Diversi documenti di ricerca di istituzioni ed autorità europee pubblicati di recente hanno analizzato la relazione tra la tecnologia blockchain e il Regolamento generale sulla protezione dei dati (GDPR). Data la miriade di possibili usi della blockchain e le sfide che tale tecnologia pone in termini di conformità al GDPR, non sorprende che gli studi giungano a conclusioni spesso diverse in merito alla questione se la blockchain possa essere utilizzata o meno in modo conforme al regolamento. Di seguito, alcuni suggerimenti per l’utilizzo della blockchain, in un’ottica di conformità al GDPR.
Blockchain e GDPR: sono incompatibili?
Diversi studi discutono spesso in merito agli aspetti tecnologici dei sistemi basati su blockchain, anche se con diversi livelli di dettaglio. Il rapporto del National Institute of Standards and Technology degli Stati Uniti conclude che la tecnologia è pubblicizzata e nota, ma non ben compresa. Sebbene si tratti di una delle tecnologie più innovative del momento, la blockchain non è adatta in tutti i casi.
Lo studio del NIST conclude che è impossibile valutare in generale se la blockchain risponda ai requisiti normativi del GDPR. Solo l’implementazione caso per caso può essere valutata in termini di conformità al GDPR. Al contrario, la relazione del CNIL e il rapporto dell’Osservatorio e Forum dell’Unione Europea sulla Blockchain (EUBOF) adottano un approccio diverso sul tema, concludendo che la tecnologia blockchain può rientrare nei limiti di conformità al GDPR.
Sia il rapporto del NIST che la relazione dell’EUBOF sollevano anche un’altra questione, ovvero se sia necessario utilizzare a tutti i costi una soluzione blockchain. Il NIST raccomanda di valutare un paio di fattori prima di decidere se utilizzare una tecnologia blockchain, inclusa la scelta fra la tipologia con permessi autorizzativi o aperta. Ognuna ha infatti i suoi punti di forza e di debolezza, ma per le aziende private che cercano una maggiore conformità al GDPR, il NIST raccomanda la prima tipologia.
Per affrontare le questioni chiave evidenziate nei rapporti del NIST e dell’EUBOF e soddisfare i requisiti di conformità alla privacy, si dovrebbe effettuare una valutazione dell’impatto sulla protezione dei dati ed una valutazione iniziale dei rischi per la sicurezza delle informazioni. Tuttavia, il Comitato Europeo per la Protezione dei dati non concorda con questa valutazione, avendo affermato che l’uso di una tecnologia nuova o innovativa di per sé non determina la necessità di condurre una DPIA. La necessità di farlo nasce solo quando la nuova tecnologia è combinata con un altro fattore di elaborazione che aumenta il rischio dell’attività di trattamento dei dati ad un livello elevato.
Come implementare una blockchain compatibile con GDPR
Stanti le considerazioni sollevate dai recenti studi del CNIL, del NIST e dell’EUBOF, quando si progetta una soluzione blockchain che miri ad essere conforme al GDPR, si dovrebbe considerare l’obiettivo aziendale che si intende raggiungere con la blockchain. Ciò può aiutare ad identificare i rischi connessi all’elaborazione tramite blockchain dei dati personali e a capire come dovrebbe funzionare la soluzione. Una soluzione sicura per i dati che non aiuta a raggiungere gli obiettivi aziendali non può essere una buona soluzione. Né può esserlo una soluzione che si concentri solo sul raggiungimento degli obiettivi di business, ma che ignora il GDPR e altri rischi di conformità.
Occorre poi individuare in anticipo chi potrà immettere dati nella blockchain, capire in che modo i nodi interagiranno tra loro e chi avrà accesso ai dati di output. In caso di trattamento di dati personali, il titolare del trattamento è tenuto anche ad attuare misure per garantire l’integrità di tali dati. Inoltre, se la soluzione è basata su un’implementazione con permessi autorizzativi, dovranno essere definiti i relativi livelli di autorizzazione e la loro granularità (ad esempio amministratori, super utenti e utenti).
Come trattare i dati personali
Quanto ai dati personali da utilizzare nella blockchain, occorrerà seguire il principio della minimizzazione ed escludere la loro elaborazione laddove non sia necessaria. Se ciò non potesse essere evitato, si dovranno identificare le tecniche di mitigazione del rischio più opportune, come protocolli a conoscenza zero o metodi di crittografia omomorfica. Il rapporto del NIST suggerisce infatti che il computer quantistico pone rischi elevati nell’uso dei metodi di crittografia attuali e renderà non sicura la maggior parte delle soluzioni di crittografia a chiave pubblica.
Anche le basi giuridiche dei trattamenti dei dati personali possono variare a seconda del tipo di blockchain utilizzato. Le blockchain aperte, ad esempio, possono fare affidamento sul consenso degli utenti, mentre quelle private possono fare affidamento sull’esecuzione di un contratto. Se non è possibile identificare una base giuridica e se la liceità del trattamento dei dati personali non può essere garantita in anticipo, è necessario cercare ulteriori misure di mitigazione (ad esempio la completa anonimizzazione). In tal caso, potrebbe anche essere prudente riconsiderare del tutto l’opportunità di utilizzare la blockchain. Occorrerà altresì identificare i titolari e i responsabili del trattamento dei dati, nonché definire il modello di governance della soluzione pianificata.
Rispetto alle blockchain aperte, suscettibili del cosiddetto “attacco del 51%” (dove gli aggressori controllano più della metà delle risorse), il rapporto del CNIL suggerisce che i loro operatori e partecipanti dovrebbero concordare in anticipo l’allocazione delle risorse e il modello di consenso da seguire. La definizione dei ruoli dovrebbe essere esposta pertanto in accordi scritti. In caso di trattamenti di dati personali in una blockchain, è fortemente raccomandabile definire delle procedure per consentire l’esercizio dei diritti dei soggetti dei dati. Secondo la relazione del CNIL, il diritto di accesso e la portabilità dei dati sono diritti compatibili con il concetto di blockchain. Il diritto all’oblio, al contrario, non è supportato dal design della tecnologia. Per questo motivo, si raccomanda l’identificazione e l’attuazione di procedure che consentano ai titolari del trattamento di soddisfare i requisiti del GDPR.
Anche una buona conoscenza della natura dei contratti intelligenti è fortemente consigliata, in quanto questi potrebbero rientrare nelle disposizioni del processo decisionale automatizzato ai sensi del GDPR. Questo è sicuramente un altro punto di cui tener conto nella fase di progettazione della blockchain. Il NIST suggerisce inoltre, in fase di progettazione di una blockchain pubblica, di ricordarsi che, a causa della natura decentralizzata della tecnologia, una blockchain non si spegne mai veramente. Di conseguenza, la valutazione e mitigazione dei rischi relativi alla sicurezza delle informazioni dovrà essere approfondita e continua e dovrà includere rischi relativi alla privacy, rischi di cybersecurity (ad esempio, vulnerabilità dell’infrastruttura sottostante) e rischi legati al contesto. Questo requisito è spesso trascurato, benché gli articoli 24 e 32 del GDPR richiedano a titolari e responsabili del trattamento di mantenere, valutare e migliorare le misure organizzative e tecniche, per mitigare i rischi posti dalle loro attività di elaborazione dei dati.
Una conformità caso per caso
Il GDPR non è una lista rigida di passi da seguire. È una normativa che consente a titolari e responsabili del trattamento dei dati di svolgere la propria attività in modo da tutelare i diritti e le libertà degli interessati. La conformità al GDPR può essere misurata caso per caso, solo considerando l’effettiva implementazione della tecnologia attraverso la quale i dati personali vengono canalizzati ed elaborati. Il modo in cui la tecnologia viene implementata per soddisfare un obiettivo è fondamentale per analizzare se tale tecnologia può essere conforme o meno al GDPR.
Data l’attuale assenza di una comprensione approfondita della blockchain e la divergenza con cui i vari studi la collocano rispetto al soddisfacimento dei requisiti del GDPR, solo l’evolversi delle sue applicazioni d’uso riveleranno come considerare davvero la conformità di tale tecnologia al GDPR. Nel frattempo, una valutazione proattiva e critica (considerata e rivalutata nel tempo) della blockchain e delle sue implicazioni sulla privacy sembra fondamentale per consentire l’utilizzo di tale tecnologia in modo quanto più possibile aderente alle normative correnti.
