La tecnologia è uno strumento al servizio dell’uomo e come tale deve trovare un punto di allineamento con i principi e le regole di diritto.
Una tecnologia che si sta velocemente diffondendo nell’intero mondo economico è la Blockchain la cui definizione è ormai nota: si tratta di un data base distribuito (una sorta di registro delle “transazioni” dove i dati non sono memorizzati su un solo computer, ma su più dispositivi collegati tra loro via Internet, attraverso un’applicazione dedicata che permette di interfacciarsi con la “catena”) fatto di blocchi di dati che memorizzano transazioni (non solo); per essere consolidato all’interno di un blocco, ogni dato, e successivamente ogni blocco prima di essere inserito nella “catena”, viene sottoposto a un processo di validazione.
La blockchain tende in sostanza a realizzare la disintermediazione ed il decentramento da intendersi in questo contesto quale totale abolizione di Autorità centrali e superiori con una forte visione anarchica.
Appare interessante analizzare la blockchain non tanto dal lato noto delle cryptomonete o delle implicazioni business di questa tecnologia ma da un angolo visuale solo apparentemente secondario ovvero quello della tutela dei dati personali.
Il GDPR (General Data Protection Regulation UE n. 679/16), che ha avuto concreta applicazione dal 25 maggio 2018, ha la funzione di elevare “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale” a diritto fondamentale. L’idea di fondo che ha ispirato l’introduzione della nuova normativa sulla privacy è quella di permettere che i cittadini europei abbiano un controllo di gran lunga maggiore sul modo in cui i singoli, le aziende e gli enti pubblici utilizzano le informazioni, e in particolare i dati sensibili, raccolti dagli utenti.
Come detto il fulcro della tecnologia Blockchain consiste nella decentralizzazione, trasparenza e immutabilità dei dati e tali concetti sembrano scontrarsi con l’essenza stessa del GDPR.
La blockchain in realtà potrebbe giocare un ruolo fondamentale e proattivo nella applicazione del GDPR stesso, proprio a causa delle caratteristiche di immutabilità e replicazione, poiché se progettata nel modo giusto potrebbe garantire la necessaria trasparenza e controllo sui dati personali.
In questo specifico contesto, la sfida consiste nell’applicare il quadro di protezione dei dati dell’UE in modo tale da non disinnescare del tutto l’effetto disruptive della Blockchain, ma allo stesso tempo garantire la protezione dei dati.
Vi è la necessità di adeguare la normativa al cambiamento tecnologico senza che ciò significhi che un indebolimento della protezione dei dati, ma piuttosto vale la pena esplorare se gli obiettivi del GDPR possono essere conseguiti attraverso mezzi diversi da quelli originariamente previsti.
Le autorità di regolamentazione dovranno dunque spingere gli sviluppatori delle tecnologie Blockchain a progettare i propri prodotti in conformità con questo importante obiettivo di politica pubblica.
La rivoluzione tecnologica in atto (la cosiddetta Industry 4.0) sta avendo un forte impatto disruptive in molteplici settori sociali ed economici e un esempio è costituito dall’utilizzo del cosiddetto Cloud computing nelle attività di molte imprese e liberi professionisti.
Il Cloud computing è un modello tecnologico basato sulla disponibilità ubiqua, conveniente e on-demand di risorse condivise e configurabili (quali servers, storage, applicazioni, ecc.) che possono essere messe a disposizione con un elevato grado di automazione e rese disponibili e rilasciate rapidamente con un minimo sforzo di gestione da parte del fornitore del servizio.
In altri termini, si tratta di una modalità per fornire tecnologie e risorse informatiche attraverso una rete, tipicamente internet, con un sistema scalare, cioè flessibile, a seconda delle esigenze degli utenti.
Ferma la definizione tecnico-informatica del Cloud computing, in merito alla natura giuridica del contratto di Cloud computing si deve osservare che la tesi prevalente è nel senso di ricostruire la fattispecie del cCoud computing come un’ipotesi di collegamento negoziale tra il contratto di appalto di servizi ed il contratto di licenza software.
Le caratteristiche e la struttura dei contratti di Cloud computing vengono disciplinati attraverso contratti standard connotati da una assai limitata negoziabilità delle clausole e senza che si preveda un’eventuale rinegoziazione delle stesse, ciò anche in ragione della grande asimmetria di forza esistente in favore del fornitore che può imporre specifiche clausole contrattuali.
I documenti che formano il contratto sono generalmente: Terms of service (ovvero le condizioni generali di contratto), Service level agreement, Acceptable use policy e Privacy policy.
La privacy policy è molto importante perché descrive l’approccio del fornitore nell’uso e protezione delle informazioni personali del fruitore del servizio.
Vi sono, infatti, alcune problematiche nella gestione del servizio cloud, quali ad esempio il fatto che i servizi possano comportare il coinvolgimento di più soggetti incaricati ed abilitati all’esecuzione del servizio (con forti implicazioni in tema di riservatezza delle informazioni) o che il provider cloud possa allocare i dati senza specificare dove i dati trattati siano effettivamente (con la potenziale perdita di controllo delle informazioni).
Il potenziale cliente dovrà, altresì, pretendere l’espressa indicazione delle misure di sicurezza che il provider cloud offre.
Nell’ottica di massima tutela dei dati allocati in cloud è opportuno valutare la sottoscrizione di un accordo di riservatezza (noto come NDA ovvero Non Disclosure Agreement) con il fornitore del servizio cloud che contenga oltre che un impegno assoluto alla riservatezza nell’esecuzione del servizio anche un impegno espresso all’adozione delle migliori best practices relative alla protezione delle strutture che ospitano i servizi, dell’hardware, del personale dedicato, nonché l’adozione di misure atte a proteggere il software a livello di sistema operativo, infrastruttura e applicazioni e riservatezza.
Marco Del Fungo
Avvocato