giovedì, Marzo 28, 2024
Uncategorized

Blockchain vs GDPR: due opposti inconciliabili?

Resa celebre dal boom dei Bitcoin, la tecnologia Blockchain attrae sempre più gli operatori economici. Dalle banche ai trasporti, dalla sicurezza al fund raising. Negli ultimi tempi tale tecnologia è stata addirittura applicata al pollo Filiera Qualità di Carrefour Italia per verificare in tempo reale le informazioni legate al prodotto, dall’origine sino all’arrivo al punto di vendita[1]. Secondo la Worldwide Semiannual Blockchain Spending Guide, le tecnologie blockchain hanno ricevuto $ 945 milioni di investimenti nel 2017, e si stima che raggiungeranno l’incredibile cifra di $ 2,1 miliardi entro la fine del 2018[2].

Tuttavia, nonostante la popolarità, la sua applicazione pratica solleva molte domande, in particolare per quanto riguarda la protezione dei dati personali oggetto del GDPR[3]. L’innovazione ma anche la problematicità di tale “paradigma organizzativo” deriva dal fatto che questo propone di trasmettere e memorizzare le informazioni su un immutabile registro decentralizzato[4], convalidato non da una tradizionale autorità centrale (come una banca o governo) ma dal pubblico stesso.

Il fulcro di tale tecnologia consiste dunque nella trasparenza e immutabilità dei dati, concetti che ad un primo impatto sembrano scontrarsi con l’essenza stessa del GDPR. Se si riassumessero i 99 articoli del Regolamento in una sola parola sarebbe quella di accountability relativamente al trattamento dei dati personali. L’idea sottostante tale Regolamento è infatti quella di responsabilizzare le organizzazioni, più precisamente il Titolare del Trattamento dei dati, riguardo i rischi connessi all’elaborazione degli stessi.

Al riguardo, il GDPR elenca all’articolo 5 i sei principi essenziali alla data protection: il trattamento deve essere lecito, equo e trasparente; il trattamento dei dati deve essere limitato allo scopo specifico per il quale sono stati originariamente raccolti (limitazione di scopo); è possibile raccogliere solo i dati assolutamente necessari allo scopo specifico (minimizzazione dei dati); i dati devono essere accurati e aggiornati (accuratezza); i dati non devono essere conservati più a lungo del necessario (limitazione della conservazione); i dati devono essere elaborati in modo sicuro (integrità e riservatezza).

Questa inconciliabilità di principio, come recentemente sottolineato dal report dell’European Union Blockchain Observatory Forum[5], da un lato genera preoccupazioni sulla possibilità che il GDPR possa ostacolare l’innovazione europea delle tecnologie Blockchain, dall’altro apre potenziali opportunità del loro uso come strumento per far rispettare il GDPR.

In una prima parte di questo articolo analizzeremo le maggiori tensioni esistenti ad oggi tra il GDPR e la tecnologia Blockchain (I), per poi successivamente interrogarci su una possibile conciliazione tra questi due mondi apparentemente opposti (II).

I. Lo stato delle tensioni tra Blockchain e GDPR

Prima di approfondire la nostra analisi ci sembra utile precisare che la maggior parte delle problematiche, in seguito affrontate, riguardano le Blockchain pubbliche, il cui esempio più famoso ci è fornito dai Bitcoin, le quali sono “aperte, senza proprietà e concepite per non essere controllate”. Tutti i partecipanti possono ricoprire il ruolo di validatori. Al contrario le Blockchain definite come private, seppur strutturate sulla base di una logica decentralizzata, limitano l’accesso ad un numero ristretto di attori, i quali condividono rigorose norme e principi. Alla base di tale tipologia vi è dunque un’idea di Governance della Blockchain. Un solo nodo, ovvero il validatore, crea il consenso, centralizzando in questo modo il permesso di scrivere i blocchi[6]In tale contesto sarà possibile individuare agevolmente il proprietario della Blockchain, al quale sarà attribuito il ruolo di Titolare del Trattamento. Ne consegue la possibilità di evitare eventuali conflittualità con il GDPR, in quanto i principi del Regolamento dovranno essere attuati dai Titolari del Trattamento sin dal concepimento del progetto (principio «data protection by design»)[7].

Difficoltà nell’identificazione del Data Controller: Il primo ostacolo che si pone al connubio Blockchain-GDPR è connesso alla differente distribuzione del peso nel controllo dei dati. Mentre il GDPR è concepito per applicarsi in un contesto fortemente centralizzato, l’essenza decentralizzata della Blockchain sembra scardinare l’idea stessa di controllo. L’obiettivo in una Blockchain pubblica è quello di permettere a ciascuno di contribuire all’aggiornamento dei dati sul ledger ed impedire qualsiasi modalità di censura. In tale contesto chi si pone nella condizione più adeguata per ricoprire il ruolo di Data Controller? Si tratta dei protocol developers? Dei network users? Dei publishers of smart contracts? Al riguardo il CNIL francese sottolinea come non tutti i partecipanti ad una Blockchain possano ottenere tale qualifica [8]. Ad esempio, una persona che vende o acquista Bitcoin per il proprio account non può ricoprire il ruolo di Data Controller. Si prospetta una situazione differente, invece, se esegue tali transazioni nel corso di un’attività professionale o commerciale, per conto di altre persone fisiche. E’ dunque raccomandabile adottare un approccio case-by-case.

Difficoltà nell’identificare la giurisdizione competente: Direttamente connessa a tale problematica vi è quella dell’individuazione della jurisdiction competente in caso di controversia relativamente al trattamento dei dati. Infatti, come attribuire la competenza ad una determinata giurisdizione se risulta impossibile identificare il responsabile del trattamento e il luogo in cui vengono elaborati? Anche riguardo tale questione non vi sono risposte definitive.

Difficoltà nell’anonimizzare i dati personali: Il GDPR si applica al trattamento di dati personali a meno che questi non siano stati anonimizzati. L’anonimizzazione è il processo elaborativo che blocca la riconducibilità identificativa di dati personali con la persona alla quale si riferiscono. Bisogna dunque rendere impossibile l’identificazione di una persona e far in modo che tale operazione sia  irreversibile. E’ in questa ultima caratteristica che si coglie la differenza con un concetto apparentemente simile: la pseudonimizzazione[9]. Con tale termine si indica il processo che, se da una parte  blocca la correlabilità dei dati personali all’identità di una persona, dall’altra non garantisce una possibile re-identificazione del soggetto interessato. Dunque un dato pseudonimo è ugualmente oggetto del GDPR, al pari dei dati personali.

Nel contesto Blockchain le operazioni di anonimizzazione risultano particolarmente ardue per la presenza di alcuni rischi:

 –Rischio di inversione, ovvero la possibilità di invertire il processo e ricostituire i dati originali, ad esempio utilizzando il processo di brute force decryption.

Rischio di linkabilità, ovvero il rischio che sia possibile collegare dati crittografati a un individuo, esaminando il contesto generale o confrontandoli con altre informazioni.

Finché la chiave esiste da qualche parte, i dati possono essere decifrati. Questo è particolarmente vero se consideriamo l’evoluzione costante della scienza della crittografia. Possiamo dunque prevedere, con una certa sicurezza, che le tecniche oggi utilizzate possano essere facilmente incrinate in futuro.

Difficoltà nella limitazione della conservazione dei dati: Il principio della conservazione limitata dei dati incluso nel GDPR rappresenta un’ulteriore tensione alla sua coesistenza con la tecnologia Blockchain. Ai sensi dell’articolo 5 del Regolamento i dati devono essere conservati “per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati“. La tecnologia Blockchain, al contrario, risponde ad una logica completamente opposta, in quanto i dati, una volta scritti sulla catena non possono essere cancellati. Essi sono pertanto conservati a tempo indeterminato. L’immutabilità è una proprietà chiave della tecnologia. Anche se riuscissimo a identificare un Data Controller, sarebbe tuttavia impossibile tornare indietro e cancellare o aggiornare il report di una transazione senza distruggere la catena. Ne deriva che tale tensione non è esente neppure dalle Blockchain di tipo privato.

Difficoltà riguardo le questioni di territorialità: Il GDPR specifica all’articolo 45 che “il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato”. Tale disposizione si scontra con l’essenza stessa della Blockchain pubblica in quanto, tenuto conto della molteplicità di partecipanti e della libertà di localizzazione inerente a tale tecnologia, risulta impossibile verificare che le garanzie siano state messe in azione. E’ dunque complesso avere la certezza che i dati personali siano stati effettivamente trasferiti verso paesi considerati non “sicuri” dai Garanti europei. Se alcune soluzioni possono essere conseguite nel caso delle Blockchain private, grazie all’utilizzo di clausole contrattuali standard, norme vincolanti d’impresa, codici di condotta o meccanismi di certificazione approvati, nel contesto di una Blockchain pubblica la situazione  risulta più problematica, dal momento che è difficile  rintracciare la localizzazione dei partecipanti[10].

II. Possibili tentativi per assicurare la compliance al GDPR

Nonostante le tensioni fin qui enumerate, non escludiamo l’esistenza di una possibile conciliazione tra questi due opposti. Con lo stesso ottimismo Arne Rutjes, Blockchain Practice Lead Europe, IBM Client Innovation Center[11] afferma che «la blockchain in realtà può giocare un ruolo fondamentale e proattivo del GDPR stesso, proprio a causa delle caratteristiche di immutabilità e replicazione. Progettato nel modo giusto, garantisce la necessaria trasparenza e controllo sui dati personali». Infatti gli strumenti di crittografia e la struttura decentralizzata rendono la rete altamente resistente alla manomissione, in perfetta compliance con il GDPR. In aggiunta, la natura trasparente della Blockchain offre un accesso chiaro e diretto ai dati in linea con l’obiettivo di restituire il controllo e la visibilità degli stessi, proprio del GDPR.

Entrambi mirano a creare un ambiente in cui sia mantenuta la sicurezza dei dati e in cui sia ridato ai soggetti il controllo sugli stessi. Se le intenzioni sono le medesime deve dunque esserci sicuramente un modo per arrivare ad una loro conciliazione.

1) Stoccaggio dei dati personali al di fuori dalla Blockchain

Una prima opzione potrebbe consistere nel memorizzare i dati personali al di fuori della Blockchain, iscrivendovi solo un collegamento di questi al loro interno, un hash dei dati. Le Blockchain dovrebbero quindi essere utilizzate per archiviare la prova che alcuni dati esistono piuttosto che memorizzare gli stessi. Ciò consentirebbe la rimozione dei dati personali senza rompere la catena.

Per rendere più chiara questa operazione possiamo riprendere l’esempio utilizzato dall’ European Union Blockchain Observatory Forum a tale proposito. Immaginiamo una piattaforma innovativa che utilizza una Blockchain pubblica per aiutare persone disoccupate a fornire la prova del loro background accademico a potenziali datori di lavoro. La piattaforma, invece di memorizzare direttamente tali rapporti scolastici (dati personali) sulla catena,  potrebbe utilizzare tecniche di hash e di aggregazione per generare una prova dell’esistenza del report e archiviare questa nella Blockchain, insieme a un timestamp e alla firma crittografica dell’istituzione che ha generato il report. Successivamente la persona in cerca di lavoro mostrerà il rapporto scolastico al potenziale datore, il quale potrà confermare che questo è autentico grazie all’individuazione della firma e del timestampnella blockchain. Questa seconda operazione avviene dunque off-chain.

In tal modo diventa anche concepibile l’esistenza di una sorta di diritto di rettifica. In effetti se si constata l’esistenza di un dato errato nel rapporto scolastico, questo può essere distrutto, essendo localizzato off-chain, e si può in seguito chiedere all’istituzione di generarne uno nuovo, il quale sarà identificato da una propria firma digitale nella Blockchain: “the previous digital signature will simply be ‘left hanging’, with no off-chain data to point to”[12].

Sulla stessa linea di idee si iscrive la tecnologia utilizzata da Ethereum“zk SNARK” o zero knowledge proof[13]. La filosofia alla base è la stessa dell’esempio precedentemente citato ovvero “non rivelare nulla tranne la verità dell’affermazione”. Il vantaggio di tale strumento è che ciascuna parte è in grado di provare all’altra che ha un insieme specifico di informazioni, senza però rivelare quale sia il loro contenuto. I dati personali sono mascherati rendendo tale tecnologia perfettamente compatibile al GDPR.

2) Continuare ad investire sull’innovazione tecnologica

Come sottolineato dall’European Union Report, investire sugli sviluppi tecnologici potrebbe garantire un perfetto adeguamento della tecnologia Blockchain al GDPR, a lungo termine. Tra le innovazioni in corso d’opera si possono annoverare ad esempio delle speciali tecniche di eliminazione che consentono di rimuovere i dati dalla blockchain una volta esaurito il loro obiettivo. Questa operazione non solo renderebbe il sistema più efficiente, in quanto sarebbero ridotte le dimensioni della catena, ma si porrebbe in perfetta compliance con l’articolo 5 del Regolamento.

Inoltre alcuni progetti stanno esplorando la creazione di tecniche di crittografia quantum-resistant, le quali non possono essere manomesse neanche attraverso l’uso di quantum computers. In aggiunta altri tecnici stanno analizzando l’uso dei ‘chameleon’ hashes. Tali hashes contengono una “trapdoor” che consente di modificare i dati ad essi correlati. Infatti se un blocco associato con un hash deve essere modificato, questa trapdoor può essere utilizzata per aprire tale blocco, cambiare il dato e rigenerare il blocco. Nonostante questa funzionalità non possa essere aggiunta retroattivamente a una Blockchain esistente, le sue prospettive per il futuro sono altamente positive.

Conclusione

A prima vista la tecnologia GDPR e Blockchain sembrano inconciliabili. Il GDPR è stato concepito in un mondo centralizzato, mentre la tecnologia Blockchain rappresenta l’apoteosi della decentralizzazione. In relazione al Regolamento, abbiamo osservato che le sue caratteristiche cardine, come il diritto  di rettifica e cancellazione, non possono essere facilmente applicate alle nuove tecnologie. Abbiamo tuttavia constatato che le Blockchain, se adeguatamente progettate ed il GDPR, possono condividere un obiettivo comune: dare ai soggetti un maggiore controllo sui loro dati. In questo specifico contesto, la sfida consiste nell’applicare il quadro di protezione dei dati dell’UE in modo tale da non asfissiare il potenziale innovativo delle Blockchain, ma allo stesso tempo garantire la protezione dei dati[14].

Dobbiamo essere disposti ad adeguare la legge al cambiamento tecnologico e ad accettare una maggiore interoperabilità tecno-legale. Ciò non significa che la protezione dei dati debba essere indebolita, ma piuttosto vale la pena esplorare se gli obiettivi del GDPR possono essere conseguiti attraverso mezzi diversi da quelli originariamente previsti. Le autorità di regolamentazione dovranno dunque spingere gli sviluppatori delle tecnologie Blockchain a progettare i propri prodotti in conformità con questo importante obiettivo di politica pubblica.

 

[1]A. Bonaccorsi “Carrefour: il pollo Filiera Qualità tracciato con tecnologia blockchain”, disponibile qui: https://www.mark-up.it/carrefour-il-pollo-filiera-qualita-tracciato-con-tecnologia-blockchain/

[2]Si veda

[3]REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), disponibile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

[4]Per un approfondimento sul funzionamento della tecnologia blockchain si veda S. Cedrola “La tecnologia blockchain: caratteristiche e possibili applicazioni”, disponibile qui: https://www.iusinitinere.it/blockchain-caratteristiche-e-possibili-applicazioni-8228

[5]The European Union Blockchain Observatory and Forum “Blockchain and the GDPR”, disponibile qui: https://www.iusinitinere.it/wp/wp-content/uploads/2018/10/20181016_report_gdpr.pdf

[6]Per un approfondimento si veda: Next generation currency “Permissionless v Permissioned”, disponibile qui:

[7]Articolo 5 del GDPR. Si veda A. Rovesti “Data protection by design e by default”, disponibile qui: https://www.iusinitinere.it/data-protection-by-design-e-by-default-9909

[8]Si veda CNIL, September 2018 “Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles?”, disponibile qui: https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-presence-de-donnees-personnelles

[9]Già nel 2014, nell’Opinion 05/2014 (WP 216), il Gruppo di lavoro comune delle Autorità garanti degli Stati membri, abbreviato in Gruppo articolo 29 (WP29), aveva fornito elementi per differenziare i dati anonimi dai dati pseudonimi (la “pseudonimizzazione” consiste nel “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” – art. 4 n. 5).

[10]CNIL, September 2018 “Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles?”v. supra nota n. 8

[11]A. Rutjes, “Better safe than sorry”, disponibile qui:

[12]The European Union Blockchain Observatory and Forum “Blockchain and the GDPR”v. supra nota n. 5

[13]Si veda https://z.cash/technology/zksnarks/

[14]Si veda anche M. Finck “Blockchains and Data Protection in the European Union”, disponibile qui: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3080322 

Arianna Valeriani

Laureata in Giurisprudenza presso l'Université Paris I Panthéon-Sorbonne, con specializzazione in diritto pubblico, con il massimo dei voti. Dopo aver integrato la sua formazione, come Visiting Student, presso l'Università di Cambridge e l'Università della California Los Angeles (UCLA), continua i suoi studi presso l'Université Paris I Panthéon-Sorbonne, conseguendo un Master di primo livello in Diritto Internazionale. Particolarmente interessata all'applicazione del diritto nell'era digitale, si candida ed è ammessa  all'edizione 2018-2019 del LL.M in Law of Internet Technology, presso l'Università Commerciale Luigi Bocconi di Milano. La sua formazione le permette di avere una conoscenza livello madrelingua della lingua francese e inglese, oltre ad una buona padronanza della lingua spagnola.

Lascia un commento