanto analizzare gli impatti sulla libertà ed i diritti degli individui dei trattamenti di dati effettuati tramite un software è già di per sé operazione complessa. Lo diventa ancor di più quando il trattamento avviene in un contesto DLT, dove la pluralità dei soggetti coinvolti rende il sistema finalizzato alla realizzazione di obiettivi ed interessi potenzialmente distinti. La privacy by design (e di conseguenza, il ruolo dello sviluppatore) diventa ancor più importante perché, in confronto ad un prodotto tradizionale, la soluzione DLT deve garantire il rispetto della norma tramite un’analisi estremamente più accurata che coinvolga tutti gli interessi in campo, per evitare e prevenire usi distorti dello strumento informatico. Quanti più saranno i gli interessi intercettati dal sistema condiviso, tanto maggiore dovrà essere il livello di protezione dei dati coinvolti e la capacità dei sistema di inibire iniziative difformi. CherryChain in questo è un esempio di serietà e rigore, perché unisce ad una notevole competenza tecnica una grande attenzione e sensibilità ai temi della compliance legale.