Inizia a farsi più frequente la pratica degli Atenei di certificare i diploma di laurea attraverso reti blockchain. Progetti di questo tipo hanno preso avvio di recente presso il MIT e la University of Nicosia (su rete Bitcoin), l’Università di Cagliari (su Ethereum) e tre università della Grecia (su rete Cardano, in modalità permissioned). Tuttavia, le modalità di trattamento dei dati personali attraverso blockchain pubbliche (es. Bitcoin, Ethereum) possono comportare diversi problemi di adeguamento alle disposizioni del Regolamento UE n. 679/2016 (Gdpr).
Ambito applicativo del GDPR e definizione di dato personale
Il GDPR è inteso a garantire che l’evoluzione della tecnologia, ormai sempre più rapida, si accompagni anche a un elevato livello di protezione dei dati personali, nonché alla certezza giuridica e operativa delle modalità di trattamento da parte di società e altre organizzazioni.
Il Regolamento si applica al trattamento dei dati personali qualora appartengano a cittadini europei, che si trovino o meno sul territorio dell’Unione, o qualora il trattamento sia effettuato da un titolare o un responsabile stabilito nell’Unione (art.3).
La definizione di dato personale secondo il GDPR è piuttosto ampia: comprende infatti qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, anche in forma pseudoanonima (art.4). Di conseguenza non soltanto i dati personali in chiaro, ma anche ad esempio gli identificatori personali in forma cifrata e di hash, gli indirizzi IP, le chiavi pubbliche e private sono da considerarsi dati personali soggetti al GDPR, in quanto riconducibili a una persona fisica mediante l’utilizzo di informazioni aggiuntive.
Per quanto si potrebbe essere indotti a ritenere l’hash dei dati personali un modo sicuro per proteggere la privacy e l’anonimato dei soggetti interessati in quanto inintelligibile e irreversibile, occorre però ricordare che sul piano giuridico questa tipologia di dato rientra comunque nella definizione di dato personale pseudoanonimo ed è perciò soggetto alla disciplina del GDPR.
Blockchain pubbliche e incompatibilità con il GDPR
L’inserimento da parte delle istituzioni universitarie dell’hash crittografico dei diploma di laurea (o del Diploma Supplement) in una rete blockchain ha l’obiettivo di creare una prova immutabile dell’integrità e dell’autenticità degli attestati conservati fuori catena, consentendone la verifica e la portabilità a livello globale e limitando i rischi di eventuali frodi o manomissioni illecite.
L’inclusione di dati personali in forma cifrata e di hash in blockchain pubbliche, qualora effettuata da terze parti, comporta però una generale incompatibilità con le disposizioni del GDPR.
Gli elementi di ostacolo alla piena conformità sono molteplici e nel corso di questi ultimi mesi già opportunamente rilevate anche a livello internazionale. Ci limitiamo pertanto a richiamare rapidamente solo alcune criticità, a cui gli Atenei dovrebbero prestare particolare attenzione nello sviluppo delle proprie applicazioni.
Privacy-by-default e sicurezza dei dati pseudoanonimi
La pseudonimizzazione dei dati personali è uno strumento fondamentale per proteggerne la sicurezza e la riservatezza. Lo stesso GDPR la riconosce diffusamente come adeguata misura tecnica e organizzativa, capace di ridurre i rischi di violazione della privacy per gli interessati e agevolare i titolari e i responsabili del trattamento dati nei loro obblighi di protezione (28).
Ai sensi del GDPR tuttavia l’utilizzo dei dati in forma pseudoanonima non può intendersi come misura esclusiva di protezione (28), né solleva titolari e responsabili del trattamento dati dai propri obblighi.
Assumiamo per praticità che l’amministrazione universitaria sia identificabile come titolare del trattamento dati, in quanto intermediario tra i soggetti interessati e la stessa infrastruttura blockchain (in realtà nelle blockchain pubbliche si pone anche il problema di identificare con certezza questa figura).
Il Regolamento impone che il trattamento dei dati soddisfi il principio della privacy by design e by default, ovvero che la protezione dei dati sia integrata nelle modalità di trattamento fin dalla progettazione e per impostazione predefinita (art. 25). È inoltre fatto obbligo assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi che si intendono utilizzare per la gestione dei dati (art. 32.1b).
Sono disposizioni che certamente debbono tenere conto anche dello stato dell’arte, dei costi di attuazione e degli effettivi fattori di rischio per la protezione dei dati (art. 32.1), da valutarsi caso per caso.
Tuttavia occorre rilevare che blockchain pubbliche e smart contract non offrono attualmente le suddette garanzie di sicurezza a livello nativo e infrastrutturale, a causa della relativa immaturità tecnica, dell’assenza di standard internazionali certi, ma soprattutto a causa della stessa natura distribuita dei network: vulnerabilità e debolezze nel trattamento dei dati possono rivelarsi nel tempo, ma a differenza di quanto avviene nei sistemi centralizzati, devono ora rapportarsi a un’estensione indefinita e potenzialmente illimitata della disponibilità del dato stesso a livello globale.
Quest’ultimo fattore si pone in ulteriore contrasto con il GDPR, in quanto esso richiede che siano definiti e minimizzati by default la portata del trattamento, il periodo di conservazione e l’accessibilità dei dati stessi (art. 25).
È da rilevarsi poi la difficoltà a garantire e dimostrare l’osservanza del GDPR attraverso la figura del responsabile del trattamento (art. 24), che sarebbe chiamato a svolgere una vigilanza permanente sulla sicurezza e la performance dei suddetti sistemi distribuiti aperti.
Trasferimento di dati verso paesi terzi
Anche le disposizioni del GDPR che regolano il trasferimento di dati verso paesi terzi sono di ostacolo alle applicazioni blockchain, in ragione della portata tipicamente globale di queste ultime – come è stato recentemente sottolineato anche dall’Autorità francese per la protezione dei dati personali (CNIL – Commission Nationale de l’Informatique et des Libertés).
Il Regolamento ammette il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale soltanto qualora sia garantito un livello di protezione adeguato e nella sostanza equivalente a quello dell’Unione Europea (101; art. 45). È una condizione che non può essere soddisfatta con certezza e continuità dalle blockchain pubbliche, visto che il loro sviluppo non si fonda su standard tecnico-legali riconosciuti, ma piuttosto su protocolli open source e comunità online operanti su base volontaria.
È da notare che questa disposizione vincola anche eventuali reti permissioned che abbiano nodi situati in territori extra-europei.
Sicurezza e liceità delle modalità operative
Ulteriori fattori di criticità nella gestione dei dati personali non riguardano di per sé l’uso di blockchain pubbliche, ma vanno comunque contestualizzati. Possono essere legati alla sicurezza delle modalità operative adottate, con particolare riguardo al ruolo di terze parti nei protocolli di generazione e custodia delle chiavi crittografiche, nonché alla sicurezza delle condizioni e degli ambienti fisici in cui tali applicazioni vengono create, perché potrebbero essere esposti ad attacchi o manomissioni.
Occorre allora verificare la liceità e l’efficacia ai sensi del GDPR dei procedimenti utilizzati, nonché la legittimità operativa e l’alto grado di affidabilità e capacità di agire di terze parti a cui venissero dati in gestione questi servizi per conto delle Università.
Valutazione di conformità e ruolo delle Autorità Garanti
Le applicazioni su blockchain pubbliche hanno iniziato ad avere l’attenzione della giurisprudenza comunitaria solo di recente e in molti casi si collocano ancora in un’area grigia di tipo sperimentale, caratterizzata dall’assenza di certezza legale e di codici di condotta approvati.
Tuttavia, anche nell’utilizzo di queste tecnologie per il trattamento dei dati personali, gli Atenei sono tenuti a garantire, ed essere in grado di dimostrare, che il trattamento è stato effettuato in maniera conforme al GDPR, considerando anche una moltitudine di fattori quali la natura, il campo di applicazione, il contesto e delle finalità del trattamento (art. 24). Questo principio di accountability costituisce infatti uno dei pilastri del Regolamento stesso.
Vista l’assoluta novità delle tecnologie in questione e la complessità della loro natura tecnica e giuridica, è dunque opportuno svolgere già in fase di ricerca e sviluppo un’accurata valutazione di conformità al GDPR delle applicazioni blockchain che si intendono utilizzare, coinvolgendo anche le Autorità Garanti per avere la certezza della loro liceità – specialmente se si intendono promuovere nell’ambito delle istituzioni pubbliche.
Gli sviluppatori potrebbero voler reclamare un’interpretazione meno rigida del Regolamento, che dia respiro all’innovazione. La protezione dei dati personali rappresenta tuttavia una materia particolarmente sensibile per il Legislatore e quale debba essere esattamente il livello di sicurezza richiesto nei servizi pubblici o il grado di flessibilità interpretativa con cui sostenere i servizi blockchain non è questione che sviluppatori e giuristi potranno risolvere da soli.
Si dovrà attendere che attraverso eventuali linee guida, raccomandazioni o decisioni vincolanti, il Comitato Europeo per la Protezione dei Dati e le autorità di controllo si pronuncino e diano ulteriore disciplina alla materia – in senso permissivo o restrittivo – facendo chiarezza ad esempio sul livello di sicurezza del trattamento dati che è ragionevole garantire per ogni specifico caso d’uso e sulle migliori pratiche da adottare. Le logiche interpretative dovranno poi essere armonizzate tra tutti gli Stati Membri dell’Unione.
Buone pratiche internazionali e possibili evoluzioni
In attesa di eventuali interventi da parte delle Autorità Garanti, le raccomandazioni dell’Autorità francese per la protezione dei dati personali e i documenti di lavoro dell’EU Blockchain Observatory and Forum relativi al GDPR riassumono alcune linee guida che trovano consenso tra gli specialisti del settore.
Occorre innanzitutto evitare di inserire in chiaro su qualsiasi tipo di blockchain (pubblica o permissioned) sia identificatori diretti (e.g. il numero di matricola dello studente) che identificatori indiretti (e.g. la data di nascita).
Inoltre, nelle blockchain pubbliche non dovrebbero mai essere inseriti neppure i dati personali cifrati, perché la sicurezza pur sempre relativa della crittografia, in combinazione con l’immutabilità della blockchain, potrebbe dar luogo nel tempo a rischi di violazione della privacy dei soggetti coinvolti.
Per quanto riguarda invece l’inclusione degli hash su blockchain pubbliche, la sicurezza di queste applicazioni e la conformità al GDPR dovrà essere valutata caso per caso, tenendo conto delle raccomandazioni delle Autorità Garanti che potranno pervenire in proposito.
In generale, l’utilizzo di blockchain pubbliche sarà ammessa qualora se ne possa provare l’irrinunciabile necessità d’uso; fin dove possibile, saranno tuttavia da preferire altre soluzioni tecnologiche, ad esempio reti permissioned con pochi nodi situati in territori UE, che con specifici termini di servizio, potranno consentire una più chiara corrispondenza alle disposizioni del GDPR.
È un approccio precauzionale che possiamo ritenere maggiormente vincolante per Università e istituzioni pubbliche, tenute a garantire assoluta compliance normativa.
Tra i vari scenari futuri, si può allora immaginare che gli Atenei lascino semplicemente ai soggetti interessati la facoltà di inserire i propri dati sulle blockchain pubbliche per proprio conto, limitandosi magari a fornire loro istruzioni in merito. Una scelta forse più rapida e conveniente del cercare di rendere le applicazioni blockchain conformi al GDPR attraverso particolari sforzi interpretativi.
In alternativa, gli Atenei potrebbero orientarsi nel tempo verso la creazione di propri ecosistemi permissioned – come hanno già scelto di fare alcune università della Grecia con un progetto pilota in parte finanziato attraverso Horizon 2020.
In questo caso gli Atenei continuerebbero ad agire come “trust anchor” e le applicazioni avrebbero ovviamente un minore grado di decentralizzazione, oltre che costi infrastrutturali maggiori e tempi di attuazione più lunghi. Sarebbero comunque in grado di garantire ai soggetti interessati l’autenticità, l’integrità e la portabilità dei certificati di laurea, anche con maggiore certezza legale di accessibilità e persistenza dei dati nel lungo periodo rispetto ai sistemi distribuiti aperti.