Da Andrea Gandini, laurea in giurisprudenza, master di secondo livello in data protection ed esperto informatico-giuridico, riceviamo un interessante articolo che pone la questione ancora irrisolta della compatibilità tra i precetti del GDPR e le caratteristiche di immodificabilità intrinseche di una blockchain.
Molti sono gli articoli e post dedicati alla blockchain ed altrettanti al Gdpr.
La sensazione dello scrivente è che il Gdpr sia stato scritto pensando a sistemi centralizzati, con restrizioni e un data controller identificabile, situazione diametralmente opposta ai sistemi distribuiti come la blockchain pubblica, decentralizzata. Vedo inoltre un errore di fondo in alcuni testi, consultati nel web, afferenti le Dlt (Distributed Ledger Technology).
Prima di portare il focus sull’argomento indicato nel titolo, sono didattiche, per il proseguo della lettura, alcune specifiche per “i non informatici” e altre per “i non giuristi”. In brevissima sintesi, per punti:
1 La blockchain è un libro mastro (ledger) distibuito su una rete P2P (acronimo di peer to peer), una Dlt basata su una catena di blocchi.
2 La DLT è una banca dati distribuita su diversi dispositivi informatici (nodi), ognuno dei quali partecipa “votando”, ossia ogni nodo collabora alla risoluzione di un algoritmo “di consenso” circa la soluzione raggiunta. Avvenuto il consenso, il database viene aggiornato e ogni nodo ne riceve una copia.
3 La blockchain, rispetto alla Dlt, ha un sistema a blocchi collegati fra loro e crittografati.
4 Non tutte le dlt sono blockchain.
6 I dati inscritti nella catena di blocchi, non sono cancellabili o modificabili. Infatti è consentito solo aggiungere dati al database distribuito. I blocchi sono chiusi da una “impronta” (hash), che sarà uguale all’ hash del blocco successivo.
7 I dati presenti nel libro mastro sono pubblici (almeno nelle blockchain “ideali”, come nel caso paradigmatico del Bitcoin. Secondo alcuni sviluppatori, è l’algoritmo che “garantisce” la catena di blocchi, non la trasparenza dei dati inseriti in essa).
8 Gli articoli 16 e 17 del GDPR, rispettivamente diritto di rettifica e diritto alla cancellazione, si basano sul presupposto che i dati possano essere modificati o cancellati per garantire i diritti degli interessati.
9 E’ possibile distinguere fra 2 tipi di blockchain, pubblica e privata. Le blockchain pubbliche sono open, non hanno un proprietario e tutti gli utenti controllano tutti i dati presenti nel data base. Esempio paradigmatico è la blockchain alla base della criptovaluta Bitcoin. Invece, le blockchain private hanno un numero ristretto di utenti deputati alla validazione. Costoro decidono se il dato vada o meno registrato nella catena di blocchi. (Questa distinzione non è condivisa da tutti, alcuni tecnici individuano un maggior numero di “sfumature”).
L’attento lettore avrà già colto le problematiche a cui vanno incontro gli sviluppatori nel tentativo di adeguare la blockchain al Regolamento EU 2016/679.
Tante le domande. Come garantire i diritti dell’interessato alla cancellazione (oblio) o modifica registrati nella catena? Chi sono il titolare ed il responsabile del trattamento? Il trattamento dei dati personali immessi si conclude con la chiusura del primo blocco? Gli interessati a chi possono rivolgersi per far valere i propri diritti? Una blockchain pubblica può essere Gdpr compliant?
Su queste e molte altre domande sono intervenuti: il Parlamento europeo [1], indicando tre policy per evitare di modificare il Regolamento e permettano di realizzare progetti di blockchain compatibili; il Cnil in modo più pratico [2] suggerisce [3] “D’ailleurs, de manière plus générale, il convient de ne pas avoir recours à un stockage en clair d’une donnée personnelle sur la Blockchain” (inoltre, più in generale, è consigliabile non utilizzare una chiara memorizzazione dei dati personali sulla Blockchain).
In internet si trovano molti articoli incentrati sul dibattito blockchain vs diritto alla cancellazione. Alcuni tecnici IT hanno suggerito l’applicazione della crittografia ai dati inscritti nel ledger. Però, la sola crittografia dei dati personali da registrare nella blockchain non appare sufficiente. Criptando, cancelliamo il dato ora, non per il futuro in quanto qualsiasi algoritmo di cifratura può essere violato se si dispone di tempo e potenza di elaborazione sufficienti. Un sistema di crittografia oggi considerato sicuro potrebbe non esserlo tra alcuni anni. Probabilmente, a fronte della minaccia futura dell’impiego di computer quantistici per la decifrazione, la soluzione crittografica arriverà da algoritmi di criptografia “a prova di quantum” (ammesso che segretamente non siano già stati sviluppati).
Partendo dal presupposto che la moderna crittografia si basi su due chiavi, una pubblica e una privata, un gruppo di giuristi [4] ha avanzato una possibile soluzione per l’eliminazione dei dati personali memorizzati nella blockchain: la “cancellazione” potrebbe concretizzarsi distruggendo la chiave privata dei dati crittografati (ma chi può garantire che non si sia fatta una copia della chiave privata?). Eliminazione permanente o quanto meno resa inaccessibile ad altri. Soluzione questa controversa, non ho trovato in Rete unanime consenso sul fatto che questa sia a tutti gli effetti considerata una eliminazione.
Aggiungo ulteriori riflessioni circa il rapporto Gdpr-blockchain. In un sistema distribuito ed open (blockchain pubblica), ogni utente è data controller per sé e data processor per gli altri. In più si evince attrito, fra norma e questa tecnologia, sull’aspetto del trasferimento dati all’estero poiché gli utenti possono trovarsi in qualsiasi Paese del mondo, nonché avere qualsiasi nazionalità. (In internet i confini non sono quelli fisici, risulterà estremamente difficile per un governo impedire invio di dati senza controllo nè censura fuori dai confini geografici). La pluralità di data controller, sparsi sul globo terrestre è anche d’ostacolo all’applicazione di eventuali sanzioni. Infine, in una situazione del genere, risulta impossibile nominare un data protection officer.
Pur affascinato dall’applicazione della catena di blocchi per criptovalute e ancor più per la notarizzazione, tutto quanto sino ad ora esposto mi porta al sospetto che, per molti progetti oggi pubblicizzati, siano state utilizzate delle generiche DLT e non la blockchain al fine di ottenere compliance al Regolamento EU 2016/679 (Gdpr).
E parere dello scrivente che la blockchain pura (così definisco quella pubblica), di base, non sia compliant al Gdpr. La blockchain è un database distribuito immutabile e l’immutabilità non si concilia col diritto all’oblio ed il diritto alla rettifica dei dati personali. Leggendo il white paper di Satoshi Nakamoto [5] e il manifesto del cypherpunk di Huges [6], si comprende l’ideale col quale è stata pensata questa tecnologia. Decentralizzare, evitare il controllo centrale, conferire assoluta trasparenza ai dati registrati nel libro mastro. (Questo almeno l’aspetto idealistico, forse utopico. Sviluppatori, con i quali mi sono confrontato sul tema, hanno una idea più pragmatica, escludendo che i dati in essa debbano essere accessibili a tutti, preferendo pensare che sia il singolo a decidere quale suo dato possa essere privato o pubblico).
Sviluppare un sistema immutabile senza un approccio ai sensi dell’art 25 Regolamento EU 2016/679 (protezione sin dalla progettazione e per impostazione predefinita) significa avere grossi problemi di adeguatezza. Esistono soluzioni di data protection by design applicabili.
In linea generale, registrare nella blockchain link ad una tabella esterna (off-chain storage) contenente i dati. Il diritto alla cancellazione o alla rettifica si concretizzerebbe modificando la tabella esterna. In caso di cancellazione, il link contenuto nella blockchain punterà ad un dato non più disponibile. (Soluzione poco appetibile per i programmatori).
Nel caso di blockchain privata, sarebbe possibile un altro tipo di intervento: una blacklist di utenti che non possono vedere determinati dati. (Anche per questa soluzione ci sono sostenitori e tecnici perplessi).
Molte altre soluzioni sono allo studio, come ad esempio le combinazioni fra off-chain storage e pseudonimizzazione, cancellazione della chiave di cifratura, ecc. Prima o poi qualcuno troverà l’uovo di Colombo”.
A mio avviso, per riflettere sulla permanenza di dati nella catena di blocchi, è particolarmente interessante quanto specificato da Satoshi Nakamoto nel suo Bitcoin Paper, al punto 7 (Rivendicare spazio sul disco):
“Una volta che l’ultima transazione in una moneta è sepolta sotto un numero sufficiente di blocchi, le transazioni spese prima di essa possono essere tralasciate al fine di risparmiare spazio sul disco. Per facilitare ciò senza rompere l’hash del blocco, le transazioni vengono sottoposte ad hash in un albero di Merkle, la cui sola radice è inclusa nella hash del blocco. I vecchi blocchi possono a quel punto essere compattati mediante la rimozione di ramificazioni dell’albero. Non c’è bisogno di immagazzinare in memoria gli hash interni”. [7]
E’ un dettaglio implementativo di ottimizzazione e Bitcoin è una criptovaluta di prima generazione, molti progetti ne sono seguiti, quindi nessuno ha ancora scritto l’ultimo capitolo sulla blockchain.
Note:
[1] http://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf [2]Il Cnil, autorità Francese, è intervenuto in modo pratico anche creando un software per la DPIA. Vedere: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment
[3]Fonti:
bitcoin.org
Nakamoto S (2009), Bitcoin: A Peer-to-Peer Electronic Cash System:
Gandini Andrea (2017), Guadagnare con i bitcoin, Blueditore
www.dottorgandini.it/2018/07/26/blockchain-e-gdpr-soluzioni-di-data-protection-by-design/
Per un approfondimento circa l’utilizzo del campo op_return (la codifica OP_RETURN utilizzata dal protocollo è UTF-8) un mio articolo scritto quando la blockchain era semisconosciuta in Italia:
