La normativa

Blockchain e diritto all’oblio, ecco le sfide della normativa

La blockchain apparentemente sembra essere una tecnologia non conforme al regolamento GDPR riguardo al diritto all’oblio. Tuttavia, analizzando il concetto di anonimizzazione e le sue applicazioni pratiche, emergono scenari interessanti per questa innovazione

Pubblicato il 09 Set 2019

Antonio Bello

Data Protection Specialist & Privacy Consultant

privacyGDPR

Diritto all’oblio e blokchain: da una prima analisi di uno dei principi cardine del GDPR, e volendolo proiettare nel quadro di una delle tecnologie emergenti potenzialmente più prolifere di questi ultimi anni, quella dei registri distribuiti, sembrerebbe improbabile la sua compliance al Regolamento. Tuttavia, alla luce della normativa, si sostiene la tesi che con le giuste procedure la blockchain possa essere conforme al regolamento, dal momento che la cancellazione di un dato non deve necessariamente essere messo alla stessa stregua di un’eliminazione.

La normativa: cancellazione ed eliminazione del dato

Nel GDPR il diritto all’oblio prevede che “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:[…][1]”. Ricordando l’impossibilità di garantire tale diritto nella tecnologia in esame e conducendo uno studio, anche non troppo analitico, del Regolamento, è possibile però notare l’assenza di una definizione di cancellazione.

Prendendo ora in considerazione l’art. 4, comma 2, che recita quanto segue: “Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” è facile intuire che, ai sensi del sopracitato articolo, cancellazione e distruzione dispongono di natura differente, volutamente distinta da parte del legislatore.

Il provvedimento del Garante austriaco

A dar manforte a questa tesi ci ha pensato il Garante austriaco, afferendo che la cancellazione di dati personali ” non richiede necessariamente una distruzione definitiva”. Tale ipotesi è stata esplicata “praticamente” nel dicembre 2018, in una sentenza che potrà avere risvolti decisivi negli anni a venire, al fine di una definitiva e corretta consacrazione della blockchain nel nostro continente. La sentenza in questione è la n. DSB D123.270 / 0009-DSB / 2018 e vedeva il ricorrente vantare il proprio diritto all’oblio nei confronti di una società trattante i propri dati personali, ponendo reclamo di fronte all’Autorità garante per la protezione dei dati.

Al fine di garantire tale diritto, i dati personali del denunciante erano stati sostituiti con un “cliente fittizio” da parte del resistente. Nella fase successiva, questo cliente fittizio è stato unito a un’altra voce non assegnabile, con la conseguenza che la cronologia delle modifiche apportate non potrà più essere ricostruita in modo sostenibile. Su richiesta dell’autorità per la protezione dei dati, il convenuto ha poi confermato che non vi siano più dati di registro assegnabili, dimostrandolo con schermate appropriate che sono state presentate anche al denunciante. Tale pratica però ricevette il diniego da parte del ricorrente che continuava a vantare il proprio diritto.

In risposta a ciò l’autorità garante si espresse partendo dal presupposto che la parte vincolante del GDPR non definisce il termine “anonimizzazione”, ma viene menzionata solo nel considerando 26 (senza darne ancora una volta una definizione), è corretto affermare che il GDPR non si applica ai dati resi anonimi, cioè alle informazioni “che non riguardano una persona fisica identificata o identificabile o ai dati personali resi anonimi in modo tale che l’interessato non sia più identificato o non più identificabile”. Conseguentemente, poiché il resistente aveva distrutto o oscurato tutti i dati personali del richiedente nel proprio sistema prima di portare a termine il presente procedimento, ha pienamente adempiuto alla richiesta di cancellazione del denunciante.

L’appello è stato quindi respinto in conformità alla domanda. Ovviamente, come spesso accade nella giurisprudenza, tale sentenza, per quanto abbia dato vita ad un precedente storico, non pone un veto sulla totalità dei casi a venire, che andranno valutati caso per caso. Difatti il Garante austriaco esplica che occorre garantire che né il titolare né i terzi possano ripristinare un riferimento personale senza sforzi sproporzionati. Solo se il titolare del trattamento aggrega i dati a un livello in cui i singoli eventi non sono più identificabili si può definire anonimo l’insieme di dati risultante.[2] Tale sentenza non deve trarre in confusione tra “anonimizzazione” e “pseudonominizzazione”. Quest’ultima, per quanto garantisca una buona pratica ai fini della sicurezza delle informazioni, non può essere equiparata alla prima, e non è pertanto da sola sufficiente per garantire il diritto alla cancellazione dei dati personali.

Il caso AOL

Un esempio tipico delle idee sbagliate che circondano la pseudonimizzazione è fornito dal noto “AOL (America On Line) incident”. Nel 2006, un database contenente venti milioni di parole chiave di ricerca, per oltre 650.000 utenti, in un lasso di tempo di tre mesi è stato reso pubblico, con l’unica misura di sicurezza per la privacy degli interessati consistente nella sostituzione dell’ID utente con un attributo numerico.

Ciò ha portato all’identificazione pubblica e alla localizzazione di alcuni utenti, poiché, stringhe di query del motore di ricerca pseudonimizzate, specialmente se associate ad altri attributi, come indirizzi IP o altri parametri di configurazione del client, sono soggette ad un altissimo rischio di identificazione.

Il parere del WP29

Ad esplicare cosa sia l’anonimizzazione e ad elargire le migliori pratiche per la sua messa in atto, ha provveduto il WP29 (Working Party), partendo da un’analisi giuridica concernente la legittimità del processo di anonimizzazione. Innanzitutto, l’anonimizzazione è una tecnica applicata ai dati personali al fine di ottenere risultati irreversibili di identificazione. Pertanto, l’assunto di partenza, è che i dati personali devono essere stati raccolti e trattati in conformità con la legislazione applicabile sulla conservazione dei dati in un formato identificabile. In questo contesto, il processo di anonimizzazione, che significa l’elaborazione di dati personali al fine di raggiungere il loro anonimato, è un esempio di “ulteriore trattamento”.

In quanto tale, questa elaborazione, deve soddisfare il test di compatibilità in conformità con le linee guida fornite dal Gruppo di lavoro nel suo parere del 03/2013 sulla limitazione delle finalità. Ciò significa che, in linea di principio, la base legale per l’anonimizzazione può essere trovata in uno qualsiasi dei motivi di cui all’articolo 7 (compreso l’interesse legittimo del titolare del trattamento), compresi i requisiti di qualità dei dati di cui all’articolo 6 della direttiva, che devono essere soddisfatti con debita attenzione alle circostanze specifiche e a tutti i fattori menzionati nel parere del Gruppo di lavoro sulla limitazione delle finalità”. Analizzando successivamente gli aspetti più tecnici afferenti l’anonimizzazione, il Gruppo di lavoro ha constatato che i rischi in questione sono:

  • l’individuazione;
  • la correlabilità;
  • la deduzione

ed ha evidenziato la possibilità di ricorrere a due macro ambiti di tecniche di anonimizzazione: la randomizzazione e la generalizzazione. La prima modifica la veridicità dei dati al fine di eliminare la forte correlazione esistente tra i dati e la persona (se i dati sono sufficientemente incerti non potranno più essere attribuiti alla persona). La seconda, invece, consiste nel generalizzare i dati dell’interessato modificandone la rispettiva scala (ad esempio uno Stato al posto di una città, un giorno al posto di un anno).Tale tecnica, però, per essere efficace necessita di approcci quantitativi specifici e artificiosi.

Riservatezza delle misure di sicurezza

Per quanto la ricerca in tale settore è e deve essere in continua evoluzione, ad oggi tali tecniche presentano comunque rischi residui, pertanto il titolare è tenuto a comunicare quelle che ha ritenuto più congeniali ai dati a sua disposizione, soprattutto se prevede di pubblicarli. Quest’ultima affermazione del WP29, per quanto sia corretta, risulta, così come scritta, non sufficientemente esaustiva.

Onde evitare fraintendimenti, la pratica più corretta sarebbe comunicare la tecnica di anonimizzazione utilizzata, qualora ce ne sia richiesta, all’autorità competente e all’interessato, utilizzando adeguate precauzioni ed avendo certezza dell’identità dell’interessato richiedente. Trattandosi di una misura di sicurezza, non è saggio darne pubblica notizia, poiché, tale informazione potrebbe facilitare l’operato di soggetti con intenzioni malevoli, con ripercussioni che potrebbero portare danni irreparabili, soprattutto se si effettuano trattamenti mediante nuove tecnologie come la blockchain.

Transazioni bancarie e criptomonete

Quanto alle transazioni bancarie, l’art 2 undicies del D.lgs 101/2018 recita: “i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto “agli interessi tutelati in base alle disposizioni in materia di riciclaggio; […] alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; […]”.

Motivo per cui, nell’attesa comunque di una normazione della blockchain e delle ICO (Initial Coin Offer), a cui stanno ad oggi lavorando 30 esperti accuratamente selezionati dal MISE, è logico affermare che tali trattamenti, riguardanti soprattutto il primo ambito di utilizzo di questa tecnologia, le criptomonete, non siano suscettibili di quanto disposto dall’art. 17 del GDPR.

Conclusioni

L’ultimo scoglio al suo concerto utilizzo è rappresentato da una limitazione tecnica. Infatti, la bassa disponibilità di memoria da parte di questo registro (circa 80 bytes per blocco), sufficientemente capiente per confermare una transazione bancaria o la registrazione di uno smart contract, non rende possibile la registrazione di file più pesanti, salvo che non si decida di incrementare notevolmente lo spazio di registrazione investendo somme decisamente ingenti.

La vera sfida, pertanto, consiste nella valutazione costi-benefici per l’utilizzo di questa tecnologia.

Note

  1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
    c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
    d) i dati personali sono stati trattati illecitamente;
    e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; (1)
    f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
  2. Con riferimento a quanto espresso dal WP29.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati