In data 14 marzo 2022, l’Autorità garante spagnola per la protezione dei dati (“AEPD”) ha pubblicato una guida sugli smart contract (contratti intelligenti) in blockchain e sui relativi impatti sui dati personali.
La guida precisa che gli smart contract sono algoritmi che vengono eseguiti senza intervento umano su una blockchain e che quando il risultato degli stessi ha un impatto significativo sulle persone fisiche (ad es. gestione dei dati relativi all’identità digitale di una persona fisica) devono essere presi in considerazione i requisiti di cui all’articolo 22 del Regolamento generale sulla protezione dei dati 2016/679 (“GDPR”). Ciò implica che, in fase di progettazione o selezione della blockchain su cui verrà distribuito un servizio, dovrebbero essere determinate:
- le condizioni che escludono il divieto di tale trattamento;
- le garanzie e le misure a tutela dei diritti degli utenti interessati.
Tali misure dovrebbero riguardare, come minimo, l’intervento umano da parte del titolare del trattamento e la possibilità per l’interessato di contestare l’eventuale decisione automatizzata.
L’art. 22 del GDPR (rubricato come “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”), infatti, prevede che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (ad es., in lettura del considerando 71 del GDPR, il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani). In altri termini, nell’esercizio di tale diritto, il processo decisionale automatizzato non potrebbe produrre effetti sui diritti o sugli interessi legittimi delle persone e non dovrebbe neanche avere un impatto significativo sulle ulteriori e distinte aspettative degli individui.
Accanto agli obblighi di cui all’art. 22 del GDPR, la guida rileva che anche le seguenti salvaguardie possono anche necessarie quando si utilizzano i contratti intelligenti:
- misure di governance dei servizi forniti;
- garanzie nell’esercizio dei diritti degli interessati e predisposizioni organizzative in osservanza ai principi di privacy by design e by default;
- implementazione di misure di sicurezza e di gestione;
- notifica e comunicazione delle violazioni dei dati personali in base al rischio per i diritti e le libertà degli interessati.
La guida, infine, evidenzia che tali esigenze di compliance data protection devono essere affrontate e documentate prima dell’impostazione di un servizio basato su blockchain, nell’ambito della gestione del rischio per i diritti e le libertà delle persone fisiche, effettuando, ove opportuno, una valutazione d’impatto (DPIA) ai sensi dell’articolo 35 del GDPR.