Quanto è legale la Blockchain? La compatibilità tra Blockchain e normativa GDPR

31 luglio 2020 / Di Valeria Portale / 0 Comments

Quanto è legale la Blockchain? Spunti e riflessioni sull’attuale compatibilità delle tecnologie Blockchain e Distributed Ledger con la normativa GDPR.


Le applicazioni basate su tecnologia Blockchain sollevano alcuni dubbi circa la conformità alla normativa sulla protezione dei dati. Il tema è molto discusso a livello europeo anche tra le stesse istituzioni. Ne sono prova i numerosi paper pubblicati da centri di ricerca, autorità dell'UE e studiosi del tema che analizzano le relazioni tra la tecnologia Blockchain e il GDPR (General Data Protection Regulation). In particolare il documento più completo è stato pubblicato da EPRS (European Parliamentary Research Service).

La discussione ruota principalmente su tre punti:

  1. La tipologia di dati trattati;
  2. L’identificazione dei ruoli previsti dal GDPR;
  3. Il diritto all’oblio.

 

Blockchain e GDPR: i dati da tutelare

Innanzitutto, è importante determinare se le regole di protezione dei dati si applicano a una determinata soluzione tecnologica. Per fare ciò, è necessario valutare se sono da considerare “dati personali” quelli che passano sulla tecnologia blockchain. Alla luce di quanto stabilito dal GDPR, “dato personale” viene definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile. I dati che rendono identificabile una persona, direttamente o indirettamente, possono essere il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4 comma 1 GDPR). I principi di protezione dei dati non si applicano pertanto a:

  • informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile;
  • dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.

La tecnologia Blockchain consente transazioni tra le parti senza dover rivelare la loro identità direttamente, tuttavia, ogni transazione che viene eseguita viene pubblicata e collegata a una chiave pubblica che rappresenta perciò uno pseudonimo di un determinato utente. Sebbene la chiave pubblica non contenga informazioni direttamente riconducibili all’utente, l’utilizzo della medesima chiave per diverse transazioni e l’incrocio con altre informazioni potrebbero consentire di individuare gli autori di una determinata transazione.

Ne consegue che la chiave pubblica, se associata a una persona, potrà eventualmente essere qualificata come dato personale ai fini della legislazione europea sulla protezione dei dati. Infatti, quando la chiave pubblica è ricondotta a un soggetto identificato, è possibile ottenere informazioni su tutte le transazioni che il soggetto ha compiuto sulla blockchain. Di conseguenza, le norme sulla protezione dei dati potrebbero essere applicabili ad almeno alcuni dei dati coinvolti nelle soluzioni Blockchain.

Come sta evolvendo il quadro normativo della Blockchain?

VAI AL WEBINAR

 

Il titolare del trattamento dei dati personali nella Blockchain

Se assumiamo che dei dati personali vengono elaborati nella Blockchain, è quindi necessario, secondo il GDPR, identificare il titolare del trattamento e definire se questo ruolo sia detenuto da una singola entità o congiuntamente da più soggetti.

La corretta identificazione di tale ruolo è un esercizio importante in quanto consente di identificare la persona o l'entità cui l'interessato deve rivolgersi per far valere i propri diritti ai sensi del GDPR. A questo proposito la tecnologia Blockchain presenta una problematica peculiare poiché si basa su un singolo fornitore di risorse di archiviazione o di elaborazione, ma porta invece alla creazione di soluzioni decentralizzate e distribuite. Poiché le piattaforme Blockchain e Distributed Ledger sono progettate per essere gestite da parti diverse, molti attori possono potenzialmente influenzare la determinazione delle finalità e dei mezzi di trattamento dei dati.

La determinazione dei ruoli dipenderà perciò anche dal tipo di soluzione utilizzata:

  • Distributed Ledger Permissioned (piattaforme in cui per accedere alla rete è necessario registrarsi e identificarsi e quindi essere autorizzati da un ente centrale o dalla rete stessa). Per quanto riguarda le piattaforme permissioned, esiste generalmente una determinata entità giuridica (come una società o un consorzio) che determina i mezzi e in molti casi anche le finalità del trattamento dei dati personali. Nella sua guida del 2018 sulle Blockchain e GDPR, la CNIL (Autorità per la protezione dei dati francese) ha ritenuto che nel caso in cui un gruppo decida collettivamente di utilizzare una DLT per i propri scopi, il titolare del trattamento dei dati dovrebbe essere definito ab initio.
  • Distributed Ledger Permissionless (piattaforma alla quale chiunque può prendere parte, svolgendo liberamente qualunque tipologia di attività, in cui il contenuto del registro è pubblico e disponibile a tutti). Per quanto riguarda le piattaforme permissionless, le modalità di governance possono influenzare i mezzi del trattamento. È importante sottolineare che l'identità del titolare del trattamento dipende dalla prospettiva che viene adottata.

Visto da una «macro prospettiva», lo scopo del trattamento è quello di "fornire il servizio transazionale" mentre il "mezzo" si riferisce al software utilizzato dai nodi e dai miner. Da una «micro prospettiva» (cioè la singola transazione) lo scopo dell'elaborazione è "registrare una specifica transazione su una blockchain" mentre il mezzo si riferisce "alla scelta della piattaforma blockchain".

Secondo il paper pubblicato da EPRS, probabilmente la "micro prospettiva" è l'approccio più appropriato in quanto la legge relativa alla protezione dei dati riguarda dati personali specifici. Per questo motivo, gli utenti di una piattaforma permissionless dovrebbero essere considerati come i titolari del trattamento dei dati quando una transazione è effettuata direttamente dagli stessi. La costruzione tecnica della blockchain porta al fatto che solo l'utente che effettua la transazione può determinare gli scopi e i mezzi del trattamento dei dati; di conseguenza, vi è un ampio consenso sul fatto che gli utenti DLT saranno considerati, almeno in alcune circostanze, come titolari del trattamento dei dati ai sensi del GDPR.

D’altra parte invece, sempre secondo l’EPRS, quando un soggetto giuridico, come un’azienda, decide di affidarsi ad una piattaforma decentralizzata rispetto ad un'altra forma di database, ha preso una decisione in merito alle modalità di trattamento dei dati personali, creando una forte indicazione del fatto che si qualifica come titolare del trattamento dei dati. Pertanto, si può considerare che chiunque scelga una particolare infrastruttura tecnica, come una Blockchain o un Distributed Ledger, per il trattamento dei dati, può essere reputato un contitolare dei trattamenti connessi a quel sistema, anche se può avere solo un controllo limitato sulle finalità e nessun controllo significativo sui mezzi del trattamento.

 

Il diritto all’oblio nella Blockchain

L'applicazione del GDPR può rivelarsi impegnativa anche per quanto riguarda il diritto alla cancellazione o il c.d. "diritto all'oblio", in particolare quando si fa riferimento ad una Blockchain Permissionless. In effetti, il fatto che le informazioni inserite in queste piattaforme siano intrinsecamente a prova di manipolazione e di cancellazione può essere un potenziale problema.

Dopo aver identificato una chiave pubblica e le transazioni associate, anche qualora l’utente lo richiedesse, non ci sarebbe modo di cancellare le informazioni, che sarebbero ormai parte della Blockchain. Il particolare design della tecnologia che prevede il mantenimento della storia di tutte le transazioni intercorse rende il diritto all'oblio molto complicato da esercitare.

Sebbene la ricerca su meccanismi per gestire i dati all’interno di una blockchain sia in corso, l'idea che i titolari del trattamento dei dati possano cancellare i dati personali non sembra semplice: un'incompatibilità fondamentale può derivare dal fatto che la capacità di modificare i record di dati mantenendo la loro autenticità richiede una nomina di “amministratori di fiducia” che possano modificare il registro della Blockchain secondo un set predefinito di regole. Ciò risulterebbe di conseguenza in contrasto con le caratteristiche essenziali della tecnologia blockchain che è intrinsecamente decentralizzata e non modificabile. Per questo motivo nei progetti esistenti si cerca di gestire eventuali dati personali al di fuori delle stesse piattaforme, pubblicando su di esse solamente dei riferimenti a informazioni detenute attraverso database più tradizionali.

 

GDPR e Blockchain: compatibilità possibile?

In conclusione, va tuttavia considerato che le regole previste dal GDPR sono progettate principalmente per individuare un soggetto (appunto il titolare) che sia responsabile per la raccolta, l'archiviazione e l'elaborazione dei dati, mentre le tecnologie Blockchain e Distributed Ledger sono intese come database peer-to-peer che non si basano su “autorità centrali” ma fanno della decentralizzazione uno dei loro punti di forza. Le sfide alla protezione dei dati poste dalla Blockchain varieranno quindi a seconda delle caratteristiche specifiche della soluzione utilizzata.

Data l'enorme diversità di architetture e casi d'uso, non esiste una soluzione unica per quanto riguarda la conformità al GDPR. Questa andrà infatti valutata caso per caso considerando la reale implementazione della tecnologia attraverso la quale i dati personali vengono convogliati. In alcuni casi il nesso con i dati personali potrebbe essere così remoto che saranno richiesti solo meccanismi minimi di governance dei dati, mentre, al contrario, altri progetti potrebbero comportare trattamenti di dati con un impatto alto, e, per tale motivo, potrebbero richiedere una valutazione d'impatto completa della protezione dei dati.

Oggi quindi, non è possibile generalizzare sulla conformità delle tecnologie Blockchain e Distributed Ledger al GDPR, dipende da come vengono configurate le soluzioni ed esistono molte tecniche informatiche che consentono potenzialmente di ridurre gli attriti di queste tecnologie con la regolamentazione europea.


Valeria Portale e Jacopo Fracassi - Osservatorio Blockchain & Distributed Ledger

Vuoi approfondire le opportunità della
Blockchain per il tuo business?

Scopri il Programma

  • Autore

Direttore dell'Osservatorio Innovative Payments e dell'Osservatorio Blockchain & Web3 del Politecnico di Milano