Il 26 giugno presso la Chiesa di San Silvestro al Quirinale a Roma si è tenuto il convegno: “Web3 e Blockchain, il futuro della digitalizzazione in Italia” che avevamo introdotto qui. Molti personaggi importanti del panorama italiano web3 hanno partecipato all’evento trattando vari temi riguardanti la blockchain e il web3. L’evento è stato organizzato da Decripto.org, Olitec e Federitaly in collaborazione con Chainalysis, GPDP e l’Agenzia per la Cybersicurezza nazionale. Anche Guido Scorza (componente garante della privacy) ha partecipato al convegno parlando di “sicurezza e privacy su blockchain, un matrimonio che si può fare“.
A questo link è disponibile la registrazione della diretta completa del convegno con tutti gli interventi.
Chi è Guido Scorza
Guido Scorza è un componente del Garante per la protezione dei dati personali.
E’ anche un avvocato, giornalista e professore che ha una vasta esperienza nel campo del diritto delle nuove tecnologie e della privacy. Attualmente, ricopre il ruolo di componente del Collegio del Garante per la protezione dei dati personali, che è l’organismo italiano responsabile della tutela dei diritti e della privacy delle persone in relazione al trattamento dei loro dati personali.
Prima di assumere questa posizione, ha lavorato come avvocato cassazionista e socio fondatore dello Studio Legale E-Lex. Ha svolto importanti incarichi nel settore pubblico, tra cui la responsabilità degli affari legali nazionali e europei per il team per la trasformazione digitale, il ruolo di Consigliere giuridico del Ministro per l’innovazione e la rappresentanza vicaria del Governo italiano presso il GAC – Government advisory Board dell’ICANN. Inoltre, è stato componente del sottogruppo policy del Comitato ad hoc sulla regolamentazione dell’Intelligenza artificiale del Consiglio d’Europa.
Oltre alla sua esperienza professionale, ha insegnato diritto delle nuove tecnologie in diverse università italiane. Ha tenuto corsi presso l’Università degli Studi Roma Tre, dove è responsabile del modulo “E-privacy e telco” del Master “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert”, nonché del corso “Protezione dei dati personali e tutela delle libertà fondamentali – Clinica legale privacy”. Ha insegnato anche presso l’Università degli Studi Internazionali di Roma – UNINT, dove ha coperto il corso “Diritto della Comunicazione e del Commercio Digitale”, e presso l’Università degli Studi di Bologna, dove è responsabile del modulo sui contratti ad oggetto informatico del Master in informatica giuridica e diritto delle nuove tecnologie.
Inoltre, ha scritto diversi libri che affrontano tematiche legate all’intelligenza artificiale, alla privacy, ai diritti e alle libertà nell’era digitale. Alcuni dei suoi libri includono “L’intelligenza artificiale, l’impatto sulle nostre vite, diritti e libertà” scritto in collaborazione con Alessandro Longo, “La privacy spiegata ai più giovani (e ai loro genitori)” scritto con Michela Massimi, “Processi al futuro” e “Internet, i nostri diritti” scritto con Anna Masera.
L’intervento
“Buongiorno a tutti grazie per l’invito. Io credo siamo davvero davanti a una discussione importante e uno dei momenti migliori per farlo, siamo ad un bivio e dobbiamo capire da che parte andare. Ci sono due alternative nette e contrapposte: quella di trovare il modo per cogliere le opportunità che il web3 offre, l’altra è un bivio ricorrente che si è posto molte volte ovvero imboccare un’altra strada perché i rischi sono troppi. Olivetti è uno dei campioni di questa visione ma succede che poi la potenziale patria dell’innovazione non sia così, ma di campioni italiani dell’innovazione ne abbiamo tantissimi. Stiamo vedendo accadere la stessa cosa non solo sulla blockchain ma anche su big data e intelligenza artificiale. Il mio è un punto di vista di parte per quanto ricerchi sempre l’equilibrio sul problema e le opportunità che vedo davanti. Alcune premesse: la prima sempre importante in questi contesti è che non stiamo parlando di un prodotto, un servizio, un progetto o un programma ma di una tecnologia e di un’applicazione tecnologica che da un punto di vista del metodo cambia tutto; evidentemente la blockchain non può essere per definizione considerata conforme o non conforme a una data legge, per definizione non può essere considerata buona o cattiva, opportuna o non opportuna nel suo impiego. Tutto dipende da come scegliamo di usarla. Lo strumento ideale per il truffatore e lo strumento ideale per chi cerca sicurezza nelle transazioni in un contesto come quello digitale dove la fiducia è un bene prezioso ma difficile da acquisire. Il primo suggerimento che do a me stesso e alle istituzioni è di guardare a questa applicazione tecnologia come ad ogni altra ovvero con un approccio più neutro possibile, senza dare etichette positive o negative; Umberto Eco avrebbe detto: non siamo né apocalittici né integrati rispetto alla blockchain che non può essere l’oggetto dei nostri giudizi, l’oggetto di qualsiasi giudizio in qualsiasi prospettiva nella dimensione regolamentare è verso ogni specifica applicazione che viene fatta. La seconda necessita molto laicismo nella politica dell’innovazione, nessuna scoperta o novità ai tempi della regolamentazione sono sempre meno compatibili con i tempi dello sviluppo tecnologico e dell’innovazione, c’è un disallineamento prepotente la forbice si allarga di anno in anno perché il ritmo del progresso tecnologico o è in costante crescita, il ritmo del processo regolamentare e regolativo nella migliore delle ipotesi resta uguale a sé stesso. Abbiamo tutti davanti agli occhi nitidamente il processo di regolamentazione e gli esercizi di regolamentazione europea sull’intelligenza artificiale, abbiamo davanti una best practise dal punto di vista dei processi normativi, arrivare ad approvare un draft di regolamento europeo sull’AI più rapidamente di così non era possibile norme alla mano, nel rispetto delle regole democratiche, eppure non sappiamo ancora se prima della fine di questa legislatura avremo un regolamento sull’AI ma sappiamo che anche se lo avremo approvato nella primavera del 2024 si dovrà aspettare il 2025 perché sia applicabile nei paesi europei, ma le tecnologie e i mercati non aspettano la regolamentazione e succederanno tante cose nel mentre. Questo pone una questione presente e non futura, non so se e quando il regolatore si occuperà di blockchain ma so che il nostro problema è farci bastare le regole che abbiamo per capire se e quanto possiamo cogliere dalla blockchain in termine di opportunità e anche quanto eventualmente dobbiamo in relazione ad alcuni casi d’uso, respingere per un fatto di immaturità regolamentare. Di questo disallineamento tra regole e tecnologie dobbiamo essere consapevoli. Questo disallineamento non può farci prendere dal panico perché guardo dentro al GDPR che è un testo normativo illuminato, ispirato ad altre regolamentazioni sulla protezione dei dati nel mondo, è costruito molto intorno ai principi e poco come regolamentazione al dettaglio, è diventato applicabile in Europa solo nel 2018 e non è stato scritto pensando che la blockchain sarebbe diventata protagonista nel pubblico e nel privato nei mercati e procedimenti. Non ci si è pensato come non si è pensato che l’AI avrebbe giocato un ruolo centrale nella nostra società, non abbiamo dentro al GDPR una base giuridica che fa la caso nostro quando si tratta di dire come gestire gli algoritmi e non cìè nessuna risposta per molte questioni legate alla blockchain, l’assenza di risposta non equivale però al divieto, il GDPR non è una norma, per fortuna, che se non dice come fare non si può usare una tecnologia, non ne parla. Muove da un punto di vista diverso cioè che normalmente una gestione del trattamento dei dati personali sia centralizzata e non decentralizzata, che ci sia un responsabile solo, c’è un tema di disallineamento metodologico tra regole attuali e quelle sulla blockchain. Credo che non debba significare in nessun modo che la disciplina europea sulla protezione dei dati sia antagonista dell’impiego della blockchain. Al tempo stesso però non possiamo neppure lasciare accadere qui quello che talvolta accade nell’universo dell’AI che siccome non ci sono regole aggiornate, la tecnologie e il mercato diventano essi stessi soggetti regolatori e dettano, anzi impongono, la loro regola alla società. Non possiamo lasciar fare in una direzione qualsiasi perché non abbiamo una regola specifica dentro al GDPR perché sappiamo che tecnologia e mercati non sono buoni regolatori per loro stessi, non lo sono in generale e non lo sono in un contesto come quello che stiamo vivendo dove i mercati nel migliore dei casi sono oligopolistici, se lasciassimo dettare a loro le regole su questa tecnologia non andremmo in avanti nella strada dell’innovazione. Vengo adesso alla relazione del matrimonio possibile; lo dico con la franchezza di cui sono capace, ci sono alcune caratteristiche della blockchain che sono probabilmente tra le migliori possibili alleate per la disciplina sulla protezione dei dati personali. Sono caratteristiche importanti, penso banalmente alla circostanza che niente più che una blockchain sapientemente utilizzata consegna all’interessato un controllo effettivo sui dati personali che lo riguardano, perchè espropria chiunque altro la possibilità di gestire al posto suo la propria identità personale, questo è un amplificatore straordinario del diritto alla protezione dei dati personali, e per guardare alla disciplina sulla protezione dei dati da un punto di vista diverso non quello dell’interessato ma del titolare, non ho dubbi che è un trattamento che in blockchain è un alleato formidabile dell’accountability che è protagonista della disciplina sulla protezione dei dati in Europa perché è tutto tracciato, quindi posso costruire un trattamento dei dati personali nel pieno rispetto di un determinato piano, vederlo attuato ed essere in grado in tempo reale di provare a chiunque chi ha fatto che cosa e perché con i dati personali. Queste due caratteristiche sono straordinarie che rendono la blockchain un alleato prezioso per la disciplina sulla protezione dei dati. Ci sono però allo stesso modo alcune caratteristiche che assolutamente al contrario sembrano e in alcuni casi sono, incompatibili con la disciplina sulla protezione dei dati personali. Penso ad esempio, ricordando il contesto che ha avuto davanti il legislatore del GDPR, alla estrema difficoltà con la quale si possono ricondurre ai ruoli tradizionali nella disciplina della protezione dei dati personali, quello del titolare del trattamento con il responsabile del trattamento e le persone autorizzate, i protagonisti delle catene della blockchain. C’è un contrasto di principio, nel GDPR è una struttura piramidale per quei soggetti con un uomo solo al comando come titolare del trattamento e sotto una serie di soggetti che lavorano per lui, tanto nelle catene blockchain questa piramide si appiattisce e si fa orizzontale; quindi questo problema di individuare il titolare, responsabile e persone autorizzate al trattamento, devo dire che poi cambia il livello di complessità in ogni caso d’uso, pubblico verso privato cambia, quello privato non è un tema nella protezione dei dati personali ma esiste e non è l’unico. Altra questione non di poco conto in questo momento di attualità è quello del trasferimento dei dati all’estero, le blockchain sono diffuse, è nella loro definizione essere extra territoriali, i nodi non sono necessariamente legati a un territorio e sappiamo che uno degli obblighi del titolare del trattamento è mappare questi trasferimenti e in alcuni casi rinunciare al trasferimento per incompatibilità dell’ordinamento del paese, questo è un problema non caratteristico delle cose della blockchain, lo stiamo vivendo e provando a governare fuori dalla blockchain, nei servizi digitali; in blockchain diventa particolarmente rilevante. C’è poi un’altra questione molto ricorrente in questo rapporto difficile tra blockchain e disciplina sulla protezione dei dati personali rappresentata da alcuni diritti che il GDPR riconosce agli interessati che in blockchain diventano difficili da esercitare, come il diritto alla correzione del dato o alla cancellazione dei dati, in relazione alla cancellazione è un ossimoro parlare di blockchain e di cancellazione, la blockchain nasce per rendere indelebile la traccia, la duplica triplica quadruplica la traccia per la garanzia della sua persistenza; il GDPR viceversa vuole che l’interessato normalmente salvo eccezioni sia padrone dei suoi dati fino a chiedere al titolare la cancellazione del dato. Poi c’è il principio della minimizzazione dei trattamenti e anche qui è un ossimoro, da una parte un sistema che fa del suo punto di forza la moltiplicazione del dato e dall’altra parte un sistema che dice che se si può raggiungere un risultato diminuendo il numero di trattamenti è la strada da seguire, qui potrei essere assolutamente onesto, non credo che esista una soluzione oggi in via esclusivamente interpretativa per giungere a un risultato di 100% di conformità in relazione a tutti i casi d’uso della blockchain con la disciplina del trattamento dei dati personali. A norme vigenti in alcuni casi questo risulato sembrerà irraggiungibile, possiamo discuterne per giorni trovando pagliativi e forme di impiego della blockchain e di tecnologie concorrenti per accorciare le distanze tra regole del GDPR e impiego della blockchain ma non possiamo fare in modo che vi sia una conformità assoluta. Mi porta a dire una cosa che anche Giorgio Scura ha invocato l’esigenza, che gli Stati facessero gli Stati, anche nella dimensione regolamentare, il GDPR non è un monolite, non è nato per restare uguale a se stesso nel corso degli anni, siamo sempre preoccupati di come si applica oggi e non come si potrebbe applicare domani ma alcune delle disposizioni più illuminate del GDPR e della disciplina europea sono quelle che riguardano l’adeguamento, esiste un comitato europeo di garanti che deve proporre alle istituzioni europee possibili forme di aggiornamento sulla disciplina sulla protezione dei dati. Credo che questo sia indispensabile ormai in relazione a tanti ambiti diversi perché, mi fermo al più antico cioè i big data, è ovvio che il metodo big data è un metodo che predica un modello abbondante nel quale raccolgo dei dati senza sapere se e quanto mi saranno utili, questo è teoricamente incompatibile con il principio di minimizzazione del GDPR ma questo vale anche per l’intelligenza artificiale e soprattutto per la blockchain, quindi diciamo che per provare a essere concreti e rendere celebrabile il prima possibile questo matrimonio, oggi non siamo pronti, la prima esigenza è continuare a discutere in maniera inter disciplinare, portare il risultato di queste discussioni a Bruxelles e con l’inizio della nuova legislatura si possa non moltiplicare la regolamentazione, non penso a un blockchain act ma penso viceversa ad un aggiornamento del GDPR, in cui fermi restando i principi si declina alcune risposte dove il trattamento è diverso da quello normalmente pensato, non è centralizzato ma decentralizzato, non saldamente nelle mani di uno ma di molti, in senso assoluto queste caratteristiche non sono incompatibili con la protezione dei dati personali; quindi credo che questo sia un primo tema molto importante, fare rete e squadra con un approccio inter disciplinare usando anche il comitato europeo dei garanti e comunicare l’analisi fatta. Questo è il GDPR, questi i casi d’uso di blockchain virtuosi e avendo fatto una valutazione di impatto ci rendiamo conto che in alcuni casi rischi di disallineamento e non conformità non sono superabili e serve un cambiamento del GDPR, così è nato e non aggiornarlo sarebbe condannarlo a morte per disapplicazione. Dicevo prima che il mercato e la tecnologia non aspettano la regolamentazione e per quanto si sia bravi e per quanto si possa iniziare a lavorare ad un progetto di aggiornamento del GDPR anche in ottica di compatibilità con la blockchain abbiamo davanti anni in cui questo aggiornamento non ci sarà, cosa fare da allora, intanto ricordo che il diritto alla protezione dei dati sotto l’ombrello della carta dei diritti fondamentali dell’UE non è un diritto assoluto, considerando quarto del GDPR che normalmente si salta a caccia di soluzuioni pratiche dice espressamente che non è tanto comune che una legge nella quale si afferma un diritto di 500 milioni di cittadini europei dica di non essere assoluto ed essere soggetto a compressioni in nome di altri diritti incluso il diritto di fare impresa, c’è spazio per vedere compresso al diritto alla privacy e far posto all’impiego di talune tecnologie e la blockchain può essere tra queste nel rispetto del diritto un po’ compresso, si può comprimere in una misura minima necessaria a garantire l’esercitabilità di un altro diritto; si può quindi fare qualcosa già oggi. Provo a fare qualche esempio concreto del metodo che applicherei, cioè a regole vigenti, il processo di avvicinamento di alcuni casi d’uso di blockchain al GPDR; un esempio su tutti di cui si parla spesso è quello in relazione alla relazione tra il diritto alla cancellazione dei dati e la blockchain. Qui nella realtà nulla si crea nulla si distrugge, nella blockchain qualcosa si crea ma nulla si distrugge, questa è una certezza radicale quindi io alla cancellazione del dato verosimilmente in blockchain non arrivo e però per il GDPR dire cancellazione e dire anonimizzazione significa sostanzialmente la stessa cosa, ovvero prendere dei dati e portarli fuori dall’ambito di applicazione del GDPR. Ora non si potrò cancellare però esistono soluzioni idonee, probabilmente anonimizzazione non è l’espressione corretta ma a rompere in ogni caso ogni legame in modo irreversibile tra un dato che non serve più nel caso d’uso di cui parliamo, ed un interessato. Questo in blockchain è possibilem non potrò confermare all’interessato di aver proceduto alla cancellazione dei dati che lo riguardano ma potrò confermare di aver adotato misure tecniche che valgono, con una certa approssimazione, ad anonimizzare i dati dell’interessato. Altro possibile approccio, dico sempre nel metodo, prima di iniziare a concepire un progetto in blockchain serve, e mi rendo conto sia difficile siamo in una stagione in cui le tifoserie si sono sedute tra chi la sostiene e chi no, serve farsi una domanda in relazione al progetto, serve davvero la blockchain? Se si prende atto della circostanza che esistono conflitti nell’applicazione delle regole della protezione dei dati con la blockchain magari in qualche caso si capisce di poterne fare a meno della blockchain e nel caso affianco dove serve per davvero per un certo risultato la blockchain per cui mi chiedo quanto usarla. Altra possibile soluzione è “chi l’ha detto” che devo registrare dati in chiaro in blockchain, posso registrare dei dati, ovviamente personali perché se non sono personali non esistono questo tipo di problemi, in registri crittografati, tengo la chiave da qualche altra parte nella logica della protezione dei dati quasi come se non usassi la blockchain o come strumento di supporto alla protezione dei dati. ringrazio tutti e credo che se continueremo a dialogare in maniera inter disciplinare questo matrimonio sarà possibile anche con delle incertezze caratteristiche dell’inizio, per poter piano piano, dopo la celebrazione di questo matrimonio, conoscendo meglio si troverà un equilibrio stabile e vivendo felici e contenti, questo forse sarà possibile per la blockchain.
