La blockchain è compliant al GDPR?
Key4biz solleva questo dubbio mentre il Regolamento europeo in materia di protezione dei dati personali è, pienamente, efficace dal 25 maggio scorso.
La tecnologia blockchain per come è, oggi, ontologicamente strutturata ‘annota’, per sempre e con la massima trasparenza, nel registro pubblico distribuito (distributed ledger) tutte le transazioni. Qualsiasi dato è immutabile, e anche verificabile e tracciabile da chi ha accesso alla catena pubblica della tecnologia. In questo modo la blockchain non garantisce il diritto alla cancellazione dei dati introdotto dal Gdpr con l’articolo 17. Perché la catena è il dato e pensare di cancellare il dato comporta il “crollo” della catena stessa e quindi della transazione. E se nella transazione, al posto dei Bitcoin, per esempio, ci fosse una cartella clinica, un certificato medico o un diploma di laurea, quindi un dato sensibile, come il cittadino europeo può esercitare il diritto alla cancellazione?
E poi chi è il Responsabile della protezione dei dati (Rpd) o il Data Protection Officer (Dpo)? La figura fulcro introdotta dal regolamento e prevista dall’articolo 37.
Per cui secondo una rigida applicazione del Gdpr la blockchain è fuori norma di legge nell’Unione europea e anche nel resto del mondo quando tra i partecipanti (i nodi) alle transazioni ci sono cittadini europei?
Spieghiamo meglio il ragionamento che porta Key4biz a sollevare questa domanda con l’auspicio che dia vita a un dibattito sul tema per migliorare la tecnologia e rendere conforme in toto la blockchain al regolamento europeo.
La blockchain, letteralmente una catena di blocchi, è sempre più alla base di valutazioni e analisi nelle transazioni da parte del mondo, non solo, finanziario e bancario.
Possiamo definirla come una transazione sicura in quanto le informazioni sono crittografate e distribuite su migliaia di server in tutto il mondo. Ogni blocco della catena è convalidato e replicato allo stesso modo su tutti i server nel mondo, senza confine geografico, senza più un grande soggetto centrale “certificatore”, ma la forza stessa della blockchain è nella sua distribuzione e decentralizzazione, svincolata dalla possibilità di controllo di un singolo soggetto o di un gruppo ristretto di soggetti.
La blockchain garantisce la reale immutabilità dei dati e può essere considerata come un registro pubblico aperto a tutti, anche se i dati ivi contenuti sono anonimizzati.
Tutte le transazioni basate su blockchain prevedono un codice identificativo per ogni soggetto che concorre nella transazione ed i dati che verranno convalidati nella transazione stessa. Tutti i nodi della blockchain, tutti i partecipanti, saranno informati di ogni transazione, e ogni identificativo si aggiunge per tenere tracciato in modo chiaro l’oggetto e il contenuto della transazione e l’identità certa delle persone concorse nella transazione. Lo stesso identificativo personale si arricchirà di informazioni nel momento in cui il titolare lo userà per altre transazioni.
GDPR, i limiti della blockchain. Chi è il Dpo?
Una delle caratteristiche peculiari della blockchain è la sua irrevocabilità e la sua facile tracciabilità. In questo modo si garantisce che le transazioni siano certe, definitive, senza alcuna possibilità di essere modificate o annullate.
I nostri dati, quindi, rimarranno, pertanto, per sempre nella catena della blockchain, ed è sufficiente che un terzo soggetto abbia effettuato una transazione con la controparte, per tracciare tutte le transazioni precedenti e future della controparte stessa presenti sulla catena pubblica della blockchain.
Così esposta la questione viene da chiederci chi sia il Titolare e chi il Responsabile del trattamento dei nostri dati, giacché non esiste più la figura centrale di un intermediario, e se e come la blockchain può rispettare il GDPR, che da oggi diventa completamente attuativo?
Si potrebbe affermare tecnicamente possibile che il Titolare del trattamento è il soggetto che avvia o che gestisce la transazione attraverso la blockchain, per esempio una banca, una pubblica amministrazione, un esercente al commercio, ecc… e che ogni nodo della blockchain è nominato quale Responsabile del trattamento. In maniera analoga a quanto già avviene quando effettuiamo un acquisto su internet e paghiamo con il circuito delle carte di credito e di debito, PayPal, ecc… e ci viene richiesto esplicitamente il consenso al trattamento dei dati.
Tuttavia i circuiti di pagamento e le banche più in generale sono soggetti obbligati a certificare i propri sistemi in alta affidabilità di sicurezza, noti come HSM (Hardware Security Model) per la protezione e la sicurezza dei dati, oltre al possesso di requisiti specifici di onorabilità e moralità in capo al Titolare e Responsabile del trattamento dei dati.
Al contrario sulla blockchain non sono previste regole e requisiti né sulla sicurezza e gestione dei dati trattati (ad esempio la certificazione ISO/IEC 27001), né sulla sicurezza dei sistemi in HSM, né infine sui requisiti di onorabilità e moralità in capo al responsabile di ogni nodo della blockchain, proprio perché il paradigma alla base della blockchain è la partecipazione pubblica di qualunque persona nel concorrere alla formazione della catena, purché rispetti i requisiti minimi dell’hardware di sostenibilità nella capacità di elaborazione dei dati, e se questi vengono persi o manipolati il nodo stesso viene escluso dalla catena per sempre, come unica forma di autotutela e garanzia del modello basato su blockchain.
Impossibile esercitare il diritto di cancellazione (art.17 del Gdpr) sulla blockchain
Ma ancora più dirimente è, ad oggi, semplicemente impossibile per una persona esercitare il suo “diritto di cancellazione”, introdotto, per la prima volta, dal Gdpr con l’articolo 17:
“L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”. L’articolo prevede poi una serie di casi che rendono legittimo questo diritto.
Impossibile anche esercitare il diritto all’oblio sulla blockchain dove i dati, sembrano conservati, in apparenza, in forma anonima.
È vero che la blockchain utilizza la crittografia, ma la crittografia viene utilizzata per identificare e autenticare gli utenti ma non necessariamente per proteggere i dati.
Il registro pubblico distribuito (distributed ledger) ha 3 caratteristiche chiave:
- Tracciabilità: le informazioni memorizzate sono contrassegnate nel tempo, per sempre.
- Trasparenza: chiunque può vedere il “libro mastro” delle transazioni.
- Decentrato: il “libro mastro” esiste su più computer, spesso indicati come nodi.
Il punto 2 indica che il contenuto blockchain non può utilizzare la crittografia per proteggere il contenuto dei dati. Tecnicamente è sbagliato affermare che blockchain utilizza la crittografia, utilizza la crittografia per generare firme di dati, per garantire l’integrità dei dati, ma non la riservatezza dei dati. “Il concetto di pseudo-anonimizzazione non indica anonimato”, ha osservato Camillo Sacchetto (video), docente d’informatica giuridica all’università di Torino e avvocato del Foro di Alessandria: “perché il dato pseudo-anonimizzato può diventare dato idoneo secondo l’articolo 4 dell’attuale codice Privacy”.
Dunque, se da un lato oggi le banche e altri soggetti Titolari del trattamento possono rifiutare la cancellazione dei propri dati per ottemperare ad obblighi imposti dalla legge (basti pensare che i dati di un bonifico bancario devono essere conservati dalla Banca a norma fiscale e antiriciclaggio per 10 anni), le stesse Banche, comunque, non possono in nessun modo pubblicare, in un registro pubblico aperto a tutti, gli stessi dati (per di più per sempre, senza scadenza, per tutta la vita come avviene sulla blockchain) neanche in forma anonima cancellando i dati del titolare del conto, se poi rimane pubblico e tracciabile il codice IBAN del conto stesso, che, in analogia, corrisponde all’identificativo che viene assegnato alla persona sulla blockchain.
Se così fosse allora la blockchain, così come la conosciamo oggi, è fuori norma di legge in tutta Europa in una rigida applicazione del Gdpr e anche nel resto del mondo quando tra i partecipanti (i nodi) alle transazioni ci sono cittadini europei.
Se la nostra tesi fosse avvalorata da autorevoli esperti della tecnologia allora si determinerebbe la fine di un paradigma certamente innovativo, ma che ha il difetto di origine nel non considerare le persone come tali, ma unicamente risolvere con un algoritmo matematico la certezza di una transazione, dimenticando che dietro a quella transazione c’è sempre una persona, con i propri diritti, che gli verrebbero così negati per tutta la vita dall’utilizzo della blockchain.
Ma la tecnologia blockchain non si può fermare così, da un giorno all’altro, anche perché, secondo la previsione del Word Economic Forum, il 10% del Pil mondiale entro il 2025 sarà prodotto da attività e servizi che saranno erogati e distribuiti attraverso le tecnologie blockchain.
Anche per questo motivo nei prossimi giorni Key4biz ritornerà sul tema immaginando compromessi e soluzioni per rendere la blockchain completamente conforme al Gdpr.
