11 FEB 2019

GDPR e Blockchain: come assicurare la tutela del dato personale

Il seguente report si propone di offrire al lettore una quanto più possibile completa e strutturata prospettiva circa i punti di compatibilità e di contrasto attualmente esistenti tra il GDPR e la tecnologia Blockchain. I focus principali riguarderanno i differenti tipi di blockchain attualmente esistenti, il concetto di dato personale, i vantaggi dell’implementazione degli smart contract, non tralasciando mai i diritti degli interessati al trattamento dati, vero leitmotiv della nostra trattazione.

Essendo l’articolo lungo, alla fine potete trovare il pdf per poterlo scaricare e leggerlo offline.

 

I punti cardine della Data Protection

Il 3 ottobre 2018 il Parlamento Europeo ha approvato la risoluzione dal titolo: “Tecnologie di registro distribuito e blockchain: creare fiducia attraverso la disintermediazione”, che prende in esame la tecnologia blockchain1, analizzandone le varie possibili applicazioni e fornendo indicazioni alla Commissione Europea ed a altri organismi istituzionali dell’UE.

La blockchain non è soltanto Bitcoin. La moneta virtuale è, infatti, solo una delle sue possibili applicazioni nei vari settori.

Generalmente priva di gestione centralizzata, la blockchain permette di inviare qualsiasi dato in maniera sicura, tagliando drasticamente la catena degli intermediari e permettendo, quindi, uno scambio di dati sicuro tra persone, senza dover utilizzare mezzi di terze parti quali ad esempio un provider di posta elettronica, oppure un servizio di Cloud Computing esterno.

Il GDPR, entrato in vigore il 25 maggio 2018, è invece il nuovo regolamento europeo relativo al trattamento dei dati personali; esso è stato fortemente voluto dal legislatore europeo per “mettere un freno” all’utilizzo indiscriminato dei dati degli utenti su web, app e social media da parte delle web e media company, le quali, grazie alla profilazione degli utenti, cercano di costruire il proprio vantaggio competitivo. Lo scopo del GDPR è dunque la protezione dei dati delle persone.

Riassumendo, il GDPR elenca all’articolo 5 i sei principi essenziali della data protection:

  • il trattamento deve essere lecito, equo e trasparente;
  • il trattamento dei dati deve essere limitato al solo scopo specifico per il quale essi sono stati originariamente raccolti (limitazione di scopo);
  • è possibile raccogliere solo i dati assolutamente necessari allo scopo specifico (minimizzazione dei dati);
  • i dati devono essere accurati e aggiornati (accuratezza);
  • i dati non devono essere conservati più a lungo del necessario (limitazione della conservazione);
  • i dati devono essere elaborati in modo sicuro (integrità e riservatezza).

Alla luce di premesse, è possibile garantire la compliance alla GDPR utilizzando la blockchain per il trattamento e la protezione dei dati personali?

 

Il fenomeno Blockchain

Resa celebre dal boom dei Bitcoin, la tecnologia Blockchain attrae sempre più gli operatori economici. Dalle banche ai trasporti, dalla sicurezza al fund raising. Sono numerosi i rami in cui la catena a blocchi sta incontrando i maggiori consensi: nel campo assicurativo, nell’assistenza sanitaria e nell’industria dei beni di consumo, poiché esiste un potenziale significativo per migliorare la trasparenza delle informazioni condivise, considerando l’ampia gamma di parti interessate.

Il cambiamento consiste proprio nel riconsiderare la blockchain da strumento di speculazione finanziaria a mezzo tecnologico che potrebbe rivoluzionare i processi di business e di relazione tra persone, imprese ed istituzioni. Una condivisione dei dati in tempo reale incrementerebbe la produttività, appianerebbe le divergenze e ridurrebbe i costi.

Uno degli svantaggi che ha finora impedito l’impiego della blockchain in ambito business è stato senza dubbio l’alta volatilità dei corsi delle criptovalute, con associati costi troppo elevati per singola transazione tramite l’utilizzo di Blockchain Permissioned. Oggi, l’osservatorio dell’Unione Europea mira ad accelerare l’innovazione blockchain e lo sviluppo del suo ecosistema all’interno dell’UE e in tal modo a supportare la posizione dell’Europea come leader globale nell’utilizzo di questa nuova tecnologia.2

Al tempo stesso, però, occorre considerare che la Blockchain è pur sempre una tecnologia che può nascondere delle criticità, soprattutto in fase di implementazione, dal momento che non sempre può rivelarsi semplice la sua integrazione con il resto dell’infrastruttura IT aziendale. Stando alle previsioni annunciate all’ultimo World Economic Forum, entro il 2025 ben il 10% del PIL del mondo sarà prodotto da attività e servizi che saranno erogati e distribuiti attraverso le tecnologie blockchain.3

Con l’efficacia del Regolamento (UE) n. 679/2016 (“GDPR”) sono state avanzate da alcune parti dei dubbi circa la compatibilità tra la tecnologia blockchain e il nuovo regolamento europeo sulla privacy, soprattutto relativamente alla circostanza che i dati “registrati” nella blockchain sarebbero immutabili e non verrebbe, quindi, garantito il pieno esercizio di alcuni diritti riconosciuti all’interessato (come quello della modifica del consenso).

Questa inconciliabilità di principio, come recentemente sottolineato dal report dell’European Union Blockchain Observatory Forum, da un lato genera preoccupazioni sulla possibilità che il GDPR possa ostacolare l’innovazione europea delle tecnologie blockchain, dall’altro apre potenziali opportunità del loro uso come strumento per far rispettare il GDPR.

In una prima parte di questo articolo analizzeremo le maggiori tensioni esistenti ad oggi tra il GDPR e la tecnologia blockchain, per poi successivamente interrogarci su una possibile conciliazione tra questi due mondi apparentemente opposti.

Appare necessario affrontare alcuni di tali problemi, premettendo comunque che ve ne sono ulteriori di natura giuridica, tuttora oggetto di studi (come ad esempio la legge applicabile ad un sistema distribuito come la blockchain o la determinazione della giurisdizione competente in caso di controversie).

La blockchain nasce come registro pubblico immodificabile e trasparente che mira ad assicurare in primis la protezione dell’identità dell’operatore e dei dati ad essa associati. Il fatto che non permetta la violazione e la modificabilità dei dati è positivo in termini di sicurezza. In quanto registro pubblico, però, tutti possono accedere ad essi; tale assunto potrebbe essere considerato una violazione del trattamento dei dati, in quanto si eccede dalla normale consultazione. Il GDPR nasce come volontà di restituire alle persone (in una blockchain diremmo, quindi, l’identità) il “potere” sui propri dati personali e di responsabilizzare le organizzazioni, più precisamente il Titolare del Trattamento, riguardo i rischi connessi all’elaborazione degli stessi.

Il nuovo regolamento sulla privacy avrà impatti significativi in tre ambiti particolari della blockchain:

  • i dati archiviati in una blockchain sono a prova di manomissione, quindi la loro cancellazione, rettifica o modifica, non sarà possibile una volta che tali dati verranno immessi nella catena distribuita;
  • le blockchain sono distribuite, quindi il controllo sui dati non può essere centralizzato; esso è demandato a tutti i partecipanti alla blockchain (al più ai miners, che comunque non possono essere considerati dei Data Protection Officer come richiesto dal GDPR);
  • gli Smart Contract,4 se non implementati correttamente, presenteranno criticità non banali sul fronte delle impugnazioni e contestazioni.

In linea generale, GDPR e blockchain si scontrano su due dei principi fondamentali per la blockchain:

  • i dati inseriti nelle blockchain (permissionless) sono pubblici e accessibili da chiunque partecipi alla catena;
  • i dati presenti nelle blockchain sono conservati illimitatamente (a garanzia dell’intero registro distribuito); come rispettare, dunque, le regole sul tempo di conservazione dei dati all’interno di un sistema che ne prevede un’archiviazione a tempo indeterminato?

 

La classificazione delle blockchain: pubbliche, autorizzate e private

Un altro tema che ricorre spesso quando si discute di blockchain e GDPR è l’individuazione dei ruoli delle parti. Negli ultimi anni sono stati sviluppati molteplici progetti di «distributed ledger». Alcuni di essi sono basati su tecnologia Blockchain, ma non tutti. Ed esistono almeno tre diverse categorie di blockchain. Ciascuna ha caratteristiche specifiche per supportarne al meglio la realizzazione.
Il distributed ledger è un database che si sviluppa su diversi nodi o dispositivi informatici. Ogni nodo replica e salva una copia identica del libro mastro. Ogni nodo partecipante della rete si aggiorna autonomamente. La Blockchain è un distributed ledger, ma non tutti i distributed ledger sono blockchain.

Nonostante le differenze, tutte le blockchain possiedono le seguenti caratteristiche:

  • sono network peer-to-peer decentralizzati, nei quali tutti i partecipanti della rete mantengono una copia del ledger principale sul proprio dispositivo;
  • grazie al protocollo del consenso, sono costantemente aggiornate tutte le copie del ledger.

Le distinzioni tra blockchain sono legate alle dimensioni di pubblicità della rete e dalla presenza o assenza di permessi di accesso ad essa. Come dicevamo, esistono principalmente tre tipologie di blockchain:

  • pubbliche (permissionless);
  • autorizzata (permissioned);
  • private.

Non si tratta di una classificazione rigida. Anzi, gli elementi caratterizzanti di queste declinazioni possono essere combinati in un’ampia varietà di modalità, per creare registri personalizzati per applicazioni specifiche.

 

Blockchain Pubblica (permissionless)

Le blockchain Permissionless o Pubbliche sono così definite poiché non richiedono alcuna autorizzazione per poter accedere alla rete, eseguire delle transazioni o partecipare alla verifica e creazione di un nuovo blocco. Le più famose sono sicuramente Bitcoin ed Ethereum. La blockchain pubblica è una struttura completamente decentralizzata, in quanto non esiste un ente centrale che gestisce le autorizzazioni di accesso. Nessun utente della rete ha privilegi sugli altri, nessuno può controllare le informazioni che vengono memorizzate su di essa, modificarle o eliminarle e nessuno può alterare il protocollo che determina il funzionamento di questa tecnologia. Specifichiamo che l’autonomia di ciascun nodo è subordinata al raggiungimento di un consenso5 sulle operazioni che vengono svolte e solo con questo consenso esse saranno poi autorizzate e attivate.  Ogni nodo sarà aggiornato con l’ultima versione di ogni singola operazione di ciascun partecipante. Ogni operazione sarà indelebile e immutabile su ogni singolo nodo; ciascun partecipante disporrà di una copia – immutabile – di ciascuna operazione. Ecco come i Distributed Ledgers Technology sono il simbolo di un nuovo rapporto tra persone e informazioni.

 

La proof-of-work e il ruolo di titolare del trattamento dati

Nelle reti pubbliche come Bitcoin viene richiesto ai miner di dimostrare una proof-of-work, ossia svolgere un task molto dispendioso in termini di tempo ed energia. Più una transazione si trova in profondità nel registro, maggiore è il lavoro che un nodo deve fare per poterla eliminare o modificare e ricostruire tutti i blocchi successivi ad essa, mentre la catena continua a crescere grazie al lavoro degli altri utenti. Il protocollo di Bitcoin rende quindi estremamente svantaggioso sul piano economico tentare di riscrivere la Blockchain, garantendone così l’immutabilità.

Le Unpermissioned Ledgers (blockchain pubbliche) possono, dunque, essere opportunamente utilizzate come database globale per tutti quei documenti che dovrebbero essere assolutamente immutabili nel tempo, salvo aggiornamenti che richiedono la massima sicurezza in termini di consenso, come ad esempio i contratti di proprietà o i testamenti.

In tale contesto, chi si pone nella condizione più adeguata per ricoprire il ruolo di Titolare del trattamento dati? I protocol developers? I network users? I publishers of smart contracts?

Se ogni soggetto che inserisce transazioni sulla blockchain pubblica fosse titolare dei trattamenti, sarebbe problematico inquadrare il ruolo dei nodi.

Probabilmente, il ruolo di Titolare del trattamento, come richiesto dal GDPR, potrà essere correttamente attribuito se si eseguiranno transazioni nell’ambito di un’attività professionale o commerciale, per conto di terzi. E non per chi effettua un acquisto di moneta virtuale, ad esempio. E’ dunque raccomandabile, in questa fase di regolamentazione, adottare un approccio case-by-case.

Inquadrare ogni partecipante come responsabile del trattamento dei dati inseriti dagli altri titolari implicherebbe che, ex art. 28 GDPR, ciascun utente della blockchain dovrebbe stipulare con tutti gli altri partecipanti un contratto per iscritto, fattispecie evidentemente impossibile da realizzare.

 

Blockchain autorizzata (permissioned)

Sono soggette ad un’autorità centrale che determina chi possa accedervi e quali sono i ruoli che un utente può ricoprire all’interno della stessa, definendo anche regole sulla visibilità dei dati registrati. Si introduce, dunque, il concetto di governance e centralizzazione in una rete che nasce come assolutamente decentralizzata e distribuita. Chiamata comunemente blockchain del Consorzio, si affidano le transazioni ad alcuni nodi selezionati e ritenuti degni di fiducia. Un esempio esplicativo di questa tipologia di rete può essere costituito da un consorzio composto da 10 aziende, ognuna di esse collegata alla blockchain grazie ad un computer. Se la società “7” ha rapporti lavorativi solo con “1”, “3” e “6”, condividerà le fatture solo con queste tre senza che sia necessario autorizzare le altre società a leggere i dati tra loro condivisi.

Le blockchain autorizzate non garantiscono la proprietà proof-of-work, poiché non sono in grado di assicurare l’immutabilità. È bene sottolineare che una blockchain permissioned non è necessariamente anche privata.

Esistono diversi livelli di accesso che riguardano:

  • la lettura del registro, che può essere soggetta a diverse restrizioni, come ad esempio poter visionare solo le transazioni che coinvolgono direttamente l’utente;
  • la possibilità di proporre ed effettuare nuove transazioni che vengano poi validate ed inserite nella blockchain;
  • la possibilità di partecipare attivamente alla rete svolgendo l’attività di mining per la creazione di nuovi blocchi.

Le organizzazioni o le istituzioni finanziarie a capo di una blockchain autorizzata potrebbero decidere di:

  • concedere l’accesso in lettura alle transazioni e agli header dei blocchi ai propri clienti, in modo da fornire loro uno strumento tecnologico trasparente ed affidabile per garantire la sicurezza dei loro fondi.
  • concedere l’accesso in lettura all’intero storico delle transazioni ai regolatori per soddisfare il necessario livello di conformità.
  • fornire a tutte le entità con accesso ai dati presenti sulla blockchain una descrizione rigorosa ed esauriente del protocollo di questa rete, con spiegazioni dettagliate su tutte le possibili integrazioni con i dati su essa memorizzati.

Le caratteristiche delle blockchain permissioned le rendono più interessanti agli occhi delle grandi imprese e delle istituzioni poiché sono ritenute più tracciabili di quelle pubbliche e permettono di ottenere un determinato livello di segretezza e segregazione dei dati. Le blockchain autorizzate sono, inoltre, più performanti, veloci, scalabili e meno costose di quelle pubbliche, data la minore dimensione e diffusione, e considerando che le transazioni sono verificate da un limitato numero di utenti.

Blockchain privata

Le blockchain private condividono molte caratteristiche con quelle permissioned. Si tratta di reti private e non visibili, che sacrificano decentralizzazione, sicurezza e immutabilità in cambio di spazio di archiviazione, velocità di esecuzione e riduzione dei costi. Questo tipo di blockchain è controllato da un’organizzazione, ritenuta altamente attendibile dagli utenti, che determina chi possa accedere o meno alla rete e alla lettura dei dati in essa registrati. L’organizzazione proprietaria della rete, inoltre, ha il potere di modificare le regole di funzionamento della blockchain stessa, rifiutando determinate transazioni in base alle normative stabilite. Il fatto che sia necessario essere invitati ed autorizzati per potervi accedere garantisce un maggior livello di privacy agli utenti e determina la segretezza delle informazioni contenute.

 

Blockchain private: i 5 punti del successo

Le blockchain private possono essere considerate come le più veloci e le più economiche, con commissioni di transazione significativamente inferiori alle pubbliche. Negli ultimi anni le blockchain private stanno riscuotendo molto successo tra le società private e le istituzioni finanziare, grazie a cinque caratteristiche:

  • il consorzio o la società che gestisce una blockchain privata può facilmente modificare le regole di essa, ripristinare transazioni, modificare i saldi, ecc. In alcuni casi, ad esempio trattando registri come il Catasto, questa funzionalità è necessaria;
  • i validatori sono noti, quindi non si applica alcun rischio di un attacco del 51%  derivante da una collusione dei miners;
  • le transazioni sono più economiche, in quanto verificate solo da alcuni nodi considerati affidabili ed aventi potenza di elaborazione molto elevata. La conoscenza dell’identità dei miners implica che il loro lavoro non debba essere controllato e verificato dagli altri nodi, riducendo ulteriormente i tempi e i costi di esecuzione;
  • i nodi sono ben collegati e gli errori possono essere risolti rapidamente con un intervento manuale;
  • i permessi di lettura sono limitati garantendo così un maggiore livello di privacy.

Nelle blockchain private è abbastanza semplice riuscire ad inquadrare i vari soggetti che vi partecipano come figure disciplinate dal GDPR (contitolari, titolari, responsabili ex art. 28), date le regole flessibili ed il numero ristretto di attori, definiti trusted. Blockchain e GDPR risultano essere compatibili dato che è realizzabile, dunque, l’idea di Governance della blockchain. Un solo nodo, ovvero il validatore, crea il consenso, centralizzando in questo modo il permesso di scrivere i blocchi. In tale contesto sarà possibile individuare agevolmente il proprietario della blockchain, al quale sarà attribuito il ruolo di Titolare del Trattamento.

Questo tipo di blockchain potrà essere utilizzata da istituzioni, grandi imprese che devono gestire filiere con una serie di attori, imprese che devono interfacciarsi con fornitori e subfornitori, banche, società di servizi ed operatori nell’ambito del retail.

 

La questione del dato personale

Il primo quesito da porsi è se sulla blockchain siano trattati o meno dati personali.

La definizione di dato personale include qualsiasi informazione riconducibile, direttamente o indirettamente, ad una persona fisica. Per esempio, nome e cognome, ma anche indirizzo IP, targa di un veicolo, dati di geolocalizzazione, ID di un dispositivo telefonico o di un wearable device, il conto bancario… o qualsiasi altra combinazione di dati che possa identificare nell’insieme un individuo.

Principalmente le categorie di dati personali registrate all’interno di una blockchain sono:

  • chiave pubblica;
  • hash.

Questo perché in una blockchain la protezione dei dati è assicurata da:

  • chiave pubblica del mittente della transazione;
  • chiave pubblica del destinatario della transazione;
  • hash crittografico del contenuto della transazione (che potrebbe essere un certificato di nascita, un diploma accademico, un copyright, un capo di abbigliamento, una valuta, una quantità di metallo prezioso, ecc.);
  • data e l’ora della transazione (timestamp).

È impossibile ricostruire il contenuto di una transazione dall’hash crittografico monodirezionale. E, a meno che una delle parti della transazione non decida di collegare una chiave pubblica a un’identità conosciuta, non è possibile mappare e collegare le transazioni a singoli individui o organizzazioni. Ciò significa che anche se la blockchain è “pubblica” (chiunque può vedere tutte le transazioni su di essa), nessuna informazione personale viene resa pubblica. Ciononostante, la crittografia non libera persone ed aziende dalle proprie responsabilità sul controllo dei dati perché potenzialmente tutta la crittografia può essere violata.

Una blockchain pubblica/permissionless (come quella Bitcoin) consente di registrare ogni transazione associata tramite la chiave pubblica crittografica ad un determinato utente. Tipicamente la chiave è cifrata di modo che dalla singola transazione non sia possibile risalire a colui che è titolare di detta chiave, ma l’eventuale riutilizzo di quest’ultima in altre transazioni (anche in congiunzione con altre chiavi pubbliche) consentirebbe di “linkarla” ad un utente specifico potendo quindi risalire alla sua identità. Oltretutto, l’eventuale disponibilità di log di accesso con conservazione di indirizzi IP renderebbe facilmente individuabile il titolare della chiave pubblica della transazione. Vista l’implementazione degli obblighi di riconoscimento in capo ai soggetti che offrono servizi di conversione di valuta virtuale (nonché, con l’aggiornamento Direttiva (UE) 2018/843 – cosiddetta V Direttiva antiriciclaggio – l’estensione di tali obblighi anche in capo ai soggetti che offrono servizi di wallet provider), sempre di più la chiave pubblica con cui vengono sottoscritte le transazioni sulla blockchain costituirà un dato personale, perché associata o associabile ad una persona fisica determinata.

 

Anche l’hash è un dato personale

Tipicamente le blockchain conservano le informazioni registrando gli hash delle stesse. E’ noto che la funzione di hash è irreversibile, nel senso che non è possibile risalire dalla stringa di caratteri generati tramite la funzione, al contenuto del documento a cui la stessa è stata applicata.

L’hashing, così come altre tecnologie, rientra tra le tecniche di pseudonimizzazione (e non di anonimizzazione), in quanto risulterebbero comunque collegabili i dati contenuti nell’hash a dati personali esterni allo stesso e, soprattutto, ricostruibili attraverso un attacco “brute force”. Trattandosi di dato pseudonimizzato (e non anonimizzato) anche l’hash registrato sulla blockchain costituisce un dato personale, comportando quindi l’applicazione della relativa normativa.

Dal punto di vista della soluzione del problema dell’hashing – inquadrato come strumento di pseudonimizzazione – la soluzione sarebbe semplice: basterebbe cifrare i dati prima di attestarli sulla blockchain e poi applicare sui dati cifrati la relativa funzione di hash.

In questo modo il dato diverrebbe inintelligibile e sarebbe messo al sicuro anche contro attacchi, garantendo l’accesso al dato solo al soggetto titolare della componente privata della chiave di cifratura.  Alcune soluzioni sono state ideate proprio al fine di assicurare una maggiore protezione dei dati personali (rispetto l’originaria blockchain Bitcoin) in modo da rendere non identificabile il soggetto che effettua la transazione. Un esempio sono l’utilizzo di “one-time accounts”, sistema zero-knowledge proof, meccanismi di multi-party computation o soluzioni quali le ring signatures, con cui viene dimostrato che il firmatario detiene la chiave privata corrispondente ad un determinato set di chiavi pubbliche, senza, però, indicarne una specifica (così rendendola non più identificabile).

La compatibilità tra blockchain e GDPR in relazione ai dati personali troverà senz’altro ancora molto spazio di dibattito tra tecnici e legislatori. Nel frattempo, una soluzione che potrebbe assicurarne una sorta di “convivenza” potrebbe essere quella di memorizzare i dati personali al di fuori della blockchain (ad esempio, in un database privato) e memorizzare solo il riferimento ad un hash dei dati. Ciò consentirebbe la rimozione dei dati personali senza rompere la blockchain. Va, però, sottolineato che tale approccio sminuirebbe i vantaggi della TLD, quali sicurezza e resilienza attraverso la ridondanza. Se, però, si rendesse necessario inserire nella blockchain anche dati personali, sarebbe fondamentale fare attenzione a:

  1. limitare il numero di nodi che “vedono” le informazioni, utilizzando blockchain permissioned e private;
  2. usare la crittografia per garantire la privacy e ridurre i rischi di bruteforcing.

 

Blockchain, diritto all’oblio e privacy by design

Ciò che caratterizza il GDPR sono centralizzazione, limitazione e rimovibilità; in netto contrasto con le parole chiave che caratterizzano le blockchain pubbliche, ossia decentralizzazione, distribuzione e immutabilità.

Come abbiamo spiegato nei paragrafi precedenti, il GDPR conferisce ai residenti dell’UE una serie di diritti esecutivi in ​​relazione ai propri dati personali; questi diritti sono configurabili in un contesto di database centralizzato controllato da un singolo controller di dati con un insieme finito di processori. Ma cosa accade quando tali diritti si collegano alla tecnologia blockchain?

L’ “immutabilità” di una blockchain può far presumere il non rispetto al “diritto all’oblio” riconosciuto nel GDPR a tutti gli interessati. È necessario ricordare che il “diritto all’oblio”, di cui all’art. 17 del GDPR, in realtà si suddivide in due differenti diritti:

  • il diritto alla cancellazione dei dati da parte del titolare del trattamento, regolato al primo comma;
  • il diritto all’oblio vero e proprio, ossia l’obbligo del titolare, qualora abbia comunicato i dati a terzi, di cancellarli e di informare gli altri titolari della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Orbene, innanzitutto bisognerebbe comprendere se effettivamente l’interessato che abbia utilizzato un servizio basato su blockchain possa esercitare il diritto alla cancellazione sulla base di uno dei motivi indicati dalle lettere a-f del primo comma dell’art. 17.

Ogni dato inserito in una blockchain è in verità necessario per mantenere la “catena” di transazioni relative alla medesima “informazione digitale”, funzione che caratterizza la blockchain rispetto alle altre tecnologie. D’altra parte, se consideriamo che sia la chiave pubblica sia l’hash delle transazioni sono riconducibili alla categoria dei dati pseudonimizzati, sarebbe astrattamente possibile esercitare il diritto alla cancellazione nei confronti del soggetto che detiene la porzione di dato che consente l’identificazione dell’interessato (ad esempio il sistema di exchange che ha identificato il medesimo ed a cui ha associato (o può associare) le chiavi pubbliche).

Il diritto all’oblio, ossia il diritto di ottenere la cancellazione dei dati personali anche da parte dei terzi che eventualmente li trattano, contiene già nella previsione normativa una precisazione e limitazione idonea a ridimensionarne l’esercizio: “tenendo conto della tecnologia disponibile e dei costi di attuazione”. Nel caso della blockchain permissionless6 è evidente che il titolare cui è richiesta la cancellazione dei dati (poniamo un exchange) non potrà sicuramente informare tutti gli altri titolari registrando la richiesta di cancellazione dell’interessato sulla medesima blockchain (unico modo per essere certi che l’informazione sia diffusa verso tutti coloro che la utilizzano), altrimenti si otterrebbe il paradossale effetto di registrare (in modo immutabile) un’informazione che invece deve essere cancellata. Neppure si può ritenere fattibile, proprio in considerazione della tecnologia disponibile e dei costi di attuazione, che la comunicazione dell’esercizio del diritto all’oblio venga diffusa, con altri mezzi, a soggetti che il titolare neanche conosce, né che possa darne comunicazione con altre forme “di pubblicità”.

Un discorso analogo deve essere svolto in merito al principio di Privacy by design. L’art. 25 del GDPR, che enuncia la necessità che i trattamenti, sia nel momento della progettazione, sia in occasione del loro utilizzo, siano effettuati nel rispetto delle previsioni e dei principi del regolamento, contiene un incipit secondo cui tale obbligo deve essere attuato “tenendo conto dello stato dell’arte e dei costi di attuazione” nonché “della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento”. La tecnologia blockchain pubblica, vista dalla prospettiva della protezione dei dati personali, adotta un approccio che potremmo chiamare “by design”. Questo perché:

  • le blockchain sono decentralizzate e distribuite e questo rende molto più difficile che un attacco di cybercrime possa andare a buon fine;
  • le blockchain sono pubbliche e trasparenti: le informazioni sulle transazioni sono pubbliche, ma l’identità ed i dati personali sono “mascherati” da una chiave pubblica il cui contenuto è noto solo al proprietario di quei dati; oggigiorno, se un utente concede il consenso al trattamento dei propri dati, di fatto, non ha poi il controllo su ciò che succede dopo e su come effettivamente essi siano utilizzati ed elaborati; con le blockchain, invece, è possibile tracciare lungo tutta la catena distribuita dove e come sono usate le informazioni oggetto di una transazione;
  • le blockchain fanno ampio uso della crittografia (firme digitali, crittografia dei dati, marcatura temporale) e sfruttano il meccanismo degli incentivi (ricompense ai miner, coloro che “controllano” il funzionamento corretto della blockchain e delle transazioni che avvengono su di essa) garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni (compresi, dunque, i dati personali).

Come debba avvenire la cancellazione dei dati non è un tema preso in esame dal GDPR. Secondo Greg McMullen della Interplanetary Database Foundation, per poter aderire alla richiesta di cancellazione di un utente che ha inserito dati personali nella blockchain, la distruzione della chiave crittografica potrebbe essere una delle soluzioni possibili (se eseguita in conformità con le migliori pratiche e in modo verificabile). Si è in attesa di ulteriori linee guida da parte dell’autorità per la protezione dei dati per comprendere se tale visione potrà essere accettabile. Trattasi di tecnologie che vanno oltre l’attuale stato dell’arte, per cui si attendono standard internazionali e prassi comuni da adottare.

 

Smart contract: vantaggi, utilizzi e implementazioni

L’interesse per le DLT (distributed ledger technology) ha ormai raggiunto le funzioni legislative non solo italiane, ma anche Europee. Nel corso degli ultimi mesi, infatti, sia il Consiglio d’Europa (tramite la “Risoluzione del Parlamento Europeo sulle tecnologie di registro distribuito e blockchain: creare fiducia attraverso la disintermediazione”), che il Governo Italiano (nel collegato decreto di semplificazione alla manovra), hanno chiaramente dimostrato di voler affrontare il tema del rapporto tra blockchain e diritto positivo tramite l’emanazione di norme specifiche che consentano, a più livelli, l’uso di tale tecnologia secondo principi di diritto codificati.

Il punto più sfidante del testo normativo sarà quello di sancire il principio di non discriminazione della validità e della certezza dei dati, certificato con la tecnologia blockchain.

L’intento è quindi quello di conferire un preciso valore giuridico agli atti, ai documenti e ai dati contenuti in un registro distribuito.

L’Unione Europea, con la Proposta di Risoluzione, manifesta l’intenzione di disciplinare l’uso delle DLT in campi specifici e, tra questi, in ambito giuridico, rivolge particolare attenzione alle applicazioni che utilizzano i cosiddetti smart contracts.

Il termine “smart contract” è utilizzato per la prima volta nel 1996 da Nick Szabo, e quindi ancor prima dell’introduzione della blockchain (che mira a rivestire quelle garanzie di Trust, Fiducia, affidabilità e sicurezza che nel passato erano necessariamente delegate ad una figura “terza”).  L’introduzione della tecnologia blockchain dovrebbe garantire che:

  • il codice con cui è stato scritto il contratto non possa essere modificato;
  • le fonti di dati che determinano le condizioni di applicazione siano certificate e affidabili;
  • le modalità di lettura e controllo di queste fonti siano a loro volta certificate.

All’epoca dei primi smart contract, l’esigenza era molto semplice: gestire l’attivazione o disattivazione di una licenza software in funzione di alcune condizioni molto semplici. La licenza di determinati software venne di fatto gestita da una chiave digitale che permetteva il funzionamento del software se il cliente aveva pagato la licenza e ne cessava il funzionamento alla data di scadenza del contratto.

Uno Smart Contract è la “traduzione” o “trasposizione” in codice di un contratto: verifica in automatico l’avverarsi di determinate condizioni e autoesegue azioni nel momento in cui le condizioni determinate tra le parti siano raggiunte e verificate.

L’idea originaria era che una serie di clausole potevano essere incorporate nell’hardware e nel software con cui ci relazioniamo, proponendo l’introduzione di contratti da agganciare ai diritti di proprietà di beni digitali, regolati automaticamente, in modo da ridurre sia le ipotesi di inadempimento sia i rischi per le parti interessate.

L’autore suggeriva anche l’uso di tecniche crittografiche e di firme elettroniche per rendere sicure le transazioni nonché riconducibili ai soggetti che le ponevano in essere. Uno smart contract tipicamente è scritto in codice software e viene attestato su una blockchain per poter provvedere alla sua esecuzione. Si tratta, pertanto, di un programma per elaboratore che, nel nostro ordinamento, è tutelato da disposizioni specifiche che trovano collocazione all’interno della legge sul diritto d’autore (L. n. 633/1941) e che assimilano i programmi per elaboratore alle opere letterarie.                                                                                                                                                       Appare sfidante l’idea di presentare innanzi ad un tribunale un contratto che sia redatto unicamente sulla base di un linguaggio di programmazione; oggi sono presenti sul mercato varie proposte che si concentrano prevalentemente nel formalizzare soluzioni per riuscire ad adeguare le complessità del linguaggio giuridico alle esigenze di una interpretazione “automatica” da parte di un computer.

In particolare, nel 1990, erano stati proposti i Ricardian Contracts, che potremmo considerare i veri e propri predecessori degli smart contract in contesto blockchain, ossia dei design pattern volti ad individuare le intenzioni delle parti prima dell’esecuzione del contratto. Attraverso la tripla “prose, parameters and code” la prosa legale verrebbe collegata tramite determinati parametri al codice dello smart contract al fine di consentirne l’automazione. Sulla base di tali considerazioni sono stati proposti nel settore finanziario dei formalismi, derivati dai Ricardian Contracts, basati su template7 utili a standardizzare i documenti contrattuali.

Proprio per lo sviluppo che promettono di portare in tanti settori della vita economica e pubblica, è forte la crescita di interesse verso gli smart contract, che, se implementati sulla blockchain, permetteranno il trasferimento automatizzato di asset di valore rappresentati in chiave digitale; a tanta innovazione corrisponderà anche una crescita nella domanda di “nuove possibili tutele”, di forme di garanzia. I vantaggi dello smart contract – velocità, flessibilità, certezza di una azione nei tempi definiti, precisione nella corrispondenza tra fattore scatenante e azione – sono anche fonte di possibili preoccupazioni, in particolare e in proporzione al valore delle possibili transazioni che il contratto intelligente è chiamato a gestire. Una modalità di garanzia integrata può essere il servizio di escrow8 magari nella forma di una ulteriore certificazione di dati necessari ad attivare definitivamente lo smart contract.

La diffusione dei contratti intelligenti dovrà affrontare precise questioni di standardizzazione.

Il punto determinante e distintivo degli smart contract resta racchiuso in quest’ultima parola: scelta d’acquisto. Si dovranno trattare transazioni, acquisti di beni digitali o sottoscrizione di servizi.

In tale ambito gli standard tecnologici si intrecciano con la necessità di disporre di garanzie legali sempre più precise. Legal Chain Consortium è un’associazione internazionale no profit il cui obiettivo è implementare template con le relative clausole e poi integrarli con ulteriori tipologie di contratto, creando così una libreria di Smart Legal Contracts multidisciplinare; è in itinere anche lo sviluppo di una piattaforma di servizi blockchain orientata alla creazione e gestione di contratti intelligenti con contenuto legalmente riconosciuto. Sulla base degli excursus precedenti, teniamo a mente che incideranno sulla solidità giuridica di una DLT, sia gli algoritmi di formazione del consenso che la tipologia di blockchain utilizzata (pubblica o privata).

 

Le DLT verso il riconoscimento di “prova giuridica”

Le DLT (distributed ledger technology), considerate da un punto di vista giuridico, sono strumenti informatici in grado di certificare, ad un dato momento, alcuni contenuti digitali analogamente a quanto accade per la firma digitale (che garantisce la riferibilità di un documento informatico al soggetto sottoscrittore) e/o per la PEC (che garantisce il momento esatto in cui un certo soggetto viene a conoscenza di determinati contenuti digitali).

Questa tecnica legislativa è la stessa utilizzata per disegnare i tratti delle firme elettroniche: Eidas9

(Electronic IDentification Authentication and Signature) e CAD dispongono, infatti, di un valore giuridico quasi identico alla firma autografa.

Il Regolamento eIDAS definisce un sistema di “validazione temporale elettronica” come  “dati in forma elettronica che collegano altri dati in forma elettronica ad una particolare ora e data, così da provare che questi ultimi esistevano in quel momento” [Art. 3 comma 1 n. 33 Reg. eIDAS] e dispone che “alla validazione temporanea elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica” [Art. 42 comma 1 Reg. eIDAS].

Il legislatore nazionale mira a collocare la blockchain tra i sistemi di notarizzazione temporale dei dati informatici valorizzando al meglio le funzioni di certificazione delle DLT. Manca l’elemento “certificatore” rappresentato dal prestatore dei servizi fiduciari ed è pur vero che, da un punto di vista tecnico, la blockchain identifica il dato temporale con uno scarto piuttosto ampio (+/- 2 ore circa, se paragonato ad altri sistemi di certificazione temporale), ma le garanzie intrinseche del sistema, infinitamente più ampie rispetto a qualunque altra tecnologia oggi esistente, rendono tale scarto temporale più che tollerabile considerando le “caratteristiche di sicurezza, integrità e immodificabilità” [ Art. 20 comma 1 del Decreto Legislativo 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale] idonee a conferire alle DLT un’efficacia privilegiata nella certificazione dei dati.

Inoltre, in un sistema basato su blockchain (si pensi all’utilizzo di una DLT per la certificazione dei dati sui diritti immobiliari) la mera consequenzialità temporale dei vari dati (che si concretizzano in veri e propri atti giuridici di costituzione e trasferimento di diritti) è forse più importante della puntuale determinazione del singolo momento in cui quel determinato dato è stato inserito nella blockchain.

Ora, poiché la norma nazionale parrebbe suggerire che solo le blockchain conformi alle caratteristiche che dovranno essere individuate da AGID saranno idonee a raggiungere quel risultato, a nostro avviso si pone un problema di compatibilità con la disposizione comunitaria: la condivisione di un documento informatico su una blockchain non certificata AGID sarebbe di per sé inidonea a produrre gli effetti dell’art. 41 del regolamento eidas?

E’ bene tenere inoltre presente che le DLT consentono l’utilizzo di algoritmi crittografici che abilitano l’utente all’uso del sistema conferendogli una chiave pubblica ed una privata che viene usata per sottoscrivere le transazioni o gli smart contract.

Tale chiave privata, univoca e identificabile all’interno della DLT, diventa pseudonima se considerata al di fuori della stessa. Potrebbe mancare la certezza che lega quel determinato soggetto a quella determinata chiave privata con conseguente impossibilità di dare agevolmente la piena prova della riferibilità di quel documento a quel determinato soggetto giuridico.

Ma la normativa interna afferma che “l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità” Art. 20 comma 1 del Decreto Legislativo 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale.

La disciplina giuridica, insomma, sembrerebbe puntare nel senso di riconoscere già oggi un valore probatorio piuttosto ampio e determinato al dato elaborato tramite DLT, salva la necessità di fornire prova specifica che la firma usata per la sottoscrizione della transazione o dello smart contract sia effettivamente riferibile al soggetto giuridico su cui si vorrebbe porre la relativa responsabilità; onere, quest’ultimo, che può essere adempiuto tramite riconoscimento “offchain” o con la  possibilità di inserire in blockchain il solo hash di un documento elettronico sottoscritto con firma digitale. Tale ultima soluzione, in particolare, consentirebbe di garantire sia la paternità del documento (da conservare comunque con modalità che non implicano l’uso di blockchain) che la sua certificazione “temporale” (nel senso sopra descritto) tramite uso delle DLT.

Tutt’oggi la norma non indica esplicitamente come l’identificare gli attori di una DLT o blockchain, ma si limita a regolare la validità temporale delle transazioni (e registrazioni). Quindi, per attestare l’identità dei soggetti del network sarà necessario, come accennato in precedenza, utilizzare gli altri strumenti riconosciuti dall’ordinamento, cioè le firme elettroniche (semplici, avanzate e qualificate) già regolate da eIDAS e dal Codice dell’Amministrazione digitale, nonché, eventualmente, lo SPID. Sono questi gli strumenti di attribuzione di paternità e riconoscimento di identità.

La Risoluzione del 3/10/2018  riconosce che, per favorire la diffusione degli smart contract, sia fondamentale la certezza del diritto circa la validità di una firma digitale crittografata, tramite la definizione di norme tecniche nell’ambito delle organizzazioni internazionali (ISO, UIT e CEN-CELENEC); è inoltre essenziale garantire l’interoperabilità sia tra le varie DLT, sia con le tecnologie preesistenti; nel contempo si sta sollecitando la Commissione Europea a promuovere la certezza del diritto per gli investitori, i cittadini e gli utenti, armonizzando le norme e valutando l’idea di istituire un “passaporto europeo” per i progetti basati sulle DLT, così che, una volta approvati in uno Stato membro, essi possano essere considerati legittimi in tutti gli altri Stati.

 

Blockchain e GDPR: accorgimenti per la compliance

“È necessario che i singoli stati comincino a regolare l’utilizzo della blockchain e ad implementarla all’interno delle PA, affinché questa diventi parte della realtà quotidiana. Una volta implementata la blockchain e capito come effettivamente funzioni normata, gli Stati dovrebbero stilare delle convenzioni internazionali per l’utilizzo internazionale della stessa.10

Concludendo la nostra panoramica, è chiaro che la blockchain può giocare un ruolo fondamentale e proattivo per il GDPR, grazie alle sue caratteristiche di immutabilità e replicazione. Progettata nel modo giusto, garantisce la necessaria trasparenza e controllo sui dati personali11

  1. Esiste un forte bisogno di scambi di asset (fisici e virtuali) tra gli attori dell’ecosistema?
  2. Esiste la necessità di avere a disposizione una repository comune tra le diverse parti coinvolte nel processo produttivo?
  3. Il processo produttivo in cui si è coinvolti è specializzato e complesso, con un notevole numero di intermediari?
  4. C’è un bisogno di misure di sicurezza forti, come la strong authentication?
  5. La catena delle operazioni è complessa e necessita di “prove” immutabili nel tempo?
  6. C’è un reale bisogno di ricorrere a processi e transazioni automatizzate, quasi in tempo reale?
  7. Esiste una necessità di soluzioni condivise tra i molteplici attori dell’ecosistema?
  8. Per ragioni di compliance, esiste una volontà di verificabilità e di monitoraggio continuo delle fasi dei processi?12

Molte aziende si stanno rivolgendo a soluzioni come blockchain di tipo permissioned, dando vita a universi a sé stanti non interoperabili tra loro. Se avranno successo, ci troveremo ben presto con centinaia di blockchain diverse usate in processi di business mission critical che non sarà poi così facile ridurre in una qualche forma di “blockchain unica”.

Il testo della Risoluzione e le considerazioni svolte dal Parlamento Europeo possono far ritenere che oramai la tecnologia basata su DLT e su blockchain può ritenersi matura, avendo superato quell’originaria diffidenza da parte delle istituzioni derivante soprattutto dagli usi delle criptovalute che sono stati effettuati nei primi tempi della loro diffusione.

Il testo riconosce la validità della tecnologia DLT come incentivo alla disintermediazione e decentralizzazione di alcune attività in alcuni settori, potendo costituire inoltre un valido strumento per semplificare i processi amministrativi e per favorire la partecipazione democratica dei cittadini.

La sollecitazione ad un “passaporto europeo” ed ad un quadro giuridico armonizzato dei progetti DLT dovrebbe proprio ridurre le frizioni, scongiurando anche la “corsa” alla regolazione di alcuni Paesi europei, i quali cercano di normare il fenomeno sperando di attirare nel proprio territorio le aziende che intendono avviare attività basandosi su tali tecnologie.

Il disegno di legge “semplificazioni”, approvato dal Consiglio dei Ministri il 15 ottobre (“Blockchain entra nell’ordinamento: dati e info certificati con DLT avranno valore giuridico”), si è trasformato in schema di decreto legge ed è stato rivisto nei contenuti il 3 dicembre scorso.13

Però la norma sul riconoscimento giuridico della blockchain più volte annunciata (e fisicamente inserita) nello schema del decreto legge semplificazione, non figura tra quelle approdate in Gazzetta Ufficiale con la pubblicazione del Decreto Legge 135/2018 (“Disposizioni urgenti in materia di sostegno e semplificazione per le imprese e per la pubblica amministrazione”), in vigore dal 15 dicembre 2018.

Il Governo ha dovuto rinunciare ad inserire il riconoscimento giuridico dei sistemi di DLT nel decreto legge in quanto troppo “eccentrico” rispetto ai temi centrali del decreto e senza i necessari requisiti di necessità e urgenza, ed il Quirinale ha chiesto di espungerlo.

La speranza, adesso, è che il Governo faccia proprie le richieste del Parlamento quanto prima possibile, attivandosi con sollecitudine per garantire quella certezza del diritto che costituisce la base affinché gli operatori (cittadini, imprese e pubbliche amministrazioni) possano cominciare ad avviarsi.

 

Se volete scaricare il file così da leggerlo offline, vi lasciamo il PDF da scaricare.

Redatto da Flavia Dell’Anno, Daniele Paiella e Lucia D’Adamo

 

 

 

 

 

 

Note:

  1. Il 27 luglio 2018 l’Osservatorio UE sulla blockchain pubblicava il primo report “Blockchain innovation in Europe”; il 16 ottobre 2018 è stato rilasciato il report “Blockchain and the GDPR”.
  2. Per approfondimenti, vedasi Libro bianco “Raccomandazioni per adottare standard comuni in Europa sulla blockchain e sulle tecnologie DLT (distributed ledger)”.
  3. Per approfondire: https://www.blockchain4innovation.it/sicurezza/blockchain-gdpr/ 
  4. Per approfondimenti, vedasi il paragrafo 6, dedicato agli smart contract.
  5. Le Distributed Ledger Technology che sono conosciute anche come shared ledger necessitano di una rete Peer-to-Peer e algoritmi in grado di gestire la raccolta del consenso e la approvazione di operazioni basate appunto sul raggiungimento di un consenso. Sono i modelli di gestione del Consenso che determinano la differenza tra Distributed Ledger Technology di tipo Pubblico e di tipo Privato.
  6. Vedasi paragrafo 3.1.
  7. Il template è la rappresentazione elettronica di un documento legale contenente sia una parte in prosa, sia dei parametri.
  8.  Il “soggetto terzo” potrebbe anche essere un notaio. 
  9.  Regolamento eIDAS  (910/2014).
  10. Per approfondire: https://illuminotronica.it/blockchain-e-gdpr/ 
  11. Per approfondire: https://www.iusinitinere.it/blockchain-vs-gdpr-due-opposti-inconciliabili-13520. 
  12. Per approfondire: https://www.blockchain4innovation.it/mercati/industria4-0/blockchain-ecco-quando-serve-davvero/
  13. Per approfondire: https://www.altalex.com/documents/news/2018/12/17/blockchain

Ultime News