27 Dic Blockchain e Gdpr, una relazione possibile?
Un dibattito, per certi aspetti surreale, anima le discussioni degli esperti ed è la compatibilità della tecnologia blockchain al GDPR.
Può la tecnologia blockchain coesistere con il GDPR?
il GDPR dà il diritto a ogni interessato di avere il totale controllo sui propri dati personali, esercitando i diritti previsti dagli articoli da 15 a 22 del regolamento; su tutti il diritto all’oblio o il diritto di rettificare il dato.
Per contro la blockchain è un registro immutabile, dal che deriverebbe l’impossibilità di cancellare i dati personali o rettificarli.
Le cause del conflitto
Facciamo una premessa: entrambi i tool, cioè sia la tecnologia blockchain che il Gdpr muovono in qualche modo da una medesima finalità: garantire la privacy e la trasparenza delle transazioni per la blockchain; dei trattamenti di dati personali per il Gdpr.
Basta rileggersi i paper della comunità cypherpunk, all’interno della quale, negli anni 90 maturò l’idea della blockchain.
Ma allora, se tanto il legislatore europeo che i creatori della blockchain volevano più privacy, da cosa è nato il conflitto?
Ci sono almeno due ragioni genetiche.
In primo luogo la blockchain tende a tagliar fuori qualsiasi intermediario e, quindi, non si cura dell’Autorità Statuale.
Il Regolamento Europeo è, invece, emanazione di un’entità statuale, per la precisione di un’entità sovranazionale, l’Unione Europea, più volte accusata di essere fortemente centralizzatrice.
Non solo! In base all’art. 2 del Gdpr, il regolamento pretende di essere applicato anche al di fuori dell’Unione Europea in due casi:
a) quando la società che esegue i trattamenti sui dati personali ha sede in Europa.
b) quando l’interessato, i cui dati personali vengono raccolti e trattati, si trovi anche accidentalmente nella Spazio Economico Europeo.
Il regolamento, quindi, afferma con forza una sovranità digitale e pretende di estenderla anche oltre i confini dello Spazio Economico Europeo.
Dall’altra parte, invece, la blockchain propone, come paradigma, un database distribuito e immutabile.
In questo framework il controllo non è delegato ad un Autorità Centrale, ma è condiviso, tant’è che la validazione dei blocchi si basa sul consenso dei nodi.
Sicurezza e trasparenza delle transazioni sono obbiettivi raggiungibili se a tutti è riconosciuta la possibilità di verificare le operazioni e se il dato è incorruttibile.
La seconda ragione genetica all’origine del conflitto nasce dalla scarsa lungimiranza del legislatore europeo.
Il GDPR, infatti, è stato progettato avendo in mente come destinatari i social network e i servizi cloud cioè entità fortemente accentratrici.
Benché già esistente, nessuno, nel 2012, cioè al tempo in cui si cominciò a scrivere il regolamento, si pose il problema di una tecnologia distribuita.
Fatto sta che la blockchain memorizza i dati personali e la cronologia delle transazioni personali, così rientrando nel dominio del GDPR e di tutte le leggi conseguenti.
Il Gdpr può ostacolare l’affermazione della blockchain?
Benché si abbia l’impressione che il Gdpr sia stato concepito più per bloccare le grandi piattaforme d’oltreoceano e colmare per via giuridica un gap tecnologico, non è lecito concludere che il Regolamento possa frenare il progresso tecnologico.
Anche in questo caso le ragioni sono diverse:
1) Proprio perché la tecnologia è sempre un passo avanti alla legislazione, emergeranno soluzioni tecnologiche in grado di adattare la blockchain al Gdpr
2) Inoltre è persino auspicabile che, in osservanza alle indicazioni date dall’Autorità Garante Francese, il CNIL, si faccia ricorso alla blockchain solo nei casi in cui ve ne sia una reale esigenza. Così infatti viene declinato dal Cnil il principio della privacy by design.
3) E’ plausibile che presto o tardi lo scontro tra blockchain e gdpr finisca in qualche aula di giustizia. In tal caso, a nostro avviso, la prima potrebbe avere validi motivi per prevalere.
Sotto quest’ultimo aspetto la blockchain può contare su un argomento piuttosto forte: non si dovrebbe, infatti, sottovalutare che nella blockchain si faccia uso della crittografia.
Ebbene, uno dei casi in cui, non è necessaria la notifica del data breach al Garante per la privacy è proprio quello in cui i dati siano protetti dalla crittografia.
Se così stanno le cose, non si vede allora per quale ragione, in un contesto tecnologico che salvaguarda l’anonimato e che utilizza di default la crittografia, ci si dovrebbe porre il problema del diritto di cancellazione e del diritto all’oblio.
È possibile eliminare i dati da una blockchain?
In teoria lo è. Tuttavia, i dati blockchain sono disponibili in così tante macchine (nodi) sulla rete, che è quasi impossibile richiedere a ciascuna macchina di eliminare i dati. Questo del resto è il motivo per cui definiamo la blockchain un “libro mastro immutabile”.
Tuttavia, esiste anche un processo, il cosiddetto “fork” che consente la modifica della catena; è cioè possibile modificare un dato contenuto all’interno di un blocco, interrompendo la catena. In tal caso, però, la funzione di hash del blocco modificato non troverà più corrispondenza nel blocco successivo.
Per risolvere tale problema è allora necessario ricalcolare tutti gli hash seguenti e dare vita ad una nuova versione della catena.
Chiaramente tale soluzione appare più facile in un sistema chiuso, con un numero limitato di macchine locali o nodi in cui le informazioni sono disponibili.
Su un sistema aperto, invece, è quasi impossibile ricollegare ciascun nodo, poiché c’è sempre il problema della proof work e del tempo necessario per svolgere l’operazione di ricalcolo della funzione di hash.
Soluzioni GDPR Blockchain
Volendo evitare un “fork” e combinando ragionamento giuridico e soluzione tecnologica, il conflitto potrebbe risolversi anche in altro modo.
Occorre reinterpretare il concetto stesso di cancellazione. Cosa intendiamo per cancellazione?
Per rispondere, ricorriamo ad una situazione già conosciuta, cioè la richiesta di cancellazione dei dati personali presenti nel web.
Cancellare i dati nel web non significa necessariamente eliminarli; l’obiettivo, infatti, si può anche raggiungere attuandone la delinkizzazione, rendendoli cioè introvabili dai motori di ricerca
Allo stesso modo, pur non modificando i blocchi, è possibile rendere inaccessibile il dato, eliminando le chiavi di decriptazione.
In questo caso, la blockchain archivia l’immissione crittografata o il testo cifrato, con la sua coppia di chiavi salvata dalla blockchain. Ogni volta che qualcuno chiede di eliminare le informazioni, puoi eliminare la chiave, il che rende i dati inaccessibili.
Tale procedimento passa sotto l’acronimo di CRAB che sta per Create – Retrieve– Append – Burn. Il Burn qui è il processo di eliminazione della chiave di crittografia. In tal modo, esattamente con il delinking, le informazioni da cancellare non sono più accessibili.
Un’altra possibile possibile soluzione, che, peraltro, non ci convince, potrebbe essere quella di mantenere le informazioni personali “fuori dalla catena”.
Più semplice è comunque la risoluzione del problema su una blockchain chiusa. In una blockchain permissioned, le informazioni vengono archiviate su macchine locali o su cloud storage noleggiati. In questo modo è relativamente più semplice cancellare i dati personali su richiesta dell’utente utilizzando il metodo chiamato fork.
Tiriamo le somme
Il Gdpr, pur essendo una normativa di derivazione anglosassone, che, quindi, procede più per principi che per fattispecie, presenta una certa rigidità, o per meglio dire, una precoce obsolescenza.
Posto che è sempre possibile andare oltre la lettera della norma, a noi pare che nessuna soluzione esclusivamente tecnologica, così come nessuna battaglia esclusivamente giudiziaria, possa dirimere il conflitto.
In un’ottica di accountability, invece, riteniamo come la soluzione o le soluzioni possano arrivare da una collaborazione molto stretta tra giuristi e tecnici informatici; si tratta di mixare i linguaggi, quello giuridico e quello di programmazione, verificando in tal modo le possibilità dell’uno e dell’altro ed individuando la strada più efficace in una visione a 360 gradi.