Abstract
La blockchain è una moderna tecnologia che che consente la creazione e la gestione di registri digitali decentralizzati in cui i dati vengono memorizzati, registrati e condivisi. Queste caratteristiche si scontrano con il GDPR, che definisce la legislazione dell’UE in materia di protezione dei dati e si basa su una rappresentazione centralizzata della realtà in cui i dati vengono elaborati, raccolti e registrati in un database controllato da soggetti identificati. In questo articolo si analizzano le questioni di conformità della tecnologia blockchain con le più recenti norme europee, oltre che le potenzialità e limitazioni legate a privacy e controllo dei dati personali.
Introduzione
La tecnologia blockchain è diventata rapidamente l’applicazione più nota e diffusa della distributed ledger technology (DLT) a livello globale. È stata descritta come la tecnologia dirompente per eccellenza dopo l’avvento di Internet. In quanto tale, può cambiare radicalmente il modo in cui avvengono le interazioni socio-economiche e creare grandi opportunità e serie sfide per la società. Le enormi potenzialità di questa tecnologia non sono però adeguatamente regolamentate dal punto di vista del trattamento e protezione dei dati nella legislazione dell’UE. Esiste una tensione strutturale tra la base tecnica del regolamento, il trattamento centralizzato dei dati e la natura intrinsecamente decentralizzata della tecnologia blockchain. Una crescente preoccupazione è se il GDPR (General Data Protection Regulation) possa garantire una protezione adeguata all’enorme quantità di dati registrati sulla blockchain. Mentre la Commissione europea si aspetta che il GDPR consenta all’innovazione di continuare a prosperare nell’ambito delle nuove norme, molti hanno espresso il timore che il GDPR possa soffocare questa tecnologia emergente. Di conseguenza, questo articolo affronterà alcune questioni cruciali che emergono dall’interazione tra blockchain e protezione dei dati, delineando così le caratteristiche essenziali di questo argomento.
Blockchain
Nata nel 2009 come applicazione per la moneta virtuale Bitcoin, la blockchain è un database condiviso e decentralizzato. A differenza dei database tradizionali, utilizza una tecnologia unica che consente di archiviare i dati in maniera sicura. Il termine blockchain si riferisce a una tecnologia che consente la creazione e la gestione di un registro digitale decentralizzato e distribuito in cui i dati, solitamente chiamati “transazioni”, vengono memorizzati, registrati in ordine cronologico, trasferiti e infine condivisi tra i nodi che partecipano alla rete. Questi ultimi sono dispositivi hardware in grado di comunicare con altri nella cosiddetta rete peer-to-peer.
Di conseguenza, una blockchain consente l’archiviazione e la trasmissione di informazioni in modo trasparente e sicuro, senza la necessità di affidarsi a una terza parte fidata. Come rivela la sua etimologia, è strutturata come una serie di blocchi crittografati che vengono aggregati e collegati in rete lungo una catena. Un singolo blocco raggruppa più transazioni che vengono poi aggiunte alla catena di blocchi esistente attraverso una funzione di hash. La crittografia è l’elemento architettonico distintivo di una blockchain e ne garantisce l’immutabilità. In breve, ciò significa che, una volta registrati in un determinato blocco, i dati non possono essere modificati retroattivamente, a meno che non vengano modificati tutti i blocchi successivi.
Di conseguenza, prima di essere aggiunto alla catena, ogni blocco deve essere controllato, convalidato ed eseguito secondo il protocollo di convalida scelto (algoritmo di consenso o meccanismo di consenso). L’algoritmo di consenso definisce quali sono gli algoritmi di validazione e chi può essere un miner. Ad esempio, chi può verificare la validità delle informazioni che un nodo contiene prima di essere aggiunto alla blockchain. I protocolli di validazione sono quindi un elemento distintivo di questa nuova tecnologia, in quanto regolano il modo in cui le informazioni possono essere aggiunte all’archivio condiviso. Si tratta cioè di un metodo per scegliere come aggiungere i blocchi alla blockchain. Garantiscono inoltre che il contenuto di ogni blocco (cioè le transazioni) sia coerente in tutta la rete, in modo che ogni nodo abbia la stessa versione della blockchain. Per verificare l’autenticazione delle transazioni, in genere si applica la firma digitale basata sulla crittografia asimmetrica (chiavi pubbliche e private). Si tratta di stringhe di lettere e numeri: la chiave pubblica rappresenta l’utente, mentre la chiave privata è come una password. La tipica firma digitale comprende due fasi: la fase di firma e la fase di verifica. Quando un nodo crea una transazione, questa viene firmata dalla sua chiave privata. Quando altri nodi ricevono la transazione, la chiave pubblica dell’iniziatore viene utilizzata per verificare l’autenticazione della transazione ricevuta.
Esistono tre categorie di blockchain: private, pubbliche e consortili.
Una blockchain privata crea un gruppo di partecipanti noti che lavorano in una rete chiusa ma decentralizzata, dove l’accesso deve essere convalidato da un’organizzazione o da un ente. I diritti di lettura possono essere concessi ai nodi che appartengono alla rete o a nodi esterni selezionati (c.d. blockchain permissioned)
Nelle blockchain pubbliche, chiunque può unirsi alla rete per partecipare al processo di consenso, leggere e accedere alle informazioni, nonché mantenere il registro condiviso (ad esempio, Bitcoin ed Ethereum) (c.d. blockchain permissionless).
Le blockchain consortili, invece, si collocano a metà strada tra blockchain pubbliche e private, combinando elementi di entrambe. Non sono sistemi aperti, dato che un gruppo predeterminato di nodi può accedere alla rete (un numero minimo di partecipanti che sono anche noti). Tuttavia, questo tipo di blockchain è allo stesso tempo semi-decentrato, poiché funziona sotto la supervisione di membri di gruppi limitati. Inoltre, le blockchain consortili hanno un consenso multiparte, poiché tutte le operazioni sono verificate da un numero selezionato di nodi. Allo stesso modo, anche i diritti di lettura possono essere controllati.
L’applicazione della blockchain, tuttavia, va ben oltre il mondo delle valute virtuali. Infatti, tale tecnologia trova uno dei suoi principali utilizzi nel verificare e garantire la tracciabilità di prodotti e/o servizi.
Quando si tratta di produrre cibo per il consumo umano, mangime per il bestiame o legname per le case, la tracciabilità e la trasparenza ci assicurano che tali prodotti provengano da una fonte sicura o che i materiali provengano da un fornitore affidabile. Oltre alla loro funzione sociale ed economica, la tracciabilità e la trasparenza sono fondamentali anche al monitoraggio degli obiettivi climatici e le relative azioni di adattamento e mitigazione. Ad esempio, una migliore contabilizzazione delle emissioni di carbonio utilizzando la tecnologia blockchain può aiutare i Paesi a mantenere le proprie emissioni di gas serra in linea con gli impegni assunti nell’ambito dell’Accordo di Parigi delle Nazioni Unite del 2015.
GDPR
Un sistema così complesso come quello della blockchain ha suscitato molte domande sulla sua effettiva conformità ai più recenti regolamenti per il trattamento e la protezione dei dati personali. A tale riguardo, la principale normativa dell’UE è il GDPR (General Data Protection Regulation) e rappresenta una risposta proattiva alle sfide poste dagli sviluppi tecnologici e all’aumento della condivisione di dati e informazioni sensibili di aziende e consumatori con service providers ed enti pubblici. Questa normativa sostituisce la precedente GU L. 281/1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il GDPR persegue un duplice obiettivo: facilita la libera circolazione dei dati personali tra i vari Stati membri dell’UE, fornendo al contempo un quadro dettagliato per rendere effettivo il diritto fondamentale alla protezione dei dati. Tuttavia, vale la pena notare che questo diritto non è assoluto e deve essere bilanciato con altri diritti fondamentali in conformità al principio di proporzionalità (articolo 52 della Carta dei diritti fondamentali dell’Unione europea) e recenti studi in materia fanno emergere possibili tensioni tra la legge sulla protezione dei dati e la blockchain.
In primo luogo, come già affermato, l’immutabilità è uno dei concetti fondamentali alla base dell’infrastruttura della blockchain. I dati vengono infatti registrati in modo immutabile, cosicché la loro cancellazione o modifica, in linea di principio, non è possibile. Questa caratteristica della blockchain sembra essere in contrasto con l’assunto del GDPR secondo cui i dati possono essere cancellati, o almeno modificati se necessario, per conformarsi agli articoli 16 e 17. Tuttavia, sulla base delle indicazioni interpretative del Comitato europeo per la protezione dei dati (EDPB) e della Corte di giustizia europea (CGUE), la cancellazione dei dati non implica una cancellazione totale dei dati.
In secondo luogo, per valutare la conformità alla protezione dei dati, questa sezione deve riguardare l’identificazione del responsabile del trattamento dei dati, al quale gli interessati possono rivolgersi per far valere i propri diritti. La definizione dei ruoli e l’attribuzione delle responsabilità potrebbe essere una vera sfida nella blockchain pubblica senza permessi, dove non esiste un’unica entità legale che prende le decisioni. Inoltre, recenti sentenze della CGUE hanno stabilito che la contitolarità, che nel GDPR ha contorni incerti, è molto più complicata, in particolare in relazione all’attribuzione delle responsabilità.
Protezione dei dati degli utenti
Nel caso di blockchain permissionless, la protezione dei dati si basa sull’hashing e sulla crittografia a chiave pubblica/privata. Gli hash consentono di memorizzare in modo efficiente le transazioni in un formato che ne permette la verifica, mentre la crittografia a chiave pubblica/privata fornisce i mezzi per convalidare il mittente e il destinatario di una transazione.
Allo stesso modo, le blockchain autorizzate integrano queste tecniche nei loro protocolli per motivi di privacy piuttosto che di efficienza. Gli esperti raccomandano di non memorizzare i dati personali in chiaro sulla blockchain (cioè di memorizzarli fuori dalla catena), soprattutto nelle blockchain pubbliche permissionless. Tuttavia, potrebbero esserci ragioni commerciali o politiche per inserire i dati personali direttamente nella catena. In questo caso, l’utente viene esposto a due rischi: il rischio di inversione, cioè la possibilità di un utente terzo di invertire i processi crittografici, in modo tale ricostituire i dati originali; il rischio di collegabilità, cioè la possibilità di collegare i dati crittografati a un’identità attraverso il confronto con il documento originale.
In effetti, applicando questi concetti a un ambiente decentralizzato, ci si chiede se i dati personali crittografati o sottoposti a hash siano ancora appartenenti esclusivamente alla persona fisica, o giuridica, che li ha condivisi. Il semplice utilizzo di una funzione di hash non implica automaticamente che i dati siano anonimi. Per quanto riguarda i dati criptati o sottoposti a hash, essi sono ancora classificati come personali, in quanto rientrano nella categoria dei dati pseudonimizzati. I dati pseudonimi continuano a essere considerati personali, finché rimane possibile l’identificazione indiretta di una persona fisica. Invece, l’utilizzo di chiavi pubbliche, combinate con informazioni aggiuntive, possono rivelare l’identità che si nasconde dietro l’indirizzo dell’account, costituendo di fatto dati personali ai sensi del GDPR. La Commission Nationale de l’Informatique et des Libertés (CNIL) francese e l’Osservatorio e il Forum dell’UE sulla Blockchain sono giunti alla stessa conclusione. Quest’ultimo, in particolare, ha sollevato maggiori preoccupazioni sul rischio di collegabilità.
Sebbene sia indubbiamente necessaria una scrupolosa analisi caso per caso, sulla base dell’attuale parere degli esperti, si può affermare che le chiavi pubbliche, direttamente o indirettamente collegate a una persona fisica identificata o identificabile, si qualificano come dati personali ai sensi della legge sulla protezione dei dati. In ogni caso, per prevenire il rischio di identificazione, è necessario adottare misure tecniche e organizzative.
Responsabilità del trattamento dei dati e progetti europei
Il GDPR definisce il titolare del trattamento come la persona fisica o giuridica che “determina le finalità e i mezzi del trattamento dei dati personali”. L’identificazione del responsabile del trattamento (o dei corresponsabili del trattamento) è tutt’altro che una questione puramente teorica.
Il framework è importante per due motivi: in primo luogo, garantisce il rispetto del principio di responsabilità chiarendo chi deve rispettare gli obblighi del regolamento. In secondo luogo, attribuisce le responsabilità per garantire i diritti degli interessati.
L’identificazione del responsabile del trattamento è certamente complicata a causa del decentramento del controllo sui dati a livello di rete. A questo proposito, non c’è accordo su chi debba essere il responsabile del trattamento di una determinata operazione di elaborazione dati abilitata dalla blockchain. Probabilmente, le osservazioni formulate dalla DPA francese (CNIL) possono contribuire a risolvere la questione.
Come già detto, le blockchain permissionless e permissioned si differenziano per il grado di decentralizzazione. Quando si tratta di reti blockchain senza permesso, è molto più difficile identificare il responsabile del trattamento dei dati, poiché si tratta di reti aperte ampiamente distribuite e tutti gli utenti sono coinvolti nel trattamento dei dati. Non esiste quindi un operatore o un amministratore centrale che determini gli scopi e i mezzi del trattamento dei dati.
Dato che i nodi hanno accesso a tutti i dati, è stato suggerito che possano essere i responsabili del trattamento perché non sono soggetti a istruzioni esterne, ma decidono autonomamente se unirsi alla catena. Questa ipotesi trascura il fatto che i nodi contribuiscono solo alla manutenzione pratica del sistema. Sembra molto più ragionevole considerare l’identità come un controllore di dati con un’autorizzazione scritta (ad esempio, un notaio che carica sulla blockchain un documento ricevuto da un cliente). Tuttavia, altri autori, considerando la natura decentralizzata del sistema delle blockchain, sostengono che i nodi potrebbero anche agire come responsabili del trattamento a causa del fatto che l’intera storia delle transazioni è memorizzata sulla blockchain.
È opinione diffusa che i Miners non siano responsabili del trattamento dei dati. Essi si limitano a convalidare le transazioni richieste dai partecipanti. Pertanto, non sono coinvolti nella definizione delle finalità e dei mezzi del trattamento.
Gli esperti sostengono che gli utenti possono essere considerati responsabili del trattamento dei dati quando effettuano direttamente la transazione e inviano dati personali alla catena come parte di un’attività commerciale. Sono infatti gli unici soggetti in grado di determinare le finalità e di influenzare le modalità di trattamento dei dati (come ad esempio il formato dei dati e la scelta di utilizzare una blockchain anziché un’altra tecnologia). Per quanto riguarda la possibile sovrapposizione tra interessato e responsabile del trattamento, è una questione aperta in quanto non è disciplinato all’interno del GDPR. La sovrapposizione può spostare la responsabilità sugli utenti che potrebbero non essere consapevoli delle complesse implicazioni del trattamento dei dati. Lo stato attuale della legge rende molto difficile distinguere i diversi ruoli a causa delle caratteristiche di progettazione e di governance della blockchain che apparentemente ne ostacolano l’identificazione.L’idea di plasmare la tecnologia secondo i principi della protezione dei dati, tra cui la minimizzazione dei dati e la privacy by design e by default, si concretizza nell’acronimo PETs (Privacy Enhancing Technologies). Si tratta di una serie di tecnologie progettate per supportare la protezione dei dati e della privacy.
Un numero crescente di orientamenti e relazioni ha affrontato la questione dell’applicazione del GDPR a un sistema di dati decentralizzato come la blockchain. Il fondamento di tutti questi documenti emessi, tra gli altri, dal Comitato europeo per la protezione dei dati, dal Parlamento europeo, dal Garante europeo per la protezione dei dati e dalle autorità per la protezione dei dati (CNIL) è che la tecnologia potrebbe essere uno strumento utile per raggiungere alcuni degli obiettivi di fondo del GDPR, preservando al contempo le caratteristiche delle blockchain di infrastruttura affidabile e incentrata sull’uomo.
Il Parlamento europeo ha infatti definito il sistema DLT (Distributed Ledger Technology) come uno “strumento che promuove l’empowerment dei cittadini dando loro la possibilità di controllare i propri dati e di decidere quali dati condividere nel libro mastro, nonché la capacità di scegliere chi altri può vederli”. Allo stesso tempo, ha sottolineato l’importanza di un sistema decentralizzato per l’auto-sovranità, l’identità e la fiducia, postulando così il potenziale di miglioramento della privacy della blockchain e della DLT in generale.
A livello europeo, esiste un’ampia gamma di progetti che dimostrano come la blockchain possa essere utilizzata per raggiungere questi obiettivi.
Un esempio è il progetto Decode, una risposta alle preoccupazioni delle persone per la perdita di controllo sulle proprie informazioni personali su Internet e ha l’obiettivo di sviluppare un nuovo modello per il trattamento dei dati online, in cui gli individui abbiano il controllo di ciò che accade alle loro informazioni personali e con chi le condividono.
L’obiettivo è condiviso anche dal progetto MyHealthMyData che prevede una struttura di gestione dei dati in cui gli interessati possono consentire, rifiutare e revocare l’accesso ai propri dati sensibili in base a diversi parametri prestabiliti. La sicurezza e la protezione dei dati sono di conseguenza aumentate, e questo è di fondamentale importanza in settori come la gestione dei dati sanitari, che richiedono sia una maggiore attenzione a causa della sensibilità dei dati trattati, sia un ritmo più veloce per raggiungere gli scopi del trattamento (come ha dimostrato la pandemia di Covid-19).
Conclusioni
Questa breve panoramica ha evidenziato l’esistenza di un dibattito aperto e vivace sullo sviluppo di strumenti in grado di raggiungere gli obiettivi del GDPR. Questi progetti rivelano che è possibile utilizzare la blockchain per ridurre al minimo il rischio di manipolazione e persino ottenere un maggiore controllo sulle informazioni personali. È tuttavia chiaro che non si tratta di un meccanismo automatico, ma di soluzioni ad hoc e casi d’uso. Ogni strumento deve essere valutato in base ai propri meriti, analizzando caso per caso.
Quando si tratta di identificare le implicazioni della tecnologia blockchain sulla protezione dei dati, è essenziale considerare due aspetti. In primo luogo, la tecnologia è ancora in fase di sviluppo, il che significa che nulla è definitivo. In secondo luogo, mancano standard e interpretazioni coerenti sia sugli aspetti principali della tecnologia sia su alcuni requisiti di protezione dei dati (ossia, cosa comportano effettivamente e in che misura possono essere interpretati). Pertanto, l’intersezione tra la tecnologia blockchain e il GDPR rimane ambigua e ha acceso un dibattito che, ad oggi, sembra essere solo all’inizio.