5 Luglio 2019 | 

Con l’acronimo KYC (Know Your Customer) ossia, “conosci il tuo cliente”, si intende una particolare misura di sicurezza, volta a rendere più sicure le transazioni che avvengono in ambito bancario e finanziario.

In generale, si tratta di un processo attraverso il quale un’azienda, principalmente gli istituti di credito ovvero gli exchange di criptovalute, richiedono al nuovo cliente, prima dell’acquisto di un prodotto oppure in occasione della registrazione a un servizio, varie informazioni e l’analisi di determinati documenti. In questo modo, i suoi dati personali vengono acquisiti, analizzati e registrati, consentendo di verificare l’identità dei propri clienti e di valutarne i potenziali rischi o le potenzialiintenzioni non lecite connesse a quel determinato rapporto contrattuale.

I processi KYC sono regolarmente applicati in ambito bancario e finanziario, ove è più intensa l’esigenza di valutare preventivamente i possibili scenari di un affare, nonché contrastare crimini legati al riciclaggio di denaro, alla corruzione, a truffe, a finanziamenti illeciti e al terrorismo.

A titolo esemplificativo, è prassi, negli istituti bancari o negli exchange di criptovalute, raccogliere attraverso procedure standardizzate, oltre i dati anagrafici del cliente, quelli sulla sua complessiva situazione patrimoniale e sui movimenti di denaro effettuati, così come sapere se sono avvenuti o sono in corso episodi di “sofferenza”, se sussistono eventuali situazioni di rischio, informazioni circa il lavoro svolto, se ha rivestito o riveste funzioni e o cariche pubbliche e ogni altra informazione che contribuisca a realizzare un quadro valutativo del cliente.

I processi di KYC trovano, come anticipato, applicazione anche in tutte quelle piattaforme di acquisto e/o scambio di criptovalute, rispetto alle quali, tuttavia, emergono alcuni elementi di criticità a causa della difficoltà di conciliare la tecnologia sulla quale si basano, la blockchain, con la piena applicazione delle disposizioni in materia di tutela al trattamento dei dati personali di cui al GDPR.

La blockchain, infatti, opera attraverso una rete decentralizzata di tipo peer-to-peer, che annota in modo immutabile, permanente, verificabile, tracciabile, anche se crittografato, i dati relativi a tutte le transazioni che avvengono al loro interno. Viene in tal modo realizzato un grande database diffuso, ossia, un database che non si trova in un solo hardware, bensì su ognuno di quelli facenti parte della catena, contemporaneamente e ciascuno di essi sincronizzato con gli altri.

Pertanto, quelli che sono i maggiori punti di forza per la blockchain, parrebbero al contempo rappresentarne una grande debolezza.

L’immutabilità delle informazioni colà contenute, pertanto, determinano una difficile conciliazione con i principi sanciti dal GDPR.

Sorgono, infatti, delle peculiari criticità in merito a alcuni fondamentali aspetti e, segnatamente: i) quello relativo all’accesso e alla visibilità dei dati, in quanto pubblici e accessibili a tutti i partecipanti alla catena; ii) quello relativo all’identificazione del titolare del trattamento, oltreché del responsabile e del DPO, in quanto non esiste nella blockchain una figura centralizzata e super partes di controllo sui dati; iii) quello relativo al rispetto dei principi generali che impongono di limitare al minimo possibile i dati richiesti, conservandoli solo per il tempo necessario e con il limite di svolgere le attività per le sole finalità relativamente alle quali i dati sono conferiti; iv) ultimo, ma non ultimo per importanza, il problema afferente all’impossibilità di rendere i dati modificabili ovvero eliminabili.

Con particolare riferimento a quest’ultimo aspetto, occorre precisare che tra le principali novità sancite dal GDPR vi è il riconoscimento del diritto dell’interessato alla cancellazione dei propri dati personali, in applicazione dell’articolo 17 del Regolamento UE 2016/679, il quale stabilisce che la cancellazione dei dati è ammessa, oltre che al verificarsi di particolari casi, anche allorquando vi sia la revoca del consenso da parte dell’interessato ovvero nel caso in cui il consenso per le finalità relativamente alle quali detti dati personali sono stati richiesti sia venuto meno.

Alla luce di quanto sopra, le medesime criticità si estendono anche nel caso di cui all’articolo 16 del Regolamento UE 2016/679 che prevede la modifica dei dati personali conferiti.

Secondo questi rilievi, l’accurata applicazione del GDPR comporterebbe una impossibile conciliazione con la blockchain e, conseguentemente, determinerebbe il “tramonto” di tutti quei servizi e strumenti che sulla stessa si basano, quantomeno nei Paesi in cui la nuova disciplina della tutela dei dati personali trova applicazione.

Ciononostante, non pare revocabile in dubbio che la tecnologia blockchain sia in continua ascesa e, con ciò, non può essere in alcun modo limitato il suo ambito operativo, anche laddove si rappresentino dei contrasti con il GDPR.

In ragione di quanto sopra, pertanto, se da una parte si presenta una “lotta titanica” tra GDPR e blockchain, è pur vero che è lo stesso Regolamento UE 2016/679 che sancisce, in particolare ai sensi di cui all’articolo 32, un principio di adeguatezza, garanzia e sicurezza relativamente ai dati conferiti, in particolari ambiti, attraverso tecniche di crittografia e pseudonimizzazione.

Attraverso la crittografia vi è la possibilità di inserire all’interno della catena di blocchi alcuni dati che sono “cifrati” e, pertanto, leggibili solo da chi possiede la chiave d’accesso (il “codice”) necessario per procedere alla lettura (ciò avviene nei casi di crittografia asimettrica, che consente la creazione di un sistema a doppia chiave d’accesso, una pubblica e una privata).

Nonostante la crittografia, non si elimina la problematica che il dato personale, che rimane e rimarrà immutato all’interno della blockchain, potrebbe essere un giorno decifrato da chiunque, anche all’avanzare delle tecnologie. Verrebbe, pertanto, leso il diritto alla conservazione dei dati, nei confronti dell’interessato, da parte del soggetto titolare e/o responsabile.

Attraverso la pseudonimizzazione, invece, i dati personali conferiti dall’interessato e colà trattati, non vengono attribuiti a una data persona fisica, bensì al suo pseudonimo.

Dovendo, però, il soggetto titolare ottemperare a ulteriori obblighi contrattuali e/o obblighi di natura bancaria/fiscale, risulterà opportuno mantenere una doppia raccolta di dati che interagiscano tra loro.

Da una parte il “registro” (impropriamente, ndr.) degli pseudonimi, e dall’altra l’insieme di dati che consentano la riconducibilità degli stessi a quelli pseudonimizzati.

Ciò parrebbe comportare un inidoneo e inadeguato strumento teso alla minimizzazione dei rischi afferenti al trattamento dei dati personali.

Alla luce di tutto quanto sopra, senza dubbio, occorre dedicare particolare cura e attenzione agli sviluppi in materia e auspicare un coordinamento multidisciplinare che, in occasione delle prossime revisioni della norma GDPR, sia in grado di conciliare le esigenze di tutela dei dati personali con gli sviluppi delle nuove tecnologie come quella della blockchain con, infine, le più tradizionali tutele poste a salvaguardia della vita economica del Paese come le KYC.

Certamente, attesa l’immutabilità della blockchain, che rende impossibile ogni modifica  su dati successiva al loro conferimento, risulta opportuno segnalare che vengano adottate delle condotte tese all’applicazione del principio – introdotto dal GDPR – di privacy by design che consentirebbe di effettuare delle valutazioni preventive e un disegno chiaro e preciso sullo sviluppo tecnologico delle piattaforme di blocchi in conformità al GDPR stesso.

Inoltre, si ritiene opportuno che vengano effettuati preliminarmente i cd. DPIA (Data Protection Impact Assessment), affinché unitamente al principio di privacy by design si possa giungere a limitare quanto più possibile i rischi relativi al trattamento e all’uso, anche distorto, dei dati personali.

Federico Serratore.-

News Correlate