Blockchain: compatibilità con il GDPR dell’aggiornamento dei dati e del diritto all’oblio

L’art. 16 e 17 del Regolamento europeo sembrerebbero difficilmente esercitabili e quindi non garantiti agli interessati. Ma è davvero così? [...]
Stefania Algerio

Studio Athena

  1. Home
  2. Esperti e Analisti
  3. Blockchain: compatibilità con il GDPR dell’aggiornamento dei dati e del diritto all’oblio

La blockchain, o forse sarebbe più corretto dire le blockchain poiché ne esistono di diversi tipi, sono al centro del dibattito di quanti, pur vedendo in quest’applicazione enormi possibilità di sviluppo economico, sociale e finanziario, sollevano dubbi e perplessità in merito alla conformità con il quadro normativo europeo sulla protezione dei dati personali. Ci si chiede se blockchain e privacy possano andare d’accordo.

La blockchain è un database digitale condiviso e sincronizzato gestito da un file algoritmo di consenso e archiviato su più nodi[1]. Appartiene alla categoria delle tecnologie Distributed Ledger (registri distribuiti). Esistono due principali tipi di blockchain: pubblica (blockchain premissioneless) in cui ciascuno, contribuisce all’aggiornamento dei dati sul registro, ciascun partecipante possiede le copie di tutte le copie, non modificabili di tutte le operazioni; e blockchain privata (blockchain permissioned), in cui ci sono uno o più soggetti che autorizzano i partecipanti e cha validano i blocchi, determinando le regole per l’accesso ai dati.

Ciò che rende così importante questa tecnologia è che crea degli asset digitali unici. Infatti, il suo funzionamento prevede che i partecipanti alla blockchain (nodi) ricevano contemporaneamente un insieme di dati (transazioni) che sono validati, approvati e archiviati da ciascun partecipante tramite un algoritmo digitale (hash). Al termine di questo processo l’insieme di dati è definito blocco. I dati presenti nel blocco non sono modificabili. Le successive transazioni vanno a creare un nuovo blocco che in questo caso si aggiunge al precedente creando la famosa catena a blocchi che caratterizza la blockchain.

La tecnologia blockchain si basa su una doppia combinazione tra firma digitale e marca temporale (Timestamp). La firma digitale consente l’identificazione univoca del mittente o destinatario di messaggi, la marca temporale consente che al messaggio sia attribuita data certa. Ciò implica l’individuazione certa dei soggetti che hanno accesso ai dati e la certezza che i dati sono non modificabili (integrità).

Blockchain e privacy

L’espandersi rapidissimo di questa tecnologia e le potenziali applicazioni della stessa hanno aperto un dibattito su quanto, le sue caratteristiche, siano compatibili con la vigente normativa privacy. Blockchain e privacy, quindi, sono coniugabili? Nel 2019 l’EPRS (European Parliament Research Service) ha prodotto uno studio dal titolo “Blockchain and the General Data Protection Regulation”. Nel premettere che l’analisi non può essere generalizzata, ma che ciascuna tipologia di blockchain vada analizzata caso per caso nel suo funzionamento, lo studio evidenzia alcune criticità di questa tecnologia, in particolare per quanto riguarda i diritti degli interessati sanciti dagli artt. 15 e ss del Reg.UE 679/2016.

Nei confronti di chi, l’interessato può esercitare i suoi diritti?

Ovvero, chi, tra i soggetti partecipanti alla blockchain può essere individuato come il soggetto preposto a osservare gli obblighi del GDPR? La risposta varia a seconda della tipologia della blockchain. In alcuni casi è possibile individuare un Titolare del trattamento, in altri ci si può trovare di fronte a una co-titolarità di trattamento, con tutte le conseguenti problematiche (aggiornamento dei registri di trattamento, riscontro agli interessati per l’esercizio dei diritti).

Tra i diritti riconosciuti dal GDPR il diritto alla rettifica, art. 16 e il diritto alla cancellazione, art.17 sembrerebbero difficilmente esercitabili e quindi non garantiti agli interessati.

Il diritto alla rettifica

L’art. 16 recita “L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa”. Come abbiamo visto il funzionamento della blockchain prevede che le informazioni, una volta validate da tutti i partecipanti, siano criptate e “sigillate” con una marca temporale (Timestamp) che ne attesta l’inalterabilità. Lo studio dell’EPRS[2]  evidenzia come ciò sia possibile nelle blockchain private e/o senza autorizzazione eseguendo nuovamente l’hashing dei blocchi successivi, laddove ciò sia facilitato dal rispettivo assetto tecnico e di governance. Nel caso delle blockchain pubbliche e/o senza autorizzazione, lo studio è pervenuto alla conclusione che l’operazione di rettifica (intesa come la creazione di un nuovo blocco diverso a quello originale) se pur non impossibile sia estremamente difficile e onerosa dal punto di vista pratico, visto il numero di nodi coinvolti.

Blockchain e privacy: il diritto alla cancellazione (diritto all’oblio)

Ai sensi dell’art. 17 del GDPR:

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

1. l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a) per l’esercizio del diritto alla libertà di espressione e di informazione;

b) per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria

Il diritto alla cancellazione dei dati è un diritto qualificato e limitato, esercitabile solo alle condizioni indicate dall’art. 17. Lo stesso termine “cancellazione” è oggetto di valutazioni. L’anonimizzazione, ovvero inibire permanentemente la possibilità di risalire ai dati identificativi degli interessati, potrebbe in alcuni casi essere considerata una cancellazione di dati. L’interpretazione letterale del termine presupporrebbe la distruzione totale del dato o dell’hardware dove lo stesso è conservato.

Come è possibile garantire questo diritto alla privacy nella blockchain? Lo studio dell’EPRS suggerisce alcuni mezzi tecnici alternativi. Uno di questi potrebbe essere la distruzione della chiave privata che rende inaccessibili i dati crittografati con una chiave pubblica.

Resta in ogni caso una questione aperta come garantire l’effettiva conformità all’art.17 che si realizzerebbe solo nel caso in cui la cancellazione avvenga su tutti i nodi della rete.

Concludendo, questa tecnologia, che dal 2008 ha visto uno sviluppo rapidissimo in ambiti diversi (bitcoin, smart contract) presenta ancora delle zone d’ombra riguardo la sua conformità alla normativa sulla protezione dei dati. I suoi punti di forza, inalterabilità, decentralizzazione dei dati, verificabilità degli accessi, possono divenire punti di debolezza per il rispetto degli obblighi imposti dal GDPR, superabili esclusivamente con la creazione di un quadro normativo, europeo e nazionale, che chiarisca i requisiti tecnici e di governance di questa tecnologia, destinata per sua natura a svilupparsi sempre di più.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

 

  1. EPRS luglio 2019
  2. European Parliament Research Service
FacebookTwitterLinkedIn