Orgatec
 

29/06/2018

Share    

Giuseppe Serafini

Blockchain e applicazione del GDPR (2a parte)

Sono diverse le questioni aperte nel rapporto tra il nuovo Regolamento Generale in materia di Protezione dei Dati Personali (GDPR) e le caratteristiche delle ‘catene’.



Dopo aver illustrato, nell'articolo precedente, i concetti base della blockchain, in questo vogliamo tracciare un quadro di massima sulle modalità e sulle criticità applicative dei contenuti del Regolamento Generale in materia di Protezione dei Dati Personali (GDPR) a questa tecnologia. Nell’ottica di una possibile sussunzione del fenomeno, e in particolare di tecnologie di blockchain pubblicamente distribuite - nelle fattispecie previste dal Regolamento Generale sulla Protezione Dati (GDPR) - è possibile pensare a questa soluzione come a un registro pubblico per la gestione dei dati presenti al suo interno, correlati alla transazione, che non vengono più gestiti da un unico soggetto ma da tutti i partecipanti al network. Partecipanti che, a loro volta, verificano, approvano e registrano tutti i blocchi.

Bisogna precisare che per ‘dato personale’ il GDPR intende, all’art. 4 n. 1, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il Regolamento si adotta dunque al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi (art. 2, 1). Interesserà qualsiasi trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione (art. 3, 1).

Blockchain e trattamento di dati personali
Ciò chiarito, per determinare se, ed eventualmente in quale misura, attraverso una tecnologia blockchain siano effettuate operazioni di trattamento di dati personali - e se quindi agli utilizzatori di questa soluzione siano da ritenersi applicabili, con differente intensità, le disposizioni e le nozioni precisate dal GDPR - occorre valutare, nell’ambito delle operazioni svolte in relazione alle transazioni elaborate dai nodi della blockchain, se si possa parlare, in senso proprio, di trattamento. Un concetto, quest’ultimo, con il quale si intende, ai sensi dell’art. 4 n. 2, “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

In questo ambito, vale la pena rilevare come la natura della blockchain pubblica implichi che ogni transazione sia pubblicata e collegata a una chiave pubblica, che rappresenta in modo univoco un particolare utente; la chiave è (potrebbe essere) crittografata in modo che nessuno sia in grado di identificare direttamente l’individuo o l’azienda sottostante all’utente.

Tuttavia, il riutilizzo della chiave pubblica consente ai singoli di essere individuati con riferimento alla loro chiave pubblica, anche senza poter essere direttamente identificati; questo poiché lo scopo stesso della chiave pubblica è quello di individuare gli autori di una determinata transazione, per garantire che le transazioni siano attribuite alle persone (entità) corrette. Cosicché, per esempio, la chiave pubblica, se associata (rilasciata) a un individuo, che perciò diventa identificabile, può essere qualificata come dato personale ai fine dell’applicazione del GDPR.

La pseudonimizzazione
Già nel 2014, nell’Opinion 05/2014 (WP 216), il Gruppo di lavoro comune delle Autorità garanti degli Stati membri, abbreviato in Gruppo articolo 29 (WP29), aveva fornito indicazioni sulla differenza tra dati anonimi e dati pseudonimi (la “pseudonimizzazione” consiste nel “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” – art. 4 n. 5).

Questa distinzione è particolarmente importante in relazione alla blockchain, in quanto la regolamentazione contenuta nel GDPR non si applica ai dati anonimi, poiché questi non possono essere ricondotti ad alcun soggetto.

A tale stregua, occorre considerare che la soglia per qualificare un dato come anonimo è molto alta. In effetti, già nella vigenza della Direttiva 95/46/CE si è affermato che l’anonimizzazione è ciò che risulta dall’elaborazione dei dati personali al fine di impedire in modo irreversibile l’identificazione; nel fare ciò, i responsabili del trattamento dei dati devono tenere in considerazione tutti i mezzi che possano ragionevolmente essere usati per l’identificazione.

In linea teorica, quindi, e conclusivamente, l’hash di un dato - che deriva dall’applicazione di un apposito algoritmo, riferibile a una funzione matematica, unidirezionale, irreversibile, ma non irripetibile - consente di collegare informazioni tra loro, dando luogo ad attività che potranno essere generalmente considerate alla stregua di una tecnica di pseudonimizzazione, ma non di anonimizzazione, tanto più ove si consideri che i dati personali crittografati, spesso, possono ancora essere riferiti a una persona, qualora il corrispondente algoritmo sia violato ovvero sia impiegata, legittimamente, la relativa chiave di decifrazione.

Pertanto, i dati crittografati saranno spesso qualificati come dati personali e non come anonimi. Ciò significa, ancora, che nella maggior parte dei casi il GDPR sarà applicabile ad almeno alcuni dei dati coinvolti nei sistemi blockchain.


 

TORNA INDIETRO >>