Blockchain e GDPR

responsabile esterno del trattamento dei dati personali

Le clausole di manleva nella nomina a responsabile esterno

18 Dicembre 2024

Blockchain e GDPR: un aggiornamento dal Garante francese di qualche anno fa ha commentato la posizione del Parlamento europeo

La blockchain ha un problema con il GDPR: la protezione dei dati rientra tra i diritti fondamentali dell’uomo, come la libertà di pensiero, di fede religiosa e così via. Non sono negoziabili né vendibili.

Laura L. Keogh, avvocato, esperta in data protection, ha recentemente sintetizzato in poche righe il dilemma della blockchain rispetto al GDPR: “The nature of blockchain technology necessitates that it would retain data on the history of events relating to the blockchain.^[1]” Questo genera una serie di problemi, veri, reali che non consentono alla blockchain di essere una tecnologia universale o necessariamente quella da utilizzare. Bisogna accettare il principio che la protezione dei dati rientra tra i diritti fondamentali dell’uomo, come la libertà di pensiero, di fede religiosa e così via. Non sono negoziabili né vendibili.

È anche vero che vi sono una serie di caratteristiche che la rendono molto interessante.
Per questo motivo, tanto l’Europa quanto alcuni garanti hanno ritenuto di riflettere sulla blockchain e cercare di incrociare i principi della protezione dei dati con questo Santo Graal dell’informatica[2].
Il primo Garante a esprimersi in materia in modo molto efficace e puntuale è stato quello francese, il CNIL, Commission Nationale Informatique & Libertés.
Nel novembre del 2018 il CNIL ha prodotto un documento “Blockchain – solutions for a responsible use of the blockchain in the context of personal data”.
Dopo una breve spiegazione di cosa sia questa tecnologia, l’ente francese entra nel dettaglio toccando i punti chiave e quelli critici attraverso un format simil-FAQ, molto pratico ed efficace. Vediamone gli elementi essenziali.
Il garante francese identifica due tipologie di dati personali nel contesto della blockchain:

participants’ and miners’ identifiers: each participant/miner has a public key, ensuring identification of the issuer and receiver of a transaction;
additional data contained “within” a transaction (e.g.: diploma, property deed). If such data concerns natural persons, possibly other than the participants, who may be directly or indirectly identified, such data is considered personal data.

A seguire stabilisce che i partecipant possono essere considerati data controller perché “have the right to write on the chain and who decide to send data for validation by the miners”.
Il CNIL è molto attento a non considerare tutti i soggetti data controller.
La chiave è il fatto che, come commenta il considerando 74 in riferimento all’art.24 del GDPR: “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.
In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure.
Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.”
Il principio della accountability, vero elemento di forte innovazione nelle politiche sulla protezione dei dati, necessita, impone, richiede la identificazione senza alcun dubbio di chi sia il titolare del trattamento dei dati, cioè il data controller.

Ecco perché il CNIL dedica le prima pagine del suo parere sulla blockchain a questa figura.

Il documento del Parlamento europeo su GDPR e blockchain

D’altra parte anche il Parlamento dell’Unione Europea nel suo documento “Blockchain and the General Data Protection Regulation” del luglio 2019 sottolinea due criticità: la prima è che “the GDPR is based on the underlying assumption that in relation to each personal data point there is at least one natural or legal person – the data controller – that data subjects can address to enforce their rights under EU data protection law. Blockchains, however, often seek to achieve decentralisation in replacing a unitary actor with many different players. This makes the allocation of responsibility and accountability burdensome, particularly in light of the uncertain contours of the notion of (joint)-controllership under the Regulation. A further complicating factor in this respect is that in light of recent developments in the case law, defining which entities qualify as (joint-) controllers can be fraught with uncertainty.”[3]

Le implicazioni della mancata e/o chiara identificazione del data controller sono gravi e incidono sul diritto alla protezione dei dati:
chi decide le misure tecniche e organizzative?
Qual è il soggetto che costruisce intorno alle sue decisioni l’accountability?
Chi esegue la legittima richiesta di applicare il diritto all’oblio di un interessato?[4]

Il CNIL è molto puntuale nel dire che il partecipant può essere sia una legal person che una natural person, ma sempre su di lui ricadono gli obblighi del GDPR.

Per non parlare dei contitolari, i joint controller, che possono essere tutti i partecipant se questi non hanno distinto in modo corretto chi prende le decisioni o chi è la legal person.

Altri interventi su blockchain e privacy

L’European Union Blockchain Observatory & Forum nel suo documento dell’ottobre 2018 sottolinea diverse criticità, per esempio nel caso si debba nominare il DPO oppure chi farà la DPIA, entrambe affidate al data controller.

Un interessante intervento proviene dalla University of Southampton in uno scritto di Luis-Daniel Ibáñez, Kieron O’Hara e Elena Simperl, “On Blockchains and the General Data Protection Regulation”, gli autori presentano tre ipotesi interpretative per identificare il data controller:

“There is a question, with a blockchain, as to who is the data controller. We might assume that the miners are data processors, with the controller being someone (who?) in charge of the blockchain. However, another interpretation is that each locally-stored version of a block that contains personal data (i.e. each node in the P2P network) should be treated separately, and the miner determines why and how its own local version of the block is processed. In that case, each miner is a data controller, and each bears the full responsibility for the processing of its own block. A third interpretation is that the blockchain is a single entity, but that each miner is a data controller jointly with all the others, determining why and how the data are processed.”

Il data processor secondo il Garante francese

Questo intervento apre un secondo aspetto, trattato dal CNIL, ed è chi sia il data processor. Perché se la criticità primaria sia una chiara identificazione di chi ai sensi dell’art.24 del GDPR sia colui che costruisce con i fatti l’accountability, è anche vero che questo può farsi aiutare da un data processor.

Prima di tutto, secondo il garante francese, possono esserlo:

gli smart contract developer, che processano i dati per conto del data controller
i miners che convalidano le transazioni che contengono personal data in una blockchain

Il garante francese è molto chiaro sul fatto che dovrebbe sussistere una qualche forma di contratto tra il partecipant e lo smart contract developer o il miner, altrimenti verrebbe meno la base giuridica; ma proprio a pagina 4 del suo documento invita gli stakeholder a trovare soluzioni innovative che consentano di garantire l’applicazione del GDPR nel contesto della blockchain.

Quale rischio di danni ai dati?

Il CNIL nel suo attento e puntuale lavoro di analisi ha giustamente sollevato una criticità. Se il data controller è responsabile di identificare la corretta tecnologia per implementare le attività di trattamento dei dati, è evidente che la tecnologia blockchain non è quella che meglio assicura il rispetto del GDPR, ma questo non deve escludere la sua applicazione lì dove sia idonea.

Quali problemi sono più rilevanti e possono aggravare i rischi di danni ai dati? Prima di tutto se i dati vengono conservati^[5] fuori o dentro la UE; oppure il formato dei dati^[6] e l’applicazione del principio di minimizzazione; e altresì il trattamento dei dati che può comportare anche la loro correzione, modifica o cancellazione.

Il garante francese in questo caso riesce a sollevare questioni delicate, ma anche a proporre riflessioni particolarmente interessanti.
Prima di tutto richiama l’uso della DPIA perché inevitabilmente il data controller usando appieno questo strumento potrebbe capire se, come e dove applicare la blockchain.
Per esempio, definendo il perimetro dei rischi e potendo così optare, ove possibile, per soluzioni intermedie come gestire alcune attività fuori dalla blockchain.

La blockchain opportunità per realizzare gli obiettivi del GDPR

Un punto fondamentale sembra condiviso e condivisibile dal CNIL, come dal Parlamento Europeo e in generale da chi si sta occupando del confronto tra questi due mondi, che bisogna mantenere l’attenzione sul quadro generale.
I singoli problemi non devono mettere a rischio l’adozione di una nuova tecnologia.
Certamente, nel futuro nuove soluzioni andranno pensate sulla base del principio del by design e non dell’aggiustare o adeguare a posteriori; anche perché la tecnologia blockchain è vista dal Parlamento Europeo come una opportunità per realizzare gli obiettivi del GDPR:

“A recent European Parliament report highlighted that ‘blockchain technology can provide solutions for the ‘data protection by design’ provisions in the GDPR implementation on the basis of their common principles of ensuring secured and self-governed data’.563 Providing data subjects with control over the personal data that directly or indirectly relates to them is one of the various objectives pursued by the Regulation. Recital 7 GDPR foresees that ‘[n]atural persons should have control of their own personal data’. This rationale can also be observed on the basis of data subject rights, such as the right of access (Article 15 GDPR) or the right to data portability (Article 20 GDPR) that provide data subjects with control over what others do with their personal data, and what they can do with that personal data by themselves.”^[7]

Come si può vedere, diritti che sembrano sollevare problematiche di compliance, possono anche essere elementi di contatto.

Al garante francese, il CNIL, va riconosciuto il merito insieme al Parlamento Europeo, di aver trattato il tema dando non solo indicazioni, ma anche aprendosi al confronto con gli stakeholder. I punti essenziali di attenzione che sono emersi tra alcuni operatori europei sono:

identificazione del data controller e del data processor
formato dei dati, data retention, minimizzazione
uso della DPIA come strumento per definire i rischi rispetto all’applicazione della blockchain
ma anche opportunità di raggiungere un obiettivo fondamentale del GDPR, il controllo da parte degli interessati, dei propri dati.

La strada è tutta in salita, ma molto interessante e promettente. Sarà necessario avere la capacità di scegliere le tecnologie secondo il vero uso e gli obiettivi che si vogliono raggiungere e non adottarle secondo la moda del momento.

Note

pag. 257, Laura L. Keogh, Data Protection Compliance, Clarus Press, Dublino, 2019
L’ironia è voluta, ogni n anni abbiamo cicli di tecnologie. Ora tocca alla blockchain.
pag. 1, Introduction, “Blockchain and the General Data Protection Regulation” del luglio 2019
Per una trattazione più specifica si rimanda al “Blockchain and the GDPR, a thematic report prepared by the european union blockchain observatory and forum” dell’ottobre 2018. https://www.eublockchainforum.eu/sites/default/files/reports/20181016_report_gdpr.pdf (ultima visita 17 novembre 2019)
Va intesa come mera memorizzazione dei dati secondo l’architettura della Blockchain e non la conservazione secondo il modello OAIS che aprirebbe un orizzonte completamente diverso di temi e problematiche.
Su questo punto il CNIL quanto il Parlamento Europeo sottolineano che le varie tecnologie come la criptazione o l’uso dell’hash vanno valutate sempre nel contesto in cui saranno memorizzati i dati personali. Vi è una tendenza a suggerire di valutare con attenzione quali soluzioni adottare sulla base anche di una appropriata DPIA.
European Parliament (27 November 2018) Report on Blockchain: a Forward-Looking Trade Policy (AB-0407/2018) para 14 citato a pagina 104 del “Blockchain and the General Data Protection Regulation” del luglio 2019

Articolo originale consultabile al link:https://www.zerounoweb.it/blockchain/blockchain-e-gdpr-un-aggiornamento-dal-garante-francese-al-parlamento-europeo/