GDPR e Blockchain. Facciamo la pace?
Grazie al CNIL, il GDPR e la Blockchain fanno la pace.
Chi gestisce la privacy si trova oggi a confronto con la BLOCKCHAIN, una fantastica tecnologia, dalle caratteristiche uniche, che risolve una lunga serie di antichi problemi del mondo dell'informatica.
Il GDPR a prima vista non va molto d'accordo con la blockchain e da più parti sono state sollevate perplessità e difficoltà di applicazione della norma. Più d'un interprete sostiene che la Blockchain "non sia a norma" con il GDPR e altrettanti sostengono che il GDPR sia obsoleto perchè non tiene conto della Blockchain.
Oggi, grazie al Garante francese, possiamo contare su un'indicazione autorevole. Una interpretazione autentica che rasserena gli animi e ci permette di guardare avanti, superando l'empasse.
Ecco il parere del CNIL:
Il TITOLARE DEL TRATTAMENTO è il soggetto che partecipa alla blockchain e presenta un dato da convalidare e integrare nella catena.
Quindi, i titolari sono molti. Il garante non si esprime in termini di contitolarità.
Ricordo per completezza che il "titolare del trattamento" in inglese si chiama "data controller" e in francese risponde al nome di "responsable de traitement".
Non tutti quelli che interagiscono con la blockchain sono titolari. Chi semplicemente mina, non lo è affatto poichè non intervenire sull'oggetto delle transazioni: non determinano quindi le finalità e i mezzi del trattamento.
Quando l'uso della blockchain avviene per volontà di più soggetti, è bene che questi individuino preventivamente chi agisce nella veste di titolare. In mancanza, sono tutti considerati co-titolari (art. 26) e destinatari singolarmente degli obblighi di legge che gravano sul titolare.
Negli SMART CONTRACTS, come per qualsiasi altro software, il programmatore può essere un semplice fornitore software oppure, quando partecipa al trattamento, può essere qualificato come un responsabile del trattamento (data processor / sous-traitant) o addirittura come titolare a seconda del suo ruolo nella determinazione delle finalità.
Esistono dei responsabili del trattamento (data processor) nella blockchain?
Si, per esempio uno sviluppatore di smart contracts per conto di un titolare.
Si, anche i miners possono essere responsabili del trattamento in alcuni casi in cui chi convalida i dati verifica che la transazione rispetti dei criteri tecnici per conto del titolare.
Anche in questi casi è opportuno che i soggetti coinvolti definiscano prima i reciproci ruoli con un contratto.
Il CNIL riconosce che su questo particolare aspetto, in particolare per le blockchain pubbliche, ci siano delle difficoltà applicative del GDPR e consiglia di adottare soluzioni innovative, al momento in fase di studio.
Come possono essere ridotti i rischi per gli interessati?
Innanzitutto occorre che il titolare valuti se è opportuno ricorrere alla blockchain per effettuare il trattamento o se, al contrario, vi sono tecnologie preferibili che comportano meno rischi per l'interessato.
Il titolare potrebbe preferire altri strumenti, anche solo per non dover gestire gli adempimenti relativi al trasferimento dei dati in paesi terzi, scenario praticamente certo in caso di uso di blockchain pubbliche.
Se il titolare scegli una blockchain pubblica per trattare dati personali, deve occuparsi della gestione del consenso al trasferimento in paesi terzi e deve gestire contrattualmente la protezione offerta dai miners fuori dalla UE, con gli strumenti che il GDPR ammette. Questo livello di complicazione è notevole e potrebbe disincentivare la scelta.
I dati
Pare difficile rispettare il principio della minimizzazione del dato e anche il principio della limitazione della conservazione del dato.
Per definizione, nella Blockchain alcuni dati sono necessari e sono conservati senza un termine.
Il CNIL non si esprime e richiama la necessità di una riflessione e una indicazione ufficiale dell'UE per armonizzare il GDPR con le caratteristiche intrinseche della Blockchain.
Nella Blochchain sono presenti i dati identificativi dei miners e di chi ha registrato dei blocchi. Questi identificatori saranno sempre validi. Il CNIL chiarisce che questi dati non sono minimizzabili ulteriormente e saranno trattati per tutta la durata della blockchain, cioè in modo indefinito.
Il Cnil da una preziosa indicazione anche sui dati registrati nel blocco (payload). Questi dati dovrebbero essere non comprensibili ai miners e ad altri soggetti e dovrebbero essere registrati con funzioni crittografiche evolute (impegno crittografico a due fasi), oppure potrebbe essere registrato il solo hash dei dati o, ancora, dati con cifratura forte.
Solo se la valutazione preliminare ha evidenziato un basso impatto o un rischio assente, allora è possibile registrare dati in chiaro o con cifratura debole. Questo è il caso dei soggetti legalmente obbligati alla pubblicazione di dati ed informazioni che, in quanto tali, possono essere registrai in blockchain in un formato leggibile da chiunque.
Esercizio dei diritti dell'interessato
Il diritto alla corretta informativa non pone problemi con la Blockchain. resta a carico del titolare o del responsabile ed è compatibile. Anche il diritto di accesso e alla portabilità sono compatibili con la blockchain.
Sono problematici i diritti relativi alla cancellazione, alla rettifica e di opposizione.
La cancellazione non è possibile per definizione. Tuttavia il titolare può registrare solo l'hash dei dati o ricorrere a impegno crittografico a due fasi e quindi, in caso di necessità, è nella condizione di cancellare i dati (chiave segreta di hashing) che possono essere associati a quel determinato hash o la fase dell'impegno crittografico non registrata in blockchain. Non si tratta di una cancellazione in senso tecnico ma il procedimento si avvicina molto al risultato desiderato, rendendo praticamente impossibile ricostruire il dato.
Questi sistemi possono essere valutati dal titolare come equivalenti alla cancellazione in senso tecnico e, di conseguenza, adottati.
Rimane impossibile eseguire una cancellazione di dati registrati in chiaro nella blockchain e questo dovrebbe quindi essere sempre evitato.
La rettifica è possibile solo mediante la registrazione di un nuovo dato, correttivo, in un blocco successivo della blockchain. Chiaramente, il dato sarà visibile sia nella versione originaria che nella versione corretta. Potrebbero essere valutate le medesime soluzioni tecniche applicabili alla cancellazione, anche per la rettifica, in modo da rendere non ricostruibile il dato originariamente registrato che si deve andare a modificare con una nuova iscrizione nella blockchain.
La limitazione del trattamento può essere prevista originariamente in uno smartcontract e risultare, dunque, possibile.
Gli smartcontract pongono interessanti quesiti anche con riferimento all'opposizione rispetto alle decisioni automatizzate. Questi contratti si eseguono in automatico se si realizzano determinate condizioni. Se opportunamente realizzati, possono integrare l'esercizio dei diritti previsti dal GDPR e diventa possibile richiedere l'intervento umano nella decisione.
La protezione dei dati
Le caratteristiche della blockchain sono la trasparenza, la decentralizzazione, la non falsificabilità, la disintermediazione. Queste sono punti di forza della tecnologia e sono garantiti fondamentalmente da: la partecipazione di molti partecipanti e miners e le funzioni crittografiche
Il CNIL suggerisce di prevedere anticipatamente cosa debba accadere in caso di collisioni o malfunzionamenti degli algoritmi utilizzati e di includere una procedura di emergenza per la sostituzione di un algoritmo qualora se ne riscontrasse la vulnerabilità o la fallacia.
I software per minare o per effettuare transazioni devono essere documentati e la fase di sviluppo deve essere governata.
Se la blockchain non è pubblica, le protezioni per garantire la sua riservatezza e confidenzialità devono essere adeguate.
Tutti i titolari del trattamento che utilizza la blockchain deve garantire la protezione e la confidenzialità delle chiavi o degli impegni crittografici curandone l'archiviazione su supporti sicuri.
Chiaramente, tutto ciò non vale per chi utilizza la blockchain per registrare dati di persone giuridiche, che non sono quindi dati personali e non riguarda nemmeno chi utilizza la blockchain per scopi personali e non professionali o per conto di terzi.
CB.