Blockchain e privacy: come affrontare e risolvere i principali problemi

La caratteristica della immutabilità della tecnologia blockchain sembrerebbe far concludere per l’incompatibilità della stessa con il riconosciuto diritto all’oblio dalla normativa privacy europea. Occorre, però, distinguere tra dati relativi alle transazioni e chiavi pubbliche [...]
Michele Iaselli

Presidente ANDIP, Docente Università di Cassino, Funzionario del Ministero della Difesa e di Vincenzo Di Ciò, Avvocato e Consulente privacy (CIPP/E)

  1. Home
  2. Esperti e Analisti
  3. Blockchain e privacy: come affrontare e risolvere i principali problemi

Come  è noto, la blockchain è caratterizzata dai seguenti elementi: decentralizzazione; trasparenza; sicurezza; immutabilità; consenso. La blockchain è una tecnologia appartenente alla categoria dei Distributed Ledger (DLT), ossia degli archivi distribuiti. Le DLT prevedono, pertanto, un sistema di validazione a sua volta distribuito tra i nodi, basato sul concetto di consenso: le modalità di gestione del consenso, insieme alle logiche di impostazione del registro distribuito, rappresentano due tra le principali caratteristiche delle tecnologie dei registri distribuiti. Di solito, quando si fa riferimento alla blockchain, si fa riferimento al concetto contenuto nel paper pubblicato sotto lo pseudonimo Satoshi Nakamoto intitolato “Bitcoin: A Peer-to-Peer Electronic Cash System”. Tale famosa pubblicazione ha gettato le basi del pagamento trustless basato sulla tecnologia blockchain. Essa rappresenta un’assoluta novità, in quanto è capace di garantire l’anonimato delle transazioni all’interno delle reti telematiche. Ma come si pongono fra loro blockchain e privacy?

Genesi della blockchain

Nakamoto ha progettato la blockchain rendendo i registri distribuiti in un network costituito da peer, ossia da nodi o computer, i quali agiscono insieme come distributori e fornitori delle informazioni, eliminando in questo modo la presenza di una autorità centrale atta a validare le transazioni.

Nakamoto ha ripreso, ancora, il meccanismo del proof of work, in passato previsto in Hashcash, inteso sia come sistema di creazione di consenso al fine di certificare le transazioni sia come metodo di incentivare i partecipanti alla catena a mettere a disposizione i propri computer, evitando in tal modo pericoli di comportamenti fraudolenti.

Tutti i meccanismi sopra citati, come noto, hanno permesso la creazione di un innovativo protocollo di comunicazione, ossia un registro immodificabile: in tale registro, le copie delle transazioni sono distribuite tra i vari peer della rete, composto da blocchi separati collegati per formare una catena sequenziale marcata temporalmente.

Per ben comprendere le implicazioni della blockchain con il tema della privacy, occorre, però, fornire una descrizione più dettagliata della blockchain e dei dati che in essa transitano.

Nella blockchain, i dati sono regolarmente raggruppati nei block che, una volta raggiunta una certa dimensione, sono uniti ad altri blocchi già esistenti mediante la funzione crittografica di hash.

Attraverso questo sistema, i dati sono messi in ordine cronologico in maniera tale da rendere quasi impossibile la manomissione degli stessi.

Nelle DLT i dati possono essere immagazzinati in diversi modi.

Come si registrano i dati nella DLT

Per prima cosa, è possibile immagazzinare i dati nel registro sotto forma di file di testo. Questa soluzione, tuttavia, porta con sé diversi problemi: ad esempio, in una blockchain permissionless tutti possono leggere tali dati, con ciò destando seri problemi di riservatezza delle informazioni in essi contenute. Senza considerare il fatto che i blocchi hanno delle capacità di memoria limitate e la stessa è molto costosa.

Spesso, dunque, i dati vengono memorizzati dopo essere stati criptati o sottoposti alla funzione crittografica di hash.

Ma queste metodologie di memorizzazione dei dati rendono gli stessi anonimi, in modo tale dal non dover ricadere nell’ambito applicativo del GDPR?

Nell’opinione n. 4/2014, il WP29 ha specificato che ricorre l’anonimizzazione solo quando vengono trattati i dati personali al fine di impedire in maniera irreversibile l’identificazione dell’interessato.

Ora, è chiaro che i dati immagazzinati sotto forma di file di testo sono e rimangono dati personali ai sensi del GDPR. I dati criptati, allo stesso tempo, non garantiscono l’impossibilità di identificare in maniera irreversibile l’interessato, in quanto è sufficiente conoscere la chiave privata per decriptarli.

La crittografia, infatti, viene paragonata a una tecnica di pseudonimizzazione ai sensi del Regolamento privacy, posto che l’interessato può essere indirettamente identificato.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Anche i dati sottoposti alla funzione crittografica di hash si qualificano anche dati personali ai sensi del GDPR. Il WP29 è stato abbastanza chiaro nel definire la funzione crittografica di hash come una tecnica di pseudonimizzazione piuttosto che di anonimizzazione in quanto è sempre possibile collegare l’insieme di dati con l’interessato.

Una soluzione immaginabile, per rendere la blockchain privacy compliant, è quella di combinare la memorizzazione di dati contemporaneamente su blockchain e fuori dalla blockchain.

I dati immagazzinati fuori dalla blockchain obbligheranno il ritorno di una terza parte fiduciaria che renderebbe, però, potenzialmente vano il tentativo di totale distribuzione dei dati sui registri voluto dalle DLT.

Blockchain e privacy: la pseudoanonimizzazione

Analizzando i dati relativi alle chiavi pubbliche, occorre premettere che essi sono costituiti da numeri e lettere che permettono la pseudoanonimizzazione di una persona fisica o giuridica per fini di comunicazione o transattivi. Dal punto di vista GDPR bisogna verificare se le chiavi pubbliche costituiscono dati personali.

L’Art. 4, paragrafo 5, del regolamento privacy definisce la pseudonimizzazione come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. Dunque, la chiave pubblica potrebbe permettere l’identificazione dell’interessato, incrociando i dati della chiave pubblica con altre informazioni, come un nome o un indirizzo.

Di conseguenza, una chiave pubblica non può essere qualificata come dato anonimo, ma come dato pseudonimo, cadendo pertanto nell’ambito di applicazione materiale del GDPR. Tuttavia, a differenza dei dati relativi alle transazioni, le chiavi pubbliche non possono essere spostate fuori dalla blockchain, in quanto rappresentano un elemento essenziale della tecnologia DLT e costituiscono metadati delle transazioni, necessari per la loro validazione.

Non tutti gli studiosi sono d’accordo con questa ricostruzione: le chiavi pubbliche potrebbero non essere qualificate come dati personali fintantoché l’utente della blockchain mantiene segreta la componente privata delle stesse; quando, però, in una blockchain pubblica tali chiavi vengono associate a delle persone fisiche dal Blockchain Service Provider, allora tali dati debbono obbligatoriamente essere assimilati a dati personali secondo il GDPR.

Lo stesso inventore della blockchain, Satoshi Nakamoto, ha suggerito, per evitare di identificare gli utenti, di creare nuove coppie di chiavi per ogni transazione. Questa tecnica, però, implica il passaggio delle criptovalute da una chiave pubblica a un’altra, permettendo di identificare indirettamente il titolare delle stesse chiavi.

Ma il vero problema in materia di privacy nella blockchain è rappresentato dal forte limite del principio di conservazione dei dati personali e dal conseguente rispetto del diritto all’oblio.

Blockchain e privacy: la conservazione dei dati personali

In base all’Articolo 17 del GDPR, “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”.

I titolari del trattamento sono, quindi, obbligati a cancellare i dati personali dell’interessato, ma solo se sono soddisfatte le condizioni di cui alle lettere da a) ad f) del citato articolo.

La caratteristica della immutabilità della tecnologia blockchain sembrerebbe far concludere per l’incompatibilità della stessa con il riconosciuto diritto all’oblio dalla normativa privacy europea.

Occorre, però, anche questa volta distinguere tra dati relativi alle transazioni e chiavi pubbliche. Con riguardo ai primi, qualora essi siano conservati fuori dalla blockchain, non sussisterebbe nessuna incompatibilità con la richiesta da parte dell’interessato di cancellazione.

Con riferimento alle chiavi pubbliche, la questione non è così semplice. Bisogna premettere, infatti, che il diritto all’oblio non è un diritto assoluto, ma soggiace a determinate condizioni, come visto sopra. Di fronte ad una richiesta di cancellazione, inoltre, il titolare del trattamento deve tener conto anche delle tecnologie al momento disponibili e ai costi del processo di cancellazione.

Tra l’altro, il GDPR non fornisce una definizione esatta di “cancellazione”, lasciando aperte numerose strade interpretative.

Il Parlamento europeo, nella risoluzione del 3 ottobre 2018, ha riconosciuto in maniera esplicita che “il diritto all’oblio non è facilmente applicabile in questa tecnologia (blockchain)”.

Altro problema da risolvere è rappresentato dall’ambito territoriale di applicazione del GDPR.

Le DLT permissionless di solito si basato su nodi collocati in diverse giurisdizioni.

In base alla regola della extraterritorialità dell’ambito di applicazione del GDPR, quest’ultimo potrebbe costringere moltissime blockchain a piegarsi all’applicazione della normativa privacy europea.

Trasferimento di dati verso Paesi terzi

Un ulteriore problema riguarda l’applicazione delle regole privacy europee in materia di trasferimento di dati personali verso Paesi terzi. Nelle blockchain di tipo permissionless si può pensare che ci sia sempre un elemento di transnazionalità nel trattamento dei dati personali.

Il GDPR prevede che, qualora ci sia un “trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale”, occorre rispettare molteplici condizioni.

I dati raccolti nei blocchi sono collegati in modo automatico ad altri blocchi nella catena conservati da miners sparsi in tutto il globo. Successivamente, il registro è immediatamente aggiornato su ogni nodo per rimanere sincronizzato.

Gli artt. 45 e 46 del GDPR prevedono quali siano le condizioni per poter legittimamente trasferire dati personali verso un Paese fuori dallo spazio economico europeo: una decisione di adeguatezza del Paese terzo da parte della Commissione Ue (art. 45), ovvero, in assenza di una decisione di adeguatezza, la garanzia che i titolari e i responsabili del trattamento forniscano adeguati livelli di tutela e che siano capaci di garantire effettivi rimedi legali alle istanze degli interessati, ad esempio con l’approvazione da parte delle autorità garanti di apposite BCR (Binding Corporate Rules).

Una soluzione ideale sarebbe quella di poter garantire all’interessato di poter esprimere nella blockchain il proprio consenso al trasferimento dei dati personali che li riguardano: ciò potrebbe essere facilmente implementato in una blockchain di tipo privato, dove l’accesso è controllato e può essere soggetto a termini e condizioni, ma non è fattibile per ovvie ragioni nelle blockchain di tipo aperto.

 

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

 

FacebookTwitterLinkedIn