Le tecnologie Blockchain stanno rompendo molti schemi, soprattutto quelle di natura pubblica su cui si basa per esempio la circolazione delle criptovalute bitcoin ed ethereum, ed introducono nuovi paradigmi compresi quelli di natura legale. In quest’ottica, diventa interessante capire il binomio Blockchain e GDPR, ossia come la Blockchain potrà supportare e rispettare le regole sulla protezione dei dati personali introdotte dal GDPR.

Stando alle previsioni annunciate all’ultimo World Economic Forum, entro il 2025 ben il 10% del PIL del mondo sarà prodotto da attività e servizi che saranno erogati e distribuiti attraverso le tecnologie Blockchain. Uno scenario che dovrà tuttavia “fare i conti” con le normative, prima fra tutte il GDPR (il regolamento generale europeo sulla protezione dei dati).

Aggiornamento: 9 luglio 2018

GDPR: gli impatti sulla Blockchain

Il nuovo regolamento avrà impatti significativi in tre ambiti particolari della Blockchain:

1) i dati archiviati in una Blockchain sono a prova di manomissione, quindi la loro cancellazione non sarà possibile una volta che tali dati verranno immessi nella catena distribuita;

2) le Blockchain sono distribuite quindi nemmeno il controllo sui dati può essere centralizzato ed è demandato a tutti i partecipanti alla Blockchain (al più ai miners, che comunque non possono essere considerati dei Data Protection Officer come richiesto da GDPR);

3) gli Smart Contract “cadranno” sotto l’egida del processo decisionale automatizzato aprendo quindi criticità non banali sul fronte delle impugnazioni e contestazioni.

In linea generale, ciò che va a “scontrarsi” con il GDPR sono due dei principi su cui si sono costruiti fino ad oggi il valore ed il potere Blockchain:

– i dati inseriti nelle Blockchain sono pubblici e accessibili da chiunque partecipi alla catena;

– i dati presenti nelle Blockchain sono conservati illimitatamente (a garanzia e tute dell’intero registro distribuito)

Sarà quindi necessario capire, da un lato, come la protezione dei dati personali, in generale, potrà conciliarsi con un sistema all’interno del quale confluiscono enormi quantità di dati, dall’altro, come rispettare le regole sul tempo di conservazione dei dati all’interno di un sistema che ne prevede un’archiviazione a tempo indeterminato.

Tuttavia, accanto a queste innegabili sfide, il binomio Blockchain e GDPR potrebbe in realtà offrire anche interessanti opportunità, per esempio dal punto di vista della cosiddetta “security by design” garantendo pseudonimizzazione (disaccoppiamento dei dati dall’identità individuale) e la minimizzazione dei dati (condividendo solo i punti dati assolutamente necessari). Questo perché in una Blockchain la protezione dei dati viene assicurata da:

– la chiave pubblica del mittente della transazione;

– la chiave pubblica del destinatario della transazione;

– un hash crittografico del contenuto della transazione (che potrebbe essere dato da qualsiasi cosa: un certificato di nascita, un diploma accademico, un copyright, un capo di abbigliamento, una valuta, una quantità di metallo prezioso, ecc.);

– la data e l’ora della transazione.

È impossibile ricostruire il contenuto di una transazione dall’hash crittografico monodirezionale. E a meno che una delle parti della transazione non decida di collegare una chiave pubblica a un’identità conosciuta, non è possibile mappare e collegare le transazioni a singoli individui o organizzazioni. Ciò significa che anche se la Blockchain è “pubblica” (dove chiunque può vedere tutte le transazioni su di essa), nessuna informazione personale viene resa pubblica.

GDPR: la protezione dei dati

Il GDPR è stato fortemente voluto dal legislatore europeo per “mettere un freno” all’utilizzo indiscriminato dei dati degli utenti su web, app e social media da parte delle web e media company che sulla profilazione degli utenti stanno cercando di costruire il proprio vantaggio competitivo.

Il cuore del GDPR è la protezione dei dati delle persone, in altre parole degli individui cui appartengono tali dati. In modo molto sintetico, questo è quanto introduce il GDPR sul tema:

Art. 12: le persone hanno il diritto di chiedere e avere risposte sull’uso che un’azienda farà dei propri dati e a chiedere un risarcimento qualora queste domande non abbiano risposte chiare, concise e tempestive;

Artt. 13 e 14: gli utenti hanno il diritto di sapere come verranno utilizzati i dati personali al momento della loro raccolta/richiesta e di sapere per quanto tempo saranno conservati;

Art. 15: gli utenti hanno il diritto di sapere e accedere ai dati personali che vengono elaborati/processati da chi ne ha chiesto il consenso;

Art. 16: le persone possono rettificare e modificare i propri dati personali (+ Art. 19: chi raccoglie i dati deve informare anche le “terze parti” ammesse ad utilizzarli per interrompere l’uso dei dati rettificati o cancellati);

Art. 17: gli utenti hanno il diritto di chiedere (e ottenere) la cancellazione dei propri dati personali quando non sono più necessari agli scopi per i quali erano stati raccolti;

Art. 18: le persone possono limitare il trattamento dei propri dati (quando risultano inesatti, quando sono stati raccolti illegalmente o non seguendo le procedure giuridiche…);

Art. 20: gli utenti hanno diritto a ricedere i propri dati personali in un formato strutturato e comunemente usato in modo che possano essere letti facilmente da una qualsiasi macchina (Pc, smartphone, app, ecc.);

Art. 21: le persone hanno il diritto di opporsi all’utilizzo dei propri dati per profilazione o commercializzazione e devono essere messe nelle condizioni di poter dire di no.

Ad una primissima analisi potremmo dire che, stando alle regole che abbiamo qui sopra riassunto rapidamente, il GDPR può essere “eletto” quasi a “Carta dei diritti digitali” delle persone.

Blockchain: data protection by design

Se partiamo dall’assunto che, in generale, le Blockchain si concentrano principalmente sulla protezione dell’identità più che sui dati ad essa associati, il parallelismo con la “Carta dei diritti digitali” delle persone appare evidente, dato che, come accennato nel capitolo precedente, il GDPR nasce come volontà di restituire alle persone (in una Blockchain diremmo quindi l’identità) il “potere” sui propri dati personali.

In linea di principio, attraverso la Blockchain un utente è sempre in grado di controllare i propri dati personali, anzi, è l’unico a sapere a che informazioni corrisponde la propria chiave pubblica.

La Blockchain, vista dalla prospettiva della protezione dei dati personali degli utenti adotta un approccio che potremmo chiamare “data protection by design”. Questo perché:

1) le Blockchain sono decentralizzate e distribuite e questo rende molto più difficile che un attacco di cybercrime possa andare a buon fine: oggi le aziende o gli enti pubblici a cui concediamo il trattamento dei nostri dati personali sono realtà centralizzate (spesso sotto attacco dai cybercriminali);

2) le Blockchain sono pubbliche e trasparenti per l’utente: le informazioni sulle transazioni sono pubbliche ma l’identità ed i dati personali sono “mascherati” da una chiave pubblica il cui contenuto è noto solo al diretto interessato (cioè il proprietario di quei dati); con i sistemi attuali, una volta che una persona concede il consenso al trattamento dei propri dati personali, di fatto, non ha il controllo su ciò che succede dopo e su come effettivamente vengano utilizzati ed elaborati i propri dati; con le Blockchain, invece, è possibile tracciare lungo tutta la catena distribuita dove sono e come sono usati le informazioni oggetto di una transazione;

3) le Blockchain fanno un ampio uso della crittografia (firme digitali, crittografia dei dati, marcatura temporale) e sfruttano il meccanismo degli incentivi (ricompense ai miners, coloro che “controllano” il funzionamento corretto della Blockchain e delle transazioni che avvengono su di essa) garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni (compresi dunque i dati personali).

GDPR e Blockchain: le “questioni legislative” aperte

Sebbene come abbiamo potuto analizzare nel capitolo precedente la Blockchain si presta ad essere una grande opportunità per la protezione dei dati personali, rimangono aperte ancora diverse questioni legislative perché il GDPR introduce alcune regole che non sempre potrebbero essere rispettate dalle Blockchain (molto dipenderà da come saranno progettate):

1) Il GDPR introduce la figura del DPO – Data Protection Officer, una persona esperta di legislazione e pratiche relative alla protezione dei dati che deve assistere colui che li controlla o li gestisce al fine di verificare l’osservanza interna al regolamento. Il DPO dev’essere una persona con una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei cyberattacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l’elaborazione di dati personali e sensibili.

In una Blockchain, chi è il responsabile del trattamento dei dati personali? Nel GDPR, il responsabile del trattamento determina le finalità e i mezzi del trattamento dei dati personali. Può esistere una simile entità nel contesto di una Blockchain distribuita?

2) In caso di controversie, quali leggi devono essere applicate e di chi è la giurisdizione? In situazioni in cui non è possibile identificare l’entità di elaborazione dei dati personali e il luogo in cui i dati vengono elaborati (probabilmente ci sono tante di queste entità e luoghi quanti sono i nodi di rete), è difficile individuare la giurisdizione cui dovrebbe competere una eventuale valutazione legale del trattamento dei dati (ossia, in parole semplici, la legge nazionale applicabile).

3) In un contesto Blockchain cosa può essere riconosciuto come dato personale? Come abbiamo visto l’identità di un utente (e quindi i suoi dati sensibili) sono protetti da un codice che rappresenta la chiave pubblica per aderire alla rete distribuita. Da un punto di vista normativo dovremmo però chiederci cosa costituisce “dato personale” in un contesto Blockchain: le chiavi pubbliche devono essere considerati dati personali? Sebbene una chiave pubblica figuri come dato pseudonimizzato, queste non rappresentano dati anonimi e molto spesso sono associate a persone fisiche specifiche.

4) La Blockchain limita lo scopo della raccolta e dell’elaborazione dei dati e la loro minimizzazione? In una Blockchain (specialmente se pubblica) i dati vengono mantenuti su ogni nodo della rete -pubblicamente accessibile a chiunque – indipendentemente dallo scopo originale per cui quei dati sono stati immessi ed elaborati nella Blockchain. Come si inserisce questa caratteristica tipica della Blockchain in un contesto normativo che prevede che gli scopi specifici per i quali i dati personali sono trattati devono essere specificati, espliciti e legittimi (limitazione delle finalità), e che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati (riduzione dei dati)?

5) Le Blockchain sono praticamente non modificabili e i dati in esse contenuti sono spesso impossibili da aggiornare, eliminare, modificare o correggere. Come si riesce a dare seguito al cosiddetto “diritto all’oblio” in una Blockchain?

GDPR e Blockchain, il contrasto “di diritto”

Riassumendo brevemente ciò che caratterizza il GDPR sono tre parole chiave, centralizzazione, limitazione e rimovibilità (cancellazione) che vanno in netto contrasto con le parole chiave che, al contrario, caratterizzano la Blockchain, ossia decentralizzazione, distribuzione e immutabilità.

Come abbiamo spiegato nei paragrafi precedenti, il GDPR conferisce ai residenti dell’UE diritti esecutivi in ​​relazione ai propri dati personali, tra cui:

• il diritto alla cancellazione dei dati personali quando i dati personali non sono più necessari per lo scopo per il quale sono stati raccolti, quando la persona ritira il consenso o quando il trattamento continuato dei dati è illegale;
• il diritto di richiedere la correzione di dati errati;
• il diritto di limitare l’elaborazione dei dati quando viene contestata l’accuratezza dei dati, quando l’elaborazione non è più necessaria o quando i singoli oggetti.

Questi diritti sono comprensibili nel contesto di un database centralizzato controllato da un singolo controller di dati con un insieme finito di processori. Ma quanto si collegano alla tecnologia di ledger distribuito?

Alcune possibili soluzioni alla “convivenza” Blockchain e GDPR

Il tema Blockchain e GDPR troverà senz’altro ancora molto spazio di dibattito tra tecnici e legislatori. Nel frattempo, le possibili soluzioni che ne permettono una sorta di “convivenza” potrebbero essere le seguenti:

1) STOCCAGGIO FUORI DALLA CATENA

Una opzione potrebbe essere quella di memorizzare i dati personali al di fuori della blockchain e memorizzare solo un riferimento (collegamento) ai dati  sulla blockchain (un hash dei dati). Ciò consentirebbe la rimozione dei dati personali senza rompere la blockchain. va però sottolineato che, questo approccio,  farebbe venire meno molti dei vantaggi della tecnologia di ledger distribuito, come la sicurezza e la resilienza attraverso la ridondanza.

2) DISTRUZIONE DELLE CHIAVI CRITTOGRAFICHE 

Come debba avvenire la cancellazione dei dati non è un tema preso in esame dal GDPR. La normativa, si limita a dire che le persone possono chiedere la cancellazione dei propri dati, ma poi come questa debba avvenire non è specificato. Secondo Greg McMullen della Interplanetary Database Foundation, per poter aderire alla richiesta di un utente che nella Blockchain ha inserito dati personali di cui vuole chiedere la cancellazione, la distruzione della chiave crittografica potrebbe essere una delle soluzioni possibili (sempre che la distruzione venga eseguita in conformità con le migliori pratiche e in modo verificabile). Secondo gli esperti, dovremo però aspettare alcune decisioni delle autorità per la protezione dei dati per vedere se questa visione potrà essere accettata e discussa in futuro.

Meglio prevenire che curare

Nonostante le sfide legate principalmente a immutabilità e replicazione siano indubbiamente delicate e sarà necessario attendere le interpretazioni del legislatore europeo per avere un quadro di diritto completo, ad oggi ci sono delle possibili “vie” di prevenzione, ossia di applicabilità della blockchain in conformità a quanto stabilito dal GDPR.

Alcuni interessanti spunti li offre Arne Rutjes, Blockchain Practice Lead Europe, IBM Client Innovation Center, in un articolo pubblicato su LinkedIn Pulse: «la blockchain in realtà può giocare un ruolo fondamentale e proattivo del GDPR stesso, proprio a causa delle caratteristiche di immutabilità e replicazione. Progettato nel modo giusto, garantisce la necessaria trasparenza e controllo sui dati personali», è l’opinione di Rutjes.

Innanzitutto, va chiarito cosa si debba intendere per dato personale. È una definizione molto ampia (più ampia di quella a cui ci si è abituati con le leggi in vigore negli Stati Uniti) e tiene conto di tutte le informazioni che possono essere ricondotte a una persona. Per esempio nome e cognome ma anche indirizzo IP, targa di un veicolo, dati sulla posizione (quindi geolocalizzazione), ID di un dispositivo telefonico o di un wearable device, il conto bancario… o qualsiasi altra combinazione di “punti dati” che possono identificare nell’insieme un individuo.

In secondo luogo va fatta una precisazione sulla sicurezza crittografica: «la crittografia non libera persone ed aziende dalle proprie responsabilità sul controllo dei dati perché – per dirla senza mezzi termini – tutta la crittografia può essere violata», avverte Rutjes. «Questo vale anche per gli hash crittografici che, nell’interpretazione del gruppo di lavoro di esperti tecnici dell’Unione Europea, è da considerarsi come dato personale. A mio avviso che un hash è una stringa di codice ben progettata è sufficientemente sicura e anonima dal mettere al riparo i dati personali di chi possiede le chiavi crittografiche; tuttavia, sarà la Corte di Giustizia Europea a doversi pronunciare in merito».

Per quanto riguarda i conflitti attorno alle caratteristiche uniche della blockchain, la soluzione è semplice, scrive Rutjes nel suo post: memorizzare i dati personali al di fuori della blockchain, ad esempio in un database privato. In generale, è buona norma limitare la quantità di informazioni condivise nel libro mastro; ancora di più con informazioni personali o comunque sensibili.

Qualora però si renda necessario (o si voglia) inserire nella blockchain anche dati personali, allora è fondamentale fare attenzione ad alcuni punti importanti:

1. limitare il numero di nodi che “vedono” le informazioni
2. usare la crittografia per aumentare la privacy e ridurre i rischi
3. pensare a una strategia che inizi con una whiteboard e che preveda le conseguenze ed i comportamenti (nel trattamento dei dati) una volta trascorso il periodo di archiviazione consentito dalla legge o che consideri una sorta di Piano B nel caso in cui la crittografia fosse interrotta (ad esempio, utilizzando gli snapshot periodici).