PRIVACY E BLOCKCHAIN: IL GARANTE FRANCESE SPIEGA COME POSSONO CONVIVERE

GDPR E BLOCKCHAIN PROVE DI CONVIVENZA
Soluzioni pratiche del Garante francese, una convivenza è possibile?

Il rapporto tra GDPR e BLOCKCHAIN è complesso: i principi di data protection si scontrano con alcune delle peculiarità essenziali della nuova applicazione tecnologica.

1. UNA CONVIVENZA È POSSIBILE?

Dopo il 25 Maggio 2018, data di applicazione del Regolamento comunitario, sono stati in molti a porsi questa domanda: come conciliare un Database immutabile, vale a dire un registro permanente di dati, con il principio indicato all’art. 13 pgf. 2 lett. a del GDPR, che impone al Titolare del trattamento l’obbligo di informare l’interessato circa il periodo di conservazione dei dati personali o, perlomeno, di indicare i criteri utiizzati per determinare tale periodo?

Per molti si è di fronte ad un vicolo cieco, ad una situazione, per certi versi, paradossale: la normativa, che più di ogni altra, ha il merito di condurre l’Ue nella moderna società delle informazioni, potrebbe, però, con i suoi principi, ostacolare la diffusione della Blockchain, un fenomeno di avanguardia che promette di rivoluzionare il modo in cui scambieremo “valore” (quest’ultima locuzione richiama il modello Bitcoin, dal quale non si può prescindere se si vuole parlare di Blockchain. Per approfindire, leggi qui).

2. IL REPORT DEL GARANTE FRANCESE.

Il Garante francese (CNIL) dimostra, invece, che è possibile – sia pure con qualche eccezione – trovare soluzioni concrete, mediante l’adozione di misure tecniche e organizzative adeguate; lo fa con un certo pragmatismo, perchè  – spiega il Garante – vi sono ipotesi in cui il Titolare del trattamento deve valutare, fin dalla progettazione, se l’idea di business che egli intende implementare sulla piattaforma Blockchain sia compatibile o meno con la normativa europea.

In alcuni casi, quindi, le peculiarità che informano la Blockchain (tra tutte: la decentralizzazione, la disintermediazione, e l’immutbilità dei dati), possono costituire un muro invalicabile in ottica di compliance normativa.

Ancora una volta, quindi, si pone l’accento sul concetto di privacy by design e se ne comprende la portata: il GDPR ha introdotto un modello di gestione del rischio, che necessita di progettazione e di misure preventive.
Per cui il tema della data protection va messo in cima all’agenda di chi crea e sviluppa una nuova applicazione tecnologica; il pericolo, altrimenti, è quello di realizzare un prodotto o un servizio non conforme – ab origine – rispetto ai principi di protezione dei dati personali, con tutte le conseguenze del caso in termini di costi e spese per porvi rimedio.
Questo il monito del CNIL, insieme ad una serie di soluzioni tecniche che proviamo a riassumere di seguito.

3. LE SOLUZIONI DEL CNIL

  • Quale utente Blockchain è titolare del trattamento?
    • l’utente persona fisica che effettua un trattamento di dati personali connesso alla propria attività commerciale o professionale (es: un notaio che registra l’atto di vendita di un suo cliente);
    • l’utente persona giuridica che registra dati personali sul registro Blockchain (es: una banca che registra dati relativi ai propri clienti su registro Blockchain).
  • Quali utenti Blockchain non sono da considerare titolari del trattamento?
    • i minatori (miners), vale a dire i nodi che convalidano le transazioni effettuate su piattaforma Blockchain; essi non entrano in contatto con i dati, nè condizionano l’oggetto delle transazioni; per cui non definiscono mezzi e finalità del trattamento;
    • gli utenti privati che trattano dati per scopi personali (es: chi compra o vende Bitcoin, anche per conto di terzi – salva l’ipotesi che l’attività di compravendita sia parte di un’attività commerciale e professionale).
  • Soluzioni pratiche in caso di trattamenti effettuati da più utenti per una stessa finalità:
    • individuare in anticipo il titolare del trattamento (es: creare una società o una qualche forma di associazione che funga da titolare; oppure identificare un utente che abbia il potere di prendere decisioni per tutti e designarlo titolare);
    • in caso contrario tutti potrebbero essere considerati contitolari ai sensi dell’art 26 GDPR; questo potrebbe generare confusione in termini di attribuzione di responsabilità (da una parte, gli interessati devono capire chi è il titolare di fronte al quale esercitare i propri diritti; dall’altra, l’autorità di controllo deve sapere chi è il soggetto che risponde di eventuli violazioni del Regolamento).
  • Quali utenti Blockchain possono rivestire la qualifica di responsabile del trattamento ai sensi dell’art. 28 GDPR ?
    • gli utenti che trattano dati per conto del titolare (si pensi allo sviluppatore di un software – responsabile del trattamento – che vende la sua nuova applicazione di smart contract ad una compagnia assicurativa – titolare del trattamento – permettendole di rimborsare automaticamente i passeggeri in caso di ritardo dell’aereo; in questo caso lo sviluppatore mette a disposizione il proprio servizio, trattando i dati dei passeggeri solo per conto della compagnia assicurativa che avrà il controllo di quel trattamento, decidendone i mezzi (smart contract ) e le finalità (utilizzo di dati personali a fini di rimborso).
  • Quale modello Blockchain pone maggiori criticità in ottica di compliance normativa?
    • Una Blockchain pubblica, nella quale chiunque può collegarsi per effettuare transazioni, pone questioni serie e complesse in materia di trasferimenti dati extra UE, non potendosi prevedere l’ubicazione dei nodi.
  • Cosa fare per conciliare il principio di minimizzazione e di limitazione della conservazione dei dati con il modello Blockchain?
    • Il CNIL raccomanda di valutare, fin dall’inizio, se le caratteristiche del modello Blockchain siano compatibili con le finalità del trattamento che si vuole effettuare; se l’esito è negativo, si consiglia di scegliere altre soluzioni che favoriscano la piena conformità al Regolamento europeo;
    • per quanto concerne gli indirizzi degli utenti (identifiers of partecipants), questi sono da ritenersi essenziali per il corretto funzionamento dell’architettura Blockchain; ne consegue che gli stessi non potranno essere oggetto di ulteriore minimizzazione e che il loro periodo di conservazione dovrà necessariamente coincidere con la durata dell’esistenza della Blockchain;
    • mentre i dati personali che non sono riconducibili ad utenti e minatori meritano di essere protetti con suluzioni tecniche e organizzative ad hoc:
      • preferibilmente nella forma di un “commitment”, un meccanismo crittografico molto complesso, che consente di “congelare” i dati in modo tale che sia possibile dimostrare alla controparte di aver eseguito tale operazione (da qui il termine “commit” inteso come impegno di una parte a non modificare o alterare i “dati congelati”), e che, dall’altra, non sia possibile ricondurre quei dati ad una persona fisica, utilizzando il solo “commit” (letteralmente: impegno o promessa);
      • oppure mediante l’hashing dei dati, che è in grado di trasformare una qualsiasi quantità di dati in una stringa cifrata di dati di dimensioni fisse, denominata “digest”. In questo modo è impossibile ricostruire i dati originari partendo dal digest;
      • se non è possibile procedere con le prime due soluzioni, si può adottare un altro meccanismo crittografico che garantisca comunque un alto grado di riservatezza;
      • da ultimo, se nessuna di queste soluzioni può essere implementata, ma è stata condotta una valutazione di impatto secondo cui i rischi residui, rispetto ai trattamenti di dati effettuati, sono accettabili, si potrebbero conservare tali dati utilizzando una funzione hash senza chiave oppure, in difetto di altre possibilità, lasciando i dati in chiaro.
  • I diritti dell’interessato sono compatibili con il sistema Blockchain?
    il CNIL opera un distinguo:

     

    • diritti compatibili:
      • diritto di accesso;
      • diritto di portabilità.
    • diritti difficilmente compatibili:
      • diritto alla cancellazione: non è esercitabile nel sistema Blockchain, trattandosi di un registro immutabile, ma sono possibili soluzioni che si avvicinino allo scopo sottesso a tale diritto (es.: il titolare potrebbe rendere taluni dati praticamente inaccessibili, mediante l’utilizzo di algoritmi crittografici, raggiungendo, di fatto, gli effetti di una cancellazione);
      • diritto di rettifica: anche in questo caso bisogna tenere conto delle proprietà tecniche della Blockchain. Si potrebbe, ad esempio, inserire una nuova transazione che renda inefficace quella precedente, o comunque tale da rendere improduttiva quella precedente;
      • diritto di limitazione, nell’accezione di diritto di non essere sottoposto ad una decisione basata unicamente su un trattamento autorizzato: si pensi all’ipotesi di uno smart contract, cioè un programma in grado di essere eseguito in modo automatico, mediante la creazione di un processo guidato da algoritmi che non possono essere interrotti nè alterati a posteriori. In questo caso, si dovrebbe comunque consentire l’intervento umano, ad esempio permettendo all’interessato di contestare l’effetto giuridico conseguente al trattamento automatizzato, una volta conclusosi il processo avviato dallo smart contract.

Le soluzioni, dunque, non mancano; lo sforzo del Garante francese è davvero apprezzabile, perchè dimostra che vi sono margini per una convivenza tra GDPR e Blockchain, sebbene quest’ultima presenti caratteristiche tecniche tali da rendere alquanto complesso il relativo processo di adeguamento normativo.