English version available here: https://giovannacento.com/2019/06/06/data-controllers-and-data-processors-in-public-blockchains/

Durante la stesura del GDPR, il legislatore europeo ha evidentemente delineato le caratteristiche del data controller e del data processor “cucendole” quasi su misura per i classici sistemi centralizzati di gestione dei dati. E’ per questa ragione che diventa così difficile (ma altrettanto necessario) capire a quale categoria debba essere ricondotto ciascun soggetto operante, a vario titolo, nel modello decentralizzato per eccellenza: una blockchain pubblica. Tenteremo di farlo in questo breve articolo, tenendo sempre a mente che, per adesso, i riscontri in materia sono piuttosto limitati e che quanto descritto, seppur possieda una validità generale, potrebbe cambiare in base alla peculiare struttura di ogni permissionless blockchain.

Il data controller viene definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il data processor, invece, è la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro ente che elabora i dati personali per conto del responsabile del trattamento.

Passiamo in rassegna, quindi, i vari operatori coinvolti su una blockchain pubblica per stabilire se (ed in quali circostanze) rientrino in una delle due sopracitate categorie.

Software developers: Poichè il software developer, di fatto, fornisce soltanto uno strumento per la gestione dei dati, si può escludere che determini le finalità ed i mezzi del trattamento degli stessi e che possa rientrare nella categoria del data controller. Non sono affatto da escludere, però, alcune responsabilità per quanto concerne l’elaborazione dei dati personali per conto del data controller, quando il developer ricopre stabilmente un ruolo cruciale che abbia un impatto diretto, autonomo e determinante nell’ambito del trattamento di specifiche informazioni. Potrebbe essere il caso, ad esempio, dei developers di smart contracts.

I partecipanti: Secondo il CNIL ( La Commission nationale de l’informatique et des libertés),  i partecipanti che immettono dati richiedendone la validazione ai miners definiscono, di fatto, la finaltà del trattamento (ad esempio una transazione) e i mezzi utilizzati (la tecnologia blockchain), rientrando perfettamente nella definizione di data controllers. Tuttavia, non sono considerate data controllers le persone fisiche che “scrivono” su blockchain perl’esercizio di attività a carattere esclusivamente personale o domestico, come stabilito dall’articolo 2 del GDPR. Un partecipante sarebbe quindi qualificabile come data controller quando la gestione dei dati è finalizzata ad un’attività di tipo professionale o commerciale.

Qualora più partecipanti decidano di processare congiuntamente dei dati su blockchain senza unirsi sotto forma di associazione o di gruppo d’interesse economico, saranno considerati “joint controllers” come previsto dall’articolo 26 del GDPR, con l’obbligo di stabilire in modo trasparente le responsabilità attribuibili a ciascun soggetto coinvolto.

I miners: Possono essere considerati data processors, poichè seguono le indicazioni dei data controllers nell’ambito del processo di validazione delle transazioni. Questa dinamica solleva alcune problematiche: secondo quanto stabilito dall’articolo 28 del GDPR, infatti, il data processor dovrebbe stipulare un accordo con i partecipanti ( che, come abbiamo visto, in alcuni casi sono a tutti gli effetti dei data controller) per stabilire i rispettivi obblighi e responsabilità. Questo tipo di adempimento appare oggi di difficoltosa realizzazione.

E’ dunque probabile che nei prossimi anni assisteremo ad importanti implementazioni che consentano di adempiere efficacemente e facilmente agli obblighi previsti, in modo tale da sfruttare pienamente le potenzialità offerte dalle permissionless blockchains.