Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

trattamento dati

Blockchain e privacy: soluzioni per la compliance alle norme

Un corretto trattamento dei dati personali su blockchain sulla base dei dettami del Gdpr e delle normative nazionali è possibile, nonostante le peculiarità intrinseche della tecnologia come la non modificabilità dei dati. Rilevante il parere del Garante francese CNIL. Vediamo tutte le indicazioni

15 Mag 2019

Antonio Bello

Data Protection Specialist & Privacy Consultant


E’ sempre più necessario interrogarsi sulla compatibilità tra blockchain e norme privacy. Prima fra tutti il Gdpr.

Il rapporto tra Gdpr e Blockchain è cruciale dal momento che da più parti questa tecnologia viene indicata come la Rivoluzione industriale del XXI secolo, sia per i potenziali guadagni, che per le ingenti spese da sostenere per la sua adozione (senza distinzione tra aziende altamente strutturate, come Microsoft e IBM e colossi del settore bancario, come Unicredit e Banca Intesa).

La casistica preponderante ha fin qui sottolineato, a ragion veduta, prevalentemente le peculiarità positive della blockchain, senza dare adeguato adito all’impatto che potrebbe avere sui “diritti degli interessati” in virtù delle recenti evoluzioni normative, in Europa e non.

Le principali qualità inerenti la blockchain, come condiviso dalla “public opinion”, risultano essere (prevalentemente):

  • Verificabilità;
  • Non modificabilità;
  • Decentralizzazione;
  • Sicurezza.

La sicurezza della blockchain

Per quanto la blockchain dia garanzie decisamente al di sopra della media, bisogna partire dal presupposto che, nel quadro dei sistemi di sicurezza, non esistono garanzie totali.

Non sono più isolati, infatti, gli episodi di hackeraggio ai danni degli Exchange Coin-to-Coin (attività aventi come finalità lo scambio di criptovalute).

Esempio lampante è il caso “Criptopya” nota blockchain pubblica finalizzata all’exchange, che si è vista sottrarre fraudolentemente nel 2018 ben 16 milioni di dollari suddivisi in Ether, Dentacoin e token.

La sproporzione di questa cifra è data dal cyber-attacco a decine di migliaia di wallet (conti di criptomonete) appartenenti a utenti differenti, e ciò lascia intuire il probabile furto delle chiavi private.

Ad eccezione dell’utilizzo di un hardware wallet, che necessita di un accesso fisico per essere violato, le chiavi private necessarie per accedere ai wallet possono essere soggette ad attacchi, soprattutto phishing, alla stregua delle altre password.

L’adeguamento della blockchain alla privacy (GDPR)

In merito all’adeguamento della blockchain al Regolamento UE 2016/679, lo scoglio apparentemente insormontabile è garantire i diritti dell’interessato, disciplinati al capo III, negli artt. 12 – 23 del Regolamento in oggetto.

In particolar modo la peculiarità intrinseca della blockchain della non modificabilità e cancellazione risulta essere in forte contrasto con il più noto (per il clamore datogli post GDPR) “diritto all’oblio” sancito nell’art. 17 del GDPR.

A dar manforte a un’auspicabile conformità, sono state le parole del professor Christopher Millard, della “Queen Mary University” di Londra[1], il quale ha dichiarato: “La blockchain non è affatto la prima tecnologia emergente ad essere etichettata come incompatibile con la privacy e gli altri principi giuridici fondamentali. Le applicazioni blockchain potrebbero essere dirompenti, ma ciò non significa che non possano essere progettate e implementate in modo conforme alla legge”.

Secondo lo studio condotto dall’università londinese, sarebbe ipotizzabile una blockchain compliance al GDPR mediante la crittografia dei dati personali e la successiva eliminazione delle corrispettive chiavi decrittografiche, lasciando su blockchain solo i dati indecifrabili o mediante l’uso dei cosiddetti modelli di memoria “fuori catena”.

Diritto all’oblio, quattro scenari di blockchain compliance

Ipotizzando di dover registrare su di una blockchain un documento avente dati personali, avendo premura di voler dimostrare la data esatta di registrazione, sono di seguito riportante quattro soluzioni, ipoteticamente compliance al Regolamento:

  • prendendo in esame l’art. 17, comma 3 del GDPR si evince che il diritto all’oblio non può essere concesso indistintamente[2], motivo per cui potrebbe non costituire un problema la registrazione del documento su blockchain nella casistica enunciata dal suddetto articolo (ovviamente tale ipotesi concerne circostanze estremamente ridotte e che andranno verificate caso per caso).
  • l’utilizzo di una blockchain a chiave privata, invece che pubblica (ma, in tal modo, verrebbe meno l’essenza della blockchain, che perderebbe una delle sue qualità di spicco);
  • registrare su blockchain solo un “collegamento”, ossia lasciare il dato vero e proprio al di fuori del libro mastro (ovviamente su un server del titolare) e caricare sulla catena un collegamento datato che rimandi al documento, magari allegando anche uno screenshot del documento fuori blockchain limitatamente alla sua data di creazione. Anche questa ipotesi risulta però riduttiva poiché il documento perderebbe la sicurezza e l’immodificabilità tipica della blockchain;
  • l’ipotesi apparentemente più accreditata, infine, potrebbe essere quella di garantire il diritto all’oblio mediante una corretta anonimizzazione, registrando quindi il documento dopo aver anonimizzato tutto ciò che possa rendere l’interessato “identificato o identificabile”.

Il parere della CNIL

Restando nel quadro di un corretto trattamento dei dati personali su blockchain, deve essere considerato rilevante il parere, espresso lo scorso settembre, dalla CNIL (Commission nationale de l’informatique et des libertés), Autorità francese avente il compito di garantire il rispetto e la tutela della protezione dei dati personali all’interno del proprio paese, ad oggi modello degno di emulazione per tutta l’Unione, che ha consigliato quanto segue.

Definizione dei ruoli (titolare e responsabile del trattamento)

Il modello di governance dei dati decentralizzato della tecnologia Blockchain e la molteplicità degli attori coinvolti nel trattamento dei dati rendono più ostica la definizione dei ruoli di ciascuno.

La CNIL rileva, tuttavia, che i partecipanti, che hanno il diritto di scrivere sul canale e che decidono di inviare dati alla convalida dei minatori, possono essere considerati titolari del trattamento, in quanto determinano le finalità (gli obiettivi perseguiti dal trattamento) e i mezzi implementati (formato dei dati, utilizzo della tecnologia Blockchain, ecc.). Più specificamente, la CNIL è del parere che il partecipante è titolare del trattamento:

  • quando è una persona fisica e il trattamento di dati personali è collegato a un’attività professionale o commerciale;
  • quando è una persona giuridica e che inserisce dati personali su blockchain.

È opportuno sottolineare che, qualora un gruppo di partecipanti decida di attuare un trattamento con uno scopo comune, il titolare sia identificato in via preliminare tra loro. In caso contrario, tutti i partecipanti dovrebbero essere considerati come contitolari del trattamento (ex art. 26 GDPR), e dovranno pertanto definire, in modo trasparente, gli obblighi in capo ad ognuno di loro, afferenti il Regolamento.

Al fine di fare chiarezza, sicuramente non possono essere ritenuti titolari:

  • i minatori, in quanto il loro operato è circoscritto alla convalida delle transazioni, senza avere voce in merito all’oggetto di queste transazioni, non determinando né le finalità né i mezzi da attuare;
  • e le persone fisiche che immettono dati personali nella blockchain, al di fuori da un’attività professionale o commerciale (cioè quando l’attività è esclusivamente personale).

Quanto alla figura del responsabile del trattamento andrebbero nominati come tali :

  • gli sviluppatori degli Smart Contracts, in quanto trattano i dati personali per conto del titolare;
  • i minatori, poiché eseguono le istruzioni del titolare quando verificano che la transazione soddisfi i criteri tecnici.

Entrambi dovrebbero quindi definire, con il titolare del trattamento, un contratto che specifichi gli obblighi di entrambe le parti e che incorpori le disposizioni dell’articolo 28 del GDPR.

I rischi della blockchain

Le caratteristiche della blockchain non sono prive di impatto sul rispetto degli obblighi derivanti dal GDPR. Ad esempio per quanto riguarda l’ambito degli obblighi di Privacy by Design (articolo 25), il titolare del trattamento deve pensare, in via preliminare, alla pertinenza della scelta di questa tecnologia per l’attuazione del suo trattamento. Difatti qualsiasi transazione sulla blockchain implica:

  • l’invio di una richiesta a tutti i minatori blockchain per la convalida di una transazione (contenente potenzialmente dati personali);
  • un aggiornamento della blockchain aggiungendo il nuovo blocco nella catena di blocchi a tutti i partecipanti.

In aggiunta i partecipanti, siano essi minatori o meno, possono essere ubicati in paesi al di fuori dell’UE sollevando la questione della conformità con gli obblighi di trasferimento extra UE (capo V GDPR).

Identificabilità

Ciò che invece gioca sicuramente a vantaggio della blockchain è la non identificabilità degli attori coinvolti, in quanto ogni partecipante ha un identificativo costituito da una serie di caratteri alfanumerici apparentemente casuali che costituiscono la chiave pubblica dell’account del partecipante. A questa chiave pubblica segue una chiave privata il cui partecipante è l’unico ad averne conoscenza. Quanto ai dati aggiuntivi memorizzati sulla blockchain, nel caso in cui si tratti di dati personali, la CNIL ritiene che dovrebbero essere registrati preferibilmente in modalità crittografata.

Misure di sicurezza e diritto all’oblio

La CNIL ritiene tecnicamente impossibile concedere la richiesta di cancellazione dell’interessato quando i dati sono inseriti nella Blockchain, tuttavia, quando i dati sono inseriti mediante un’impronta digitale risultante da una funzione hash o una crittografia che utilizza algoritmo asimmetrico, il titolare può rendere il dato quasi inaccessibile, rasentando una vera e propria cancellazione dei dati.

Nel caso di Blockchain con permessi, la CNIL raccomanda che, a seconda della possibile divergenza o convergenza degli interessi degli attori partecipanti, sia impiegato un numero minimo di minatori al fine di garantire l’assenza di una coalizione che possa superare il 50% dei partecipanti ed avere, così, poteri decisionali sulla catena.

Accountability: Riservatezza Trasparenza

I dati possono essere eccezionalmente registrati sulla Blockchain sotto forma di un’impronta digitale tradizionale (senza chiave) o persino in chiaro se le finalità del trattamento lo giustificano e la valutazione d’impatto (DPIA), condotta preventivamente, ha dimostrato che i rischi residui sono accettabili. È il caso in cui un titolare del trattamento abbia l’obbligo giuridico di rendere pubbliche e/o accessibili determinate informazioni, senza alcuna limitazione di durata.

In questa particolare casistica, può essere prevista la conservazione di dati personali su una Blockchain pubblica, a condizione che la valutazione d’impatto abbia determinato che i rischi per gli interessati siano accettabili.

  1. Queen Mary University of London
  2. Art. 17, comma 3: I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
  3. a) per l’esercizio del diritto alla libertà di espressione e di informazione;b) per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

    e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4