Scopri i Master e Corsi che potrebbero Interessarti
Blockchain e Gdpr, alcune accortezze per superare la conflittualità e consentire agli opposti di attrarsi
L’Italia, fanalino di coda in Europa sotto molto aspetti, con l’approvazione definitiva del D.L. Semplificazioni, n. 135/2018, risulta essere invece tra i primi paesi dell’Unione ad aver dato rilevanza giuridica alle tecnologie basate sui registri distribuiti (c.d. Blockchain) ed agli smart contract, cogliendone le innumerevoli potenzialità applicative.
Così, dalla promulgazione della Legge di conversione 11 febbraio 2019, n. 12, il dibattito, già in corso, sulla compatibilità della predetta Distributed Ledger Technology con l’attuale normativa privacy (in primis il Reg. Ue 2016/679 _ Gdpr) si è fatto, se possibile, ancora più acceso in vista della presumibile diffusa applicazione dello strumento in parola.
Più nel dettaglio, ci si è posto il quesito se l’architettura blockchain, fondata fondamentalmente sulla condivisione decentralizzata dei dati, da parte di tutti i partecipanti alla rete, e sulla loro immutabilità, senza una struttura centrale di riferimento, possa essere ammessa in un Ordinamento dominato, invece, dalla necessità, da un lato, di individuare chiaramente i soggetti deputati al trattamento dei dati (su tutti, titolare e responsabile) e, dall’altro, di riconoscere agli interessati alcuni imprescindibili diritti, quali, tra gli altri, quello alla rettifica e alla cancellazione dei propri dati.
Se non è dato ancora conoscere l’opinione del nostro Garante sull’argomento, in realtà, diversi sono i contributi pubblicati fuori dai confini italiani cha hanno tentato di dare una risposta a questa domanda.
Ma prima ancora di analizzare alcuni di questi contributi, occorre fare un passo indietro e spiegare per sommi capi cosa sia una blockchain.
Che cos'è la blockchain?
La tecnologia in esame altro non è che un database condiviso da più utenti (detti nodi) che consente di registrare in modo permanente ed irreversibile informazioni e transazioni senza un’autorità centrale; tali dati sono archiviati in gruppi, meglio conosciuti come blocchi, i quali, una volta validati dalla stessa rete, vengono collegati tra loro, attraverso lo strumento della crittografia, in modo da formare una catena di dati immutabile ed in continua crescita; una copia di tale registro viene quindi attribuita a ciascun partecipante alla rete così che la sua governance non sia più nella mani di un unico soggetto, arbitro o intermediario, ma di tutti i nodi.
Nella pratica esistono diverse tipologie di blockchain; tutte però accomunate dalle seguenti caratteristiche:
- Decentralizzazione;
- Trasparenza;
- Sicurezza;
- Immutabilità;
- Consenso;
Possiamo così distinguere le blockchain pubbliche da quelle private; le prime, solitamente senza permesso (permissionless), sono aperte a tutti ed ogni partecipante può disporre di una copia del ledger e validare i blocchi; nelle seconde, permissioned, solo alcuni attori qualificati determinano le regole di governance della catena stabilendo preventivamente chi sia autorizzato a parteciparvi e chi sia deputato ad aggiungere i dati nei blocchi.
L’estrema flessibilità di tale architettura tecnologica si presta a molteplici utilizzi; nati inizialmente per la circolazione della criptovaluta Bitcoin, i registri distribuiti iniziano ora a prendere piede in altri e svariati ambiti quali l’agrifood, per la tracciabilità delle materie prime, nel campo assicurativo, con l’applicazione dei primi smart contract, nel campo farmaceutico, per migliorare il livello di protezione dei dati, nell’attività di audit interno così come nella creazione e distribuzione di asset digitali unici.
Straordinario, pertanto, risulterà essere l’impatto di tale strumento sul processo di innovazione delle imprese; altrettanto significative, però, potranno essere le ripercussioni determinate dalla blockchain sul trattamento dei dati personali.
Da qui l’assoluta attualità e legittimità della domanda inizialmente posta.
Chiarito dunque il concetto di blockchain, il Cnil, l’Autorità francese corrispondente al nostro Garante, con il documento del 6 novembre 2018, ha respinto la tesi di chi sosteneva l’inconciliabilità assoluta della distributed ledger technology con la protezione dei dati.
Anzi, secondo questa Autorità, quando una blockchain conserva all’interno dei propri blocchi dati personali, il Gdpr dovrà trovare piena applicazione; ciò nella convinzione che il Regolamento privacy, costruito attorno al nuovo principio dell’accountability, sia stato concepito proprio per adattarsi all’evoluzione tecnologica ed ai nuovi strumenti di elaborazione dei dati.
Di certo, l’utilizzo della blockchain – sostiene il Cnil - rappresentando questa una nuova tecnologia, dovrà comunque essere sempre anticipato dalla valutazione d’impatto (art. 35 Gdpr).
Sarà quindi necessario condurre un’analisi approfondita sulla necessità e proporzionalità dello strumento rispetto alle finalità stabilite dal suo utilizzatore, così eventualmente da preferire una tecnologia alternativa laddove questa, a parità di risultati, apparisse meno invasiva per gli interessati.
Qualora poi l’esito di tale valutazione consentisse di servirsi della blockchain, si dovrà allora procedere con la consueta elaborazione del modello organizzativo e, pertanto, con l’identificazione del titolare del trattamento, con l’individuazione della base giuridica, con il riconoscimento dei diritti agli interessati, con l’attuazione di garanzie appropriate, infine con l’adozione di misure di sicurezza.
Così, in relazione al ruolo assunto dai vari attori, il titolare del trattamento potrà essere individuato nel soggetto partecipante alla blockchain, il quale, con la decisione assunta di effettuare una transazione e di registrare i dati all’interno dei blocchi, determina lo scopo ed i mezzi di elaborazione dei dati; diversamente, al c.d. minatore, che convalida la transazione e crea i blocchi, ed allo sviluppatore del protocollo informatico dovrà essere attribuito unicamente il ruolo di responsabile, trattando dati per conto di altri.
Mentre, con riferimento ai dati personali contenuti in una blockchain, il Cnil - dopo aver individuato due categorie di dati personali, quelli che identificano i partecipanti alla rete, rappresentati sostanzialmente dalla chiave pubblica in loro dotazione per l’invio e la ricezione delle transazioni, e quelli aggiuntivi, contenuti all’interno delle transazioni stesse - raccomanda di non archiviare mai su di una blockchain i dati personali in chiaro, ossia senza essere stati prima crittografati.
Capitolo a parte merita invece il tema dell’esercizio dei diritti da parte degli interessati.
Se infatti taluni diritti possono essere facilmente esercitati, si pensi al diritto di accesso, altri, come quello alla cancellazione, lo sono di meno.
E proprio riguardo alla compatibilità del diritto alla cancellazione dei dati con la tecnologia blockchain, notoriamente caratterizzata dall’immutabilità delle transazioni registrate, l’Autorità francese pare essere molto più cauta, riservandosi la possibilità di valutare ed indviduare soluzioni tecnologiche che, se proprio non conducono all’eliminazione assoluta del dato, consentono un risultato similare: si pensi ad esempio al blocco di accesso ai dati che si intendono cancellare o alla distruzione della chiave crittografica necessaria per la loro decifratura.
Anche l’Osservatorio e Forum dell’Unione Europea sulla Blockchain (Eubof), nel suo rapporto del 16 ottobre 2018, ritiene che la tecnologia basata sui registri distribuita possa rispettare i requisiti richiesti dal Gdpr, senza tuttavia nascondere talune criticità di fondo.
Ci si riferisce in particolare a due tipologie di rischi, da valutare ogni qual volta si intenda utilizzare la tecnologia blockchain:
- il rischio di inversione, ossia il pericolo che, nonostante la tecnica crittografica utilizzata, sia possibile invertire il processo e ricostituire i dati personali;
- il rischio di “linkabilità”, ovvero la possibilità di collegare comunque i dati crittografati all’interessato, così risalendo alla sua identità, mediante l’esame dei dati di contesto ed i modelli di utilizzo (ad esempio considerando i tempi e la frequenza delle transazioni, l’hash registrato ecc.).
L’Eubof passa quindi in rassegna talune tecniche, di privacy by design, utili a scongiurare tali rischi.
La prima è quella dell’offuscamento, praticata soprattutto nel trading online, consistente nel chiedere ad una terza parte di aggregare e pubblicare transazioni sul registro utilizzando la propria chiave pubblica, così che non si possa risalire all’autore della transazione tramite il proprio indirizzo personale.
La seconda è quella di aggiungere ai dati originari ulteriori informazioni in modo da aumentare la grandezza del file crittografato e rendere così maggiormente difficoltoso un attacco finalizzato all’inversione di tutti i dati (cc. dd. salting o peppering).
Altra cosa sono invece le tecniche di anonimizzazione vere e proprie che, da sole, mediante un processo irreversibile, non permettono di ricostituire il dato personale originario partendo dalla sua forma anonima.
Il dibattito su quali siano le tecniche che effettivamente garantiscono tale risultato è comunque ancora aperto tra gli esperti.
Certamente non la crittografia a chiave simmetrica o asimmetrica (a seconda che sia unica o doppia la chiave) considerata sempre reversibile; più probabile invece l’hashing che permette di generare una stringa di caratteri unica a lunghezza fissa tale da essere equiparata ad una impronta digitale, fermo restando il fatto che finché la chiave di decifratura esiste, il rischio di inversione è sempre possibile.
Ma anche le tecniche di aggregazione dei dati, secondo l’Eubof, dovrebbero fornire adeguate garanzie di tutela dei dati, al pari dell’hashing, nell’ecosistema Blockchain, dal momento che accorpano in un un’unica firma digitale grandi quantità di dati appartenenti ad una pluralità di interessati permettendo così alla firma, nel suo complesso difficilmente hackerabile, di fungere da prova unitaria dell’esistenza di ogni singola parte dei dati sottostanti.
La questione, come ben si può desumere, è complessa e soprattutto non ancora risolta, ancor più in rapporto a quale sia la tipologia di blockchain maggiormente compliance.
Sotto quest’ultimo aspetto vi è chi sostiene che le reti blockchain private c.d. permissioned, composte da pochi nodi, siano da preferire in quanto, rispetto a quelle pubbliche permissionless, consentirebbero di definire in maniera precisa ruoli e modalità del trattamento, oltre che di acquisire il consenso specifico da parte di ciascun partecipante.
Queste reti tuttavia, in taluni ambiti, pagherebbero un certo isolamento, stante l’impossibilità di far valere la transazione al di fuori del registro ove è stata archiviata, ragione per cui lo stesso Eubof auspica una vera e propria interoperabilità tra blockchain, ricorrendo alle tecniche di aggregazione di dati per trasferire dati resi anonimi da registri privati a quelli pubblici.
Nonostante le attuali incertezze, quello che chiaramente emerge dal rapporto stilato dall’Eubof, è che la blockchain, indipendentemente dal tipo o dalle tecniche usate, dovrebbe essere utilizzata soltanto per creare e conservare prove immutabili dell’esistenza di dati personali collocati fuori dal registro, anziché archiviare i dati stessi.
Cosa che avviene ad esempio quando l’utente gestisce i dati personali “fuori catena” ed usa la tecnologia blockchain per effettuare transazioni solo con altre imprese; oppure quando il partecipante genera un documento anonimo all’interno del registro, con tanto di marca temporale (timestamp) e firma crittografica, che tuttavia, per essere decifrato ed assumere valore, deve essere ricondotto ad altro documento, questo sì contenente dati personali, collocato fuori blockchain.
E se proprio risulta necessario conservare dati personali all’interno dei registri distribuiti, allora l’Eubof suggerisce di fare ampio uso delle tecniche di offuscamento, aggregazione ed anonimizzazione dei dati, oltre che osservare il principio di minimizzazione dei dati stessi.
Per concludere, la blockchain, lungi dall’essere la soluzione universale e definitiva per il mondo dell’impresa, può rappresentare un’opportunità, da valutare comunque caso per caso, in linea con le prescrizioni del Gdpr e, persino, in grado di innalzare il livello di sicurezza dei dati personali quando è espressione del principio di privacy by design.
Quel che è certo è che rappresenta un banco di prova importante per testare le reale tenuta del Gdpr rispetto ai nuovi strumenti di elaborazione dei dati e la sua capacità di governare il cambiamento tecnologico in atto.
Avv. Antonio Nenzioni
(Docente del Master Giuristi d’Impresa e del Master Legal Advisor)
Scopri i Master e Corsi che potrebbero Interessarti
by
Avv. Antonio Nenzioni
