Introduzione
Correva l’anno 2007, quando l’Estonia fu vittima di un attacco informatico su larga scala senza precedenti nel Paese. Imponenti ondate di spam, inviate tramite botnets e massicci flussi di richieste automatiche, mandarono in tilt i servers. L’erogazione dei servizi da parte degli istituti bancari venne paralizzata e le comunicazioni fra gli uffici pubblici interrotte, così come anche le trasmissioni radiotelevisive e gli aggiornamenti online delle testate giornalistiche.
Un cyber-attack in piena regola, che però finì per trasformare l’Estonia in uno dei Paesi più evoluti nel campo dell’e-government e della protezione dei dati.
Lo scopo di questo paper è quello di analizzare, a partire dall’esempio estone, il controverso rapporto fra la tecnologia blockchain ed il Regolamento Generale sulla Protezione dei Dati.
Il tema è di grandissima attualità, anche in considerazione delle recenti iniziative in materia assunte del Governo italiano, come la nomina, da parte del Ministero per lo Sviluppo Economico, di trenta esperti di blockchain e intelligenza artificiale, incaricati di sviluppare una strategia a livello nazionale che incentivi il proficuo utilizzo di queste tecnologie nel settore pubblico e privato.
Per valutare l’impatto del GDPR sull’utilizzo della blockchain, risulta imprescindibile fornire alcuni cenni tecnici sul suo funzionamento. Si è scelto di farlo utilizzando un lessico semplificato al fine di garantirne la massima accessibilità, nonché per mantenere il focus sugli aspetti prettamente giuridici del tema.
La protezione dei dati personali: dai database centralizzati ai registri distribuiti
Com’è noto, il tradizionale metodo di archiviazione dei dati si basa su sistemi di storage centralizzati: in un tentativo di estrema semplificazione, si provi ad immaginare un grande contenitore entro cui un ente pubblico o un’azienda conservano le informazioni. In questo caso si configurano dei rapporti di forza che, dal punto di vista della tutela della privacy, molti non esiterebbero a definire sbilanciati.
Da una parte, infatti, vi è un soggetto attivo, ad esempio l’ente o l’impresa, responsabile non solo dell’archiviazione dei dati, ma anche- e soprattutto-della loro gestione e protezione. Dall’altro lato, invece, vi è un soggetto passivo, che potremmo genericamente identificare come fruitore di un qualche servizio, che affida le proprie informazioni senza essere in grado di monitorarne l’utilizzo in modo diretto e in tempo reale.
Il GDPR rappresenta un significativo tentativo di riequilibrio dei ruoli. Acquisire consapevolezza circa la gestione dei propri dati personali, essere tempestivamente informati in caso di violazioni o cessioni dei dati a terzi, restringere o ritirare il proprio consenso al trattamento, rettificare le informazioni incomplete o errate, vedere riconosciuto il diritto all’oblio: un set di garanzie mirate a riportare il cittadino-sino a qualche tempo fa inconsapevole spettatore- al centro dei processi di data management.
Verrebbe dunque da domandarsi perché, nonostante l’avvento di un robusto sistema di tutela della privacy come il Regolamento Generale sulla Protezione dei Dati, continui a crescere l’interesse per l’utilizzo della tecnologia blockchain come mezzo per garantire l’integrità e la sicurezza delle informazioni.
Prima di provare a rispondere a questa domanda, tuttavia, è bene fornire alcune nozioni tecniche di base, indispensabili per valutarne, in una seconda fase, i risvolti giuridici.
Contrariamente ai classici sistemi centralizzati di archiviazione dei dati, in cui le informazioni vengono gestite da un’autorità centrale, la tecnologia blockchain si basa sul concetto di database distribuito: per praticità, si immagini una rete di computer. Ciascuno di questi computer riceve e memorizza la scheda anagrafica di un cittadino. Il fatto che un numero X di parti detenga una copia dello stesso documento, di fatto lo cristallizza e fa sì che qualsiasi modifica al documento stesso, prima di acquisire validità, debba ricevere il consenso di tutte le parti. Ne consegue che qualsiasi difformità (da un semplice refuso sino ad un tentativo fraudolento di alterazione di un’informazione) emerge immediatamente grazie al confronto con un numero X di “copie” distribuite su una rete.
Blockchain e GDPR: un’analisi sugli aspetti di incompatibilità
L’idea di un database distribuito in grado di garantire l’integrità dei dati parrebbe apparentemente in perfetta sintonia con gli obiettivi del GDPR. Eppure esiste una ragione fondamentale che, al contrario, ha spinto molti a ritenerli incompatibili.
La tecnologia blockchain, sviluppata da un soggetto tutt’oggi anonimo, ma conosciuto sotto lo pseudonimo di Satoshi Nakamoto, porta con sé, sin dall’origine, un principio cardine: la trasparenza. E l’unico modo per darne attuazione è conferire alla blockchain un carattere di pubblicità. La rete di “parti” predisposta per validare le informazioni è stata infatti concepita per essere aperta a chiunque voglia avere accesso ai dati o partecipare al meccanismo del consenso.
La vocazione di “pubblicità” di questa tecnologia entra dunque inevitabilmente in conflitto con il GDPR, poiché rendere le informazioni personali (PII, personally identifiable information) accessibili a chiunque decida di entrare a far parte della blockchain appare, ovviamente, impensabile.
Inoltre, distribuire più copie della stessa “informazione” ad un numero X di parti (potenzialmente illimitato), ne impedirebbe di fatto la rimozione, conferendole un carattere di immutabilità e durevolezza che entra in conflitto con il diritto all’oblio, uno dei punti cardine del Regolamento sulla Protezione dei Dati.
Apparentemente, dunque, sembra che la tecnologia blockchain sia destinata ad essere utilizzata per l’archiviazione e la gestione di dati non personali, come ad esempio nel settore della supply chain: tracciare tramite blockchain le fasi di vita di un prodotto dal fornitore al produttore e dal grossista al rivenditore, innalza gli standard di trasparenza e disincentiva il mercato della contraffazione, il tutto a favore del consumatore.
Tuttavia, date le sue enormi potenzialità, soluzioni alternative che consentissero l’utilizzo di questa tecnologia anche in contesti che implicano la gestione di dati personali, non hanno tardato ad arrivare. Nascono dunque le blockchain private che, come vedremo, si basano su presupposti profondamente diversi.
Infatti, mentre la blockchain pubblica è un sistema completamente orizzontale perché non prevede alcuna autorità che possa limitare l’accessibilità da parte degli utenti, la blockchain privata potrebbe essere descritta come una rete in cui una o più entità hanno il potere di controllare gli accessi al network, decidendo chi vi può prendere parte e chi no. Questa soluzione, sebbene in crescita, ha suscitato non poche perplessità fra coloro che potremmo definire “puristi”, poiché convinti che il concetto stesso di blockchain privata vada in senso opposto rispetto al fine stesso della tecnologia: favorire un libero e trasparente scambio orizzontale, facendo a meno di un’autorità centrale che, nei modelli classici, da sempre detiene il monopolio della gestione di dati e transazioni.
Il caso estone per una blockchain “GDPR-compliant”
Appare abbastanza evidente che il funzionamento della blockchain lasci ancora molti quesiti irrisolti per due ordini di motivi. Il primo: si tratta di una nuova tecnologia che vede ancora davanti a sé grandissimi margini di miglioramento e di evoluzione; il secondo: perché si tratta di un modello di gestione dei dati antitetico al paradigma universalmente riconosciuto e, per tale ragione, qualsiasi ente, impresa o governo intenda trarne vantaggio, impiega inevitabilmente un considerevole lasso di tempo per tarare questa soluzione in base alle proprie esigenze, assicurandosi, nel contempo, di mantenersi conforme alla normativa interna e comunitaria.
Eppure, a questo mutevole ed a volte nebuloso panorama si è da tempo affacciata l’Estonia, il cui modello di e-government si basa su un tipo di blockchain alternativo e, soprattutto, GDPR-compliant: la“KSI blockchain”. [1]
La KSI blockchain è un tipo di soluzione diversa rispetto alle blockchain classiche a noi familiari. Il meccanismo su cui si basa, infatti, non prevede che i dati lascino il database del cliente e vengano immessi sulla blockchain. Semplicemente, ciascun dato viene contrassegnato con quella che potrebbe essere descritta come “un’impronta digitale”, una firma unica ed irripetibile definita “KSI signature” nel linguaggio tecnico. La KSI signature viene utilizzata per verificare la data di creazione del dato, l’identità del soggetto che lo ha generato e l’integrità dell’informazione.
Solo gli hashes[2] dei dati vengono immessi sulla blockchain, mentre i dati continuano ad essere archiviati nella forma tradizionale. Dunque nessun dato sensibile viene a contatto con la blockchain.
Poiché ciascuna informazione è “ancorata” alla sua firma irripetibile immessa sulla blockchain, un controllo in tempo reale consente di rilevare e inibire ogni tentativo fraudolento di alterazione o rimozione degli stessi.
La conformità al GDPR viene pienamente raggiunta in quanto, il fatto che i dati non vengano immessi immutabilmente sulla blockchain ne consente la rimozione rispettando il diritto all’oblio.
Inoltre, essendo il rapporto fra la tecnologia in esame e la protezione dei dati tuttora molto controverso soprattutto sul fronte interpretativo ( ad esempio, è molto acceso il dibattito su quali dati debbano ricadere nel gruppo delle Personally Identifiable Information, ovvero quelle informazioni che, per le loro caratteristiche, possono essere ricondotte in modo univoco ad un utente), la possibilità di sfruttare la blockchain senza tuttavia immetterne all’interno informazioni sensibili, costituisce, per il titolare del trattamento dei dati, un’ulteriore garanzia di non incorrere in violazioni del GDPR. [3]
Il sistema di e-government estone sembra dunque sfatare definitivamente il mito dell’incompatibilità fra la blockchain ed il GDPR.
Volume consigliato
Il nuovo codice della privacyIl 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni. Pier Paolo Muià | 2019 Maggioli Editore 19.00 € 18.05 € |
Conclusioni
L’esperienza di e-government estone può essere considerata a tutti gli effetti un esperimento ben riuscito. La vera novità sta nel fatto che il sistema sviluppato non si limiti ad essere compatibile con il GDPR, ma finisca per risultare di supporto agli scopi per i quali è stato emanato. Evitare o limitare la cessione non autorizzata di informazioni personali a terze parti, mettere il cittadino nelle condizioni di monitorare in tempo reale ed in prima persona l’utilizzo dei propri dati e di acquisire consapevolezza circa i metodi di gestione e le policies ad essi applicate, sono alcune delle garanzie poste dal Regolamento, di cui, a conti fatti, tale tecnologia facilita l’applicazione.
Questo esempio virtuoso non deve però indurre a considerare la blockchain come un infallibile strumento di protezione. Trattandosi, in fondo, di un meccanismo nuovo e, per questa ragione, sicuramente soggetto ad una costante evoluzione ed implementazione, il suo utilizzo in ambito di archiviazione di dati sensibili va valutato con estrema prudenza. Non è un caso che il Parlamento Europeo, sia al lavoro per regolamentare i vari utilizzi della tecnologia blockchain, ancorandoli all’interno di una cornice giuridica ben definita.
Note
[1] La “KSI blockchain” è stata sviluppata per conto del governo estone intorno al 2008 da Guardtime , azienda leader del settore. Guardtime costruisce prodotti digitali sfruttando la tecnologia KSI ed opera a livello globale in vari settori, inclusi quello finanziario, energetico, governativo, sanitario, della difesa e delle supply chains ).
[2] L’hash può essere definito come un codice alfanumerico prodotto da un algoritmo che prende il nome di “funzione di hash”. La funzione di hash è in grado, a partire da un documento di qualsiasi dimensione, di produrre un codice di misura fissa ed irripetibile che costituirà l’impronta digitale di quel documento.
[3] Con l’avvento del Regolamento sulla Protezione dei dati, inoltre, l’Estonia si è munita di un ulteriore strumento che ne consentisse una più efficace applicazione. Si tratta di VOLTA, un software in grado di raccogliere le operazioni di elaborazione dei dati personali dei sistemi aziendali, archiviare le informazioni sul proprio database e produrre in modo automatico reports che consentano agli utenti, così come agli auditors, di verificare la compliance con il GDPR.
Scrivi un commento
Accedi per poter inserire un commento