Blockchain e GDPR, in antitesi by default
di Francesco Antonio Nanni
Com’è ben noto i progressi tecnologici rivoluzionano radicalmente l’economia e le nostre relazioni sociali. Con la rivoluzione 4.0 i dati, in qualsiasi modo strutturati, vengono raccolti e condivisi in modo significativo da una miriade di attori da ogni parte del mondo. Le attuali tecnologie consentono, tanto alle aziende private quanto alle autorità pubbliche, di elaborare, archiviare e condividere dati personali come mai in precedenza, nello svolgimento delle loro attività.
Quotidianamente le persone fisiche rendono disponibili a soggetti terzi, consciamente o meno, dati personali che li riguardano. Questa incalzante evoluzione tecnologica, connessa alla globalizzazione, rappresenta una sfida innovativa per la protezione dei dati personali. Quest’ultima è stata recentemente accolta dal General Data Protection Regulation n. 679/2016 (“GDPR”) con l’obbiettivo di garantire un elevato livello di protezione dei dati personali nella loro nuova veste, facilitandone contemporaneamente la circolazione e il trasferimento tra i vari attori internazionali. Lo scopo del GDPR è nella sua essenza quello di rinforzare la privacy personale nell’era dei bit e contribuire allo sviluppo della nuova economia digitale, proteggendo le modalità in cui i dati personali degli utenti vengono raccolti o gestiti.
In questo concitato panorama subentra la Blockchain, tecnologia emergente che ha conquistato oramai una certa notorietà in svariati settori.[1]La Blockchain fa parte delle tecnologie Distributed Ledger[2], sistemi digitali che operano come registro condiviso per la registrazione di dati statici e dinamici e che, a differenza degli archivi tradizionali, non dispongono di funzionalità di amministrazione e organi di controllo.
La Blockchain (o catena di blocchi) come “database distribuito” si basa su un’organizzazione egualitaria e sul principio di reciprocità diretta tipico di una rete peer to peer[3] che consente l’assenza di intermediari od organi terzi di controllo al suo interno. Le transazioni vengono registrate da uno qualsiasi dei nodi della rete all’interno dei blocchi che compongono la catena (e che danno il nome alla tecnologia stessa). Le transazioni sono permanenti e verificabili in quanto tutti i nodi che partecipano alla rete possono registrare transazioni ed allo stesso tempo vedere le informazioni relative alla transazione (i dati) e i relativi passaggi da un nodo ad un altro della medesima (trasparenza). La Blockchain è un database sicuro in quanto opera con l’impiego di diverse tecnologie ampiamente consolidate in numerosi settori quali la firma digitale,il time stamping e l’hashing.
Vista la notorietà assunta dal fenomeno questo articolo vuole soffermarsi su possibili criticità tecnologiche e giuridiche[4]individuate in relazione alla normativa sulla privacy. All’interno della Blockchain vengono comunemente “trattati”[5]dati personali[6]. I dati, nonostante siano sottoposti a pseudonimizzazione, data masking o cifratura, dal momento che possono essere utilizzati per reidentificare un individuo mantengono intatta la veste di dati personali e rientrano pienamente nell’ambito di applicazione della normativa[7].
La Blockchain sembrerebbe rispettare il principio della privacy “by design” introdotto dal GDPR che impone la pseudonimizzazione dei dati (il disaccoppiamento dei dati dall’identità individuale) e la minimizzazione dei dati (il trasferire solo dati o parti di essi assolutamente necessari).
Le transazioni vengono registrate in modo sicuro tramite l’utilizzo della cifratura a chiavi complementari asimmetriche[8]che garantisce protezione e sicurezza ai dati. La chiave pubblica[9]con la chiave privata e la funzione di hash consentono di rendere sicura la provenienza di un determinato messaggio garantendone la segretezza, l’autenticità e l’integrità che si estende anche ai dati contenuti al suo interno[10].Viene creata un’impronta di hash[11]sul contenuto della transazione a cui viene applicata la data e l’ora dellatransazione (time stamping).
I dati inseriti nella Blockchain, una volta convalidati dai blocchi[12] non possono essere più modificati né cancellati. I dati vengono registrati per un tempo indeterminato finché ha vita la blockchain all’interno della quale sono stati inseriti. Non è possibile eliminare questi dati a meno che non si rompano i blocchi rendendo inutilizzabile la tecnologia.
Contrariamente, il GDPR introduce il diritto alla rettifica dei dati (art. 16) e il diritto alla cancellazione dei dati (cd. diritto all’oblio) all’articolo 17. Quest’ultimo stabilisce che l’interessato ha sempre il diritto di ottenere dal responsabile del trattamento la cancellazione tempestiva dei dati personali che lo riguardano e il responsabile del trattamento ha l’obbligo di cancellarli, il più presto possibile.
Il GDPR non aiuta in quanto non definisce il concetto di erasure (cancellazione, rimozione). Si sostiene che la distruzione della chiave crittografica che consente l’accesso ai dati personali crittografati dovrebbe essere considerata equivalente alla cancellazione se la distruzione viene effettuata in conformità con le best practices e in modo verificabile. Il diritto di rettifica non potrà essere esercitato in quanto l’aggiornamento delle transazioni esistenti, diventando immutabili in seguito alla convalida del blocco, non può essere eseguito.
Il GDPR pone l’accento sull’accountability, generale principio di responsabilizzazione in base al quale il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla normativa, assumendosi tutte le responsabilità.
Ogni nodo che fa parte della catena può agire sia in qualità di titolare del trattamento, sia in qualità di responsabile (peer to peer). Le Blockchain permissioned possono essere personalizzate nell’architettura in modo da stabilire in fase di progettazione quali nodi possono svolgere la funzione di controllo, quali nodi possono controllare e cosa si può rispettivamente visualizzare della operazione svolta[13]. Alcuni hanno cercato di trovare una soluzione alla difficile compliance tra una normativa centralizzata e mobile ed una tecnologia che è decentralizzata per natura ed immutabile. Alcuni sostengono che si possa garantire il diritto alla cancellazione e alla rettifica memorizzando i dati personali all’esterno della catena (cd. storage off-chain). In pratica viene registrato all’interno del blocco l’hash generato, alcuni metadati e l’hyperlink di rimando. Questo approccio potrebbe essere una soluzione che si conforma maggiormente al GDPR in quanto permetterebbe di modificare o cancellare completamente i dati archiviati off-chain, rendendo inutili gli hash memorizzati sul Blockchain.
In ogni caso si tratta di soluzioni che, se adottate, indebolirebbero i benefici che da sempre sono attribuiti a questa tecnologia: la resilienza, l’immutabilità e la trasparenza. Inoltre ci si affiderebbe in questo modo ad altri sistemi per la memorizzazione dei dati meno vantaggiosi e sicuri (si pensi all’ipotesi in cui l’hyperlink venga rubato). Oltre ad aumentare i rischi connessi al trattamento registrando i dati in storage esterni si perde la proprietà dei dati. Rispetto ai dati archiviati all’interno della catena il “proprietario dei dati” mantiene le chiavi crittografiche per amministrare i propri dati.
Visto il panorama tecnologico in crescita, si troveràin tempi brevi una soluzione tale da affrontare le criticità inerenti l’immutabilità delle transazioni e garantire il pieno controllo dei dati personali. Qualsiasi soluzione verrà individuata come idonea, con piena probabilità non porterà con sé i vantaggi tipici offerti dall’architettura tipica della Blockchain. Il GDPR, essendo pensato per essere una norma elastica ed adattabile ad ogni possibile innovazione tecnologica e basato sul principio di neutralità tecnologica, dovrà sicuramente prendere in seria considerazione questa tecnologia. Al giorno d’oggi non si può prescindere dalla sperimentazione di tecnologie emergenti per poter estendere e migliorare gli ecosistemi digitali garantendo sicurezza, circolazione, sviluppo e innovazione.
[1] Il World Economic Forum, ad esempio, sostiene che nell’immediato futuro il 10% del PIL mondiale deriverà da servizi erogati e distribuiti attraverso le tecnologie Blockchain; www.weforum.org/
[2] Il 4 dicembre 2018 l’Italia ha ufficialmente aderito al gruppo MED7, composto da sette Paesi del Sud Europa: Italia, Spagna, Francia, Malta, Cipro, Grecia e Portogallo,sottoscrivendo la dichiarazione di sviluppo delle tecnologie basate su registri distribuiti e delle tecnologie emergenti. Cfr. www.mise.gov.it
[3] I sistemi peer to peer sono basati su un’organizzazione egualitaria basata sul principio di reciprocità diretta. Nel modello di configurazione di una rete peer to peer non vi è distinzione tra fornitori di servizi (server) ed utilizzatori di servizi (client), ogni nodo della rete mette a disposizione parte delle proprie risorse (software, dati,spazio disco, potenza di calcolo) e utilizza analogamente le risorse messe a disposizione dagli altri nodi.
[4] Una prima problematica è relativa alla legge applicabile ed alla determinazione della giurisdizione competente,sulle quali per questioni di economia testuale non ci soffermeremo.
[5] Con il termine “trattamento”(art. 4 n. 2), “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione,l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
[6] Il GDPR (all’ art. 4) definisce“il dato personale” come qualsiasi informazione riconducibile direttamente ma anche indirettamente ad una persona fisica, quindi informazioni riguardanti una persona la cui identità può comunque essere accertata mediante informazioni supplementari (comunemente l’identificabilità dell’interessato avviene tramite l’incrocio di informazioni).
[7] Cfr. Working party sul concetto di dati personali Wp136 del 4/2007; link: http://www.privacy.it/archivio/grupripareri200704.html
[8] La chiave privata è composta da due fattori primi di grandi dimensioni di 150 cifre l’uno e la chiave pubblica è composta dal loro prodotto. La sicurezza è data dal fatto che è impossibile risalire dalla chiave pubblica a quella privata, nessun algoritmo sarebbe in grado di estrarre e risalire ai fattori ed è per questo che la chiave pubblica(il prodotto) è conosciuta ai terzi mentre quella segreta (i fattori) viene secretata dal mittente. Un messaggio cifrato con la chiave pubblica può essere decifrato solo con quella privata mentre un messaggio cifrato con la chiave privata può essere decifrato solo con la chiave pubblica, in questo modo il messaggio può provenire solamente dal possessore della chiave corrispondente e si può verificare che non sia stato alterato.
[9] La chiave pubblica con cui vengono sottoscritte le transazioni sulla Blockchain costituisce un dato personale, perché associata o associabile ad una persona fisica determinata,così come i log file di accesso che tengono traccia degli IP i quali oltre ad essere considerati un dato personale di per sé consentono di individuare facilmente il soggetto titolare della chiave pubblica che ha effettuato la transazione.
[10] Il working party ex art. 29 (n.5/2014 del 2014) ha chiarito che l’hashing rientra tra le tecniche di pseudonimizzazione (e non di anonimizzazione), in quanto i dati contenuti nell’hash possono essere comunque collegati ai a dati personali esterni e facilmente ricostruibili attraverso un metodo forza bruta. Trattandosi di dato pseudonimizzato (e non anonimizzato) anche l’hash registrato sulla blockchain costituisce un dato personale, comportando quindi l’applicazione della relativa normativa.
[11] La funzione di Hash garantisce l’integrità e l’autenticità del messaggio; il mittente crea un’impronta del testo (una stringa di codice) e la invia insieme al testo. Il destinatario confronta l’impronta ricevuta con quella ottenuta con la decifrazione, se le impronte sono identiche il messaggio non è stato alterato (ad un minimo alteramento del messaggio l’hash differirà di molto È noto che la funzione di hash è irreversibile, nel senso che non è possibile risalire dalla stringa di caratteri generati tramite la funzione al contenuto del documento a cui la stessa è stata applicata.
[12] Attività di mining che comporta una enorme capacità computazione e un conseguente dispendio economico.
[13] I blocchi normalmente includono un’intestazione e un contenuto crittografato (una stringa di codice).