Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Blockchain e diritto all’oblio, ecco le sfide della normativa

La blockchain apparentemente sembra essere una tecnologia non conforme al regolamento GDPR riguardo al diritto all’oblio. Tuttavia, analizzando il concetto di anonimizzazione e le sue applicazioni pratiche, emergono scenari interessanti per questa innovazione

09 Set 2019

Antonio Bello

Data Protection Specialist & Privacy Consultant


Diritto all’oblio e blokchain: da una prima analisi di uno dei principi cardine del GDPR, e volendolo proiettare nel quadro di una delle tecnologie emergenti potenzialmente più prolifere di questi ultimi anni, quella dei registri distribuiti, sembrerebbe improbabile la sua compliance al Regolamento. Tuttavia, alla luce della normativa, si sostiene la tesi che con le giuste procedure la blockchain possa essere conforme al regolamento, dal momento che la cancellazione di un dato non deve necessariamente essere messo alla stessa stregua di un’eliminazione.

La normativa: cancellazione ed eliminazione del dato

Nel GDPR il diritto all’oblio prevede che “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:[…][1]”. Ricordando l’impossibilità di garantire tale diritto nella tecnologia in esame e conducendo uno studio, anche non troppo analitico, del Regolamento, è possibile però notare l’assenza di una definizione di cancellazione.

Prendendo ora in considerazione l’art. 4, comma 2, che recita quanto segue: “Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” è facile intuire che, ai sensi del sopracitato articolo, cancellazione e distruzione dispongono di natura differente, volutamente distinta da parte del legislatore.

Il provvedimento del Garante austriaco

A dar manforte a questa tesi ci ha pensato il Garante austriaco, afferendo che la cancellazione di dati personali ” non richiede necessariamente una distruzione definitiva”. Tale ipotesi è stata esplicata “praticamente” nel dicembre 2018, in una sentenza che potrà avere risvolti decisivi negli anni a venire, al fine di una definitiva e corretta consacrazione della blockchain nel nostro continente. La sentenza in questione è la n. DSB D123.270 / 0009-DSB / 2018 e vedeva il ricorrente vantare il proprio diritto all’oblio nei confronti di una società trattante i propri dati personali, ponendo reclamo di fronte all’Autorità garante per la protezione dei dati.

Al fine di garantire tale diritto, i dati personali del denunciante erano stati sostituiti con un “cliente fittizio” da parte del resistente. Nella fase successiva, questo cliente fittizio è stato unito a un’altra voce non assegnabile, con la conseguenza che la cronologia delle modifiche apportate non potrà più essere ricostruita in modo sostenibile. Su richiesta dell’autorità per la protezione dei dati, il convenuto ha poi confermato che non vi siano più dati di registro assegnabili, dimostrandolo con schermate appropriate che sono state presentate anche al denunciante. Tale pratica però ricevette il diniego da parte del ricorrente che continuava a vantare il proprio diritto.

In risposta a ciò l’autorità garante si espresse partendo dal presupposto che la parte vincolante del GDPR non definisce il termine “anonimizzazione”, ma viene menzionata solo nel considerando 26 (senza darne ancora una volta una definizione), è corretto affermare che il GDPR non si applica ai dati resi anonimi, cioè alle informazioni “che non riguardano una persona fisica identificata o identificabile o ai dati personali resi anonimi in modo tale che l’interessato non sia più identificato o non più identificabile”. Conseguentemente, poiché il resistente aveva distrutto o oscurato tutti i dati personali del richiedente nel proprio sistema prima di portare a termine il presente procedimento, ha pienamente adempiuto alla richiesta di cancellazione del denunciante.

L’appello è stato quindi respinto in conformità alla domanda. Ovviamente, come spesso accade nella giurisprudenza, tale sentenza, per quanto abbia dato vita ad un precedente storico, non pone un veto sulla totalità dei casi a venire, che andranno valutati caso per caso. Difatti il Garante austriaco esplica che occorre garantire che né il titolare né i terzi possano ripristinare un riferimento personale senza sforzi sproporzionati. Solo se il titolare del trattamento aggrega i dati a un livello in cui i singoli eventi non sono più identificabili si può definire anonimo l’insieme di dati risultante.[2] Tale sentenza non deve trarre in confusione tra “anonimizzazione” e “pseudonominizzazione”. Quest’ultima, per quanto garantisca una buona pratica ai fini della sicurezza delle informazioni, non può essere equiparata alla prima, e non è pertanto da sola sufficiente per garantire il diritto alla cancellazione dei dati personali.

Il caso AOL

Un esempio tipico delle idee sbagliate che circondano la pseudonimizzazione è fornito dal noto “AOL (America On Line) incident”. Nel 2006, un database contenente venti milioni di parole chiave di ricerca, per oltre 650.000 utenti, in un lasso di tempo di tre mesi è stato reso pubblico, con l’unica misura di sicurezza per la privacy degli interessati consistente nella sostituzione dell’ID utente con un attributo numerico.

Ciò ha portato all’identificazione pubblica e alla localizzazione di alcuni utenti, poiché, stringhe di query del motore di ricerca pseudonimizzate, specialmente se associate ad altri attributi, come indirizzi IP o altri parametri di configurazione del client, sono soggette ad un altissimo rischio di identificazione.

Il parere del WP29

Ad esplicare cosa sia l’anonimizzazione e ad elargire le migliori pratiche per la sua messa in atto, ha provveduto il WP29 (Working Party), partendo da un’analisi giuridica concernente la legittimità del processo di anonimizzazione. Innanzitutto, l’anonimizzazione è una tecnica applicata ai dati personali al fine di ottenere risultati irreversibili di identificazione. Pertanto, l’assunto di partenza, è che i dati personali devono essere stati raccolti e trattati in conformità con la legislazione applicabile sulla conservazione dei dati in un formato identificabile. In questo contesto, il processo di anonimizzazione, che significa l’elaborazione di dati personali al fine di raggiungere il loro anonimato, è un esempio di “ulteriore trattamento”.

In quanto tale, questa elaborazione, deve soddisfare il test di compatibilità in conformità con le linee guida fornite dal Gruppo di lavoro nel suo parere del 03/2013 sulla limitazione delle finalità. Ciò significa che, in linea di principio, la base legale per l’anonimizzazione può essere trovata in uno qualsiasi dei motivi di cui all’articolo 7 (compreso l’interesse legittimo del titolare del trattamento), compresi i requisiti di qualità dei dati di cui all’articolo 6 della direttiva, che devono essere soddisfatti con debita attenzione alle circostanze specifiche e a tutti i fattori menzionati nel parere del Gruppo di lavoro sulla limitazione delle finalità”. Analizzando successivamente gli aspetti più tecnici afferenti l’anonimizzazione, il Gruppo di lavoro ha constatato che i rischi in questione sono:

  • l’individuazione;
  • la correlabilità;
  • la deduzione

ed ha evidenziato la possibilità di ricorrere a due macro ambiti di tecniche di anonimizzazione: la randomizzazione e la generalizzazione. La prima modifica la veridicità dei dati al fine di eliminare la forte correlazione esistente tra i dati e la persona (se i dati sono sufficientemente incerti non potranno più essere attribuiti alla persona). La seconda, invece, consiste nel generalizzare i dati dell’interessato modificandone la rispettiva scala (ad esempio uno Stato al posto di una città, un giorno al posto di un anno).Tale tecnica, però, per essere efficace necessita di approcci quantitativi specifici e artificiosi.

Riservatezza delle misure di sicurezza

Per quanto la ricerca in tale settore è e deve essere in continua evoluzione, ad oggi tali tecniche presentano comunque rischi residui, pertanto il titolare è tenuto a comunicare quelle che ha ritenuto più congeniali ai dati a sua disposizione, soprattutto se prevede di pubblicarli. Quest’ultima affermazione del WP29, per quanto sia corretta, risulta, così come scritta, non sufficientemente esaustiva.

Onde evitare fraintendimenti, la pratica più corretta sarebbe comunicare la tecnica di anonimizzazione utilizzata, qualora ce ne sia richiesta, all’autorità competente e all’interessato, utilizzando adeguate precauzioni ed avendo certezza dell’identità dell’interessato richiedente. Trattandosi di una misura di sicurezza, non è saggio darne pubblica notizia, poiché, tale informazione potrebbe facilitare l’operato di soggetti con intenzioni malevoli, con ripercussioni che potrebbero portare danni irreparabili, soprattutto se si effettuano trattamenti mediante nuove tecnologie come la blockchain.

Transazioni bancarie e criptomonete

Quanto alle transazioni bancarie, l’art 2 undicies del D.lgs 101/2018 recita: “i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto “agli interessi tutelati in base alle disposizioni in materia di riciclaggio; […] alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; […]”.

Motivo per cui, nell’attesa comunque di una normazione della blockchain e delle ICO (Initial Coin Offer), a cui stanno ad oggi lavorando 30 esperti accuratamente selezionati dal MISE, è logico affermare che tali trattamenti, riguardanti soprattutto il primo ambito di utilizzo di questa tecnologia, le criptomonete, non siano suscettibili di quanto disposto dall’art. 17 del GDPR.

Conclusioni

L’ultimo scoglio al suo concerto utilizzo è rappresentato da una limitazione tecnica. Infatti, la bassa disponibilità di memoria da parte di questo registro (circa 80 bytes per blocco), sufficientemente capiente per confermare una transazione bancaria o la registrazione di uno smart contract, non rende possibile la registrazione di file più pesanti, salvo che non si decida di incrementare notevolmente lo spazio di registrazione investendo somme decisamente ingenti.

La vera sfida, pertanto, consiste nella valutazione costi-benefici per l’utilizzo di questa tecnologia.

Note

  1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
    c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
    d) i dati personali sono stati trattati illecitamente;
    e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; (1)
    f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
  2. Con riferimento a quanto espresso dal WP29.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4