APPLICAZIONI BLOCKCHAIN: ADEGUAMENTO AL GDPR

SEMINARIO AIEA – TORINO 15 MARZO 2019

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 1

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 2

LA LEGGE LA TECNOLOGIA

LA LEGGE [1/2]

ART. 25 - PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PROTEZIONE PER IMPOSTAZIONE PREDEFINITA

§1 dice: ... sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione

§2 dice: Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità (profili) del trattamento ....

ART. 32 - SICUREZZA DEL TRATTAMENTO (USO DI SISTEMI SOFTWARE + HARDWARE)

§1 dice: Tenendo conto dello stato dell’arte …. come anche del rischio (art. 35 - PIA) di varia probabilità e gravità …. il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, …. se del caso…

a) la pseudonimizzazione e la cifratura dei dati personalib) la capacità di assicurare su base permanente la riservatezza (controllo degli accessi 1° e 2° liv.…), l’integrità (alterazione), la disponibilità e la

resilienza dei sistemi e dei servizi di trattamento (BC e DR)c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

§2 dice: … si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione (estrusione) non autorizzata o dall’accesso (intrusione), in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 3

LA LEGGE [2/2]

ART. 35 - VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

§1 dice: Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un RISCHIO ELEVATO (per sapere qual è il rischio devo calcolarlo!) per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

§3 dice: La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e ....;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico

§7 dice: La valutazione contiene almeno:

c) una VALUTAZIONE DEI RISCHI per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per AFFRONTARE I RISCHI, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 4

LA TECNOLOGIA (PROTOCOLLO BLOCKCHAIN)

Le Transazioni o Trattamenti (secondo la terminologia GDPR) gestiscono basi dati che si fondano su architetture Centralizzate, Decentralizzate oppure Distribuite. In tutte e tre le tipologie, valgono le seguenti caratteristiche generali:

1. SICUREZZA: dati cifrati;

2. CONSENSO: dati modificabili solo col consenso di tutti;

3. IMMUTABILITÀ: garanzie di immutabilità e incorruttibilità (libro mastro distribuito, Trust e Fiducia);

4. TRASPARENZA: tutti i partecipanti possono vedere tutto;

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 5

Lista degli argomenti sui quali concentrare i controlli al fine di verificare

la compatibilità dei trattamenti con quanto stabilito dal Regolamento e

ulteriori considerazioni sull’architettura del protocollo a supporto della

valutazione del rischio

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 6

LISTA DI CONTROLLO SUDDIVISA IN CONTESTI

A) Raccomandazioni: sono contenuti i prerequisiti per la contestualizzazione dell’attività, indispensabili ad un corretto svolgimento della verifica

B) Ruoli

C) Diritti dell’interessato (dall’articolo 12 al 23)

D) Requisiti di sicurezza garantiti dal trattamento (articoli 25 e 32)

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 7

A) RACCOMANDAZIONI

REGOLE EMPIRICHE PER LA PROGETTAZIONE (1/2)

1. Raccogliere i dati personali su reti private autorizzate.

2. Liceità del trattamento.

3. Scelta di un metodo crittografico adeguato per archiviare i dati che consenta all’interessato di avvicinarsi ad un esercizio dei suoi diritti.

4. In fase di progettazione del programma, concedere la restrizione del trattamento o le richieste di intervento umano.

5. Il GDPR stabilisce che il consenso sia granulare e non ambiguo. Avviando una transazione un utente sta assumendo un obbligo contrattuale con la piattaforma e ciò potrebbe costituire la base per il trattamento: qui abbiamo un atto passivo.

6. In una rete blockchain privata autorizzata, richiedere che ciascun partecipante accetti determinati termini e condizioni prima di ottenere l’accesso alla rete stessa.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 8

A) RACCOMANDAZIONI

REGOLE EMPIRICHE PER LA PROGETTAZIONE (2/2)

7. Le blockchain permissioned dovrebbero essere favorite poiché consentono un miglior controllo sulla governance dei dati personali, in particolare per quanto riguarda i trasferimenti al di fuori dell’UE.

8. Il requisito di adeguate salvaguardie per i trasferimenti al di fuori dell’UE, come le regole aziendali vincolanti o le clausole contrattuali standard, sono interamente applicabili alle blockchain autorizzate.

9. Mentre le opportune salvaguardie per un trasferimento al di fuori dell’UE possono essere utilizzate in una blockchain autorizzata, come clausole contrattuali standard, regole aziendali vincolanti, codici di condotta o persino meccanismi di certificazione, CNIL osserva che queste garanzie sono più difficili da implementare in una blockchain pubblica, dato che il titolare dei dati non ha un controllo reale sulla posizione dei miner.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 9

B) RUOLI

TITOLARE DEL TRATTAMENTO (1/2)

1. Identificazione e obblighi dei responsabili e titolari del trattamento. Esistono situazioni in cui è difficile e forse impossibile identificare i titolari, ad esempio quando i singoli utenti pubblicano transazioni o definiscono contratti intelligenti decentralizzati su una blockchain pubblica.

2. CNIL osserva che i partecipanti, che hanno il diritto di scrivere sulla catena e che decidono di inviare i dati per la convalida da parte dei miner, possono essere considerati come titolari.

3. Gli sviluppatori, che creano e mantengono la tecnologia blockchain open source, non dovrebbero essere considerati titolari.

4. Gli attori, che eseguono il protocollo blockchain sui loro computer, al fine di fungere da nodi di convalida o nodi partecipanti pubblici, non dovrebbero essere considerati titolari (controller).

5. Se gli utenti inviano i dati personali al libro mastro come parte di un’attività commerciale, è più probabile che siano considerati titolari.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 10

TITOLARE DEL TRATTAMENTO (2/2)

6. Le persone fisiche che immettono dati personali, che non riguardano un’attività professionale o commerciale, non sono titolari (in base all’esclusione “puramente personale o di attività familiare” di cui all’articolo 2 del GDPR).

7. Quando un gruppo decide di eseguire operazioni di elaborazione per uno scopo comune, CNIL raccomanda ai partecipanti di prendere una decisione comune sulle responsabilità del titolare:

creando una persona giuridica come titolare dei dati; oppure

designando il partecipante che prenda le decisioni per il gruppo come titolare;

in caso contrario, è probabile che tutti i partecipanti siano considerati contitolari.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 11

RESPONSABILE DEL TRATTAMENTO

1. Gli sviluppatori di contratti intelligenti che trattano i dati personali per conto del titolare del trattamento, sono responsabili (processor).

2. I miner sono responsabili se convalidano la transazione contenente dati personali.

3. È responsabile del trattamento chi stabilisce un contratto con il partecipante, agendo in tal modo come titolare, che specifica gli obblighi di ciascuna parte e che riproduce le disposizioni dell’articolo 28 del GDPR.

4. È responsabile del trattamento lo sviluppatore del contratto intelligente che elabora i dati personali per conto del partecipante.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 12

C) DIRITTI DELL’INTERESSATO

DI INFORMAZIONE

1. Le applicazioni impongono agli utenti permessi nel momento in cui avviene la registrazione e tali permessi sono concessi a tempo indeterminato; l’unico modo per modificare l’accordo è opt-out. È necessario dare la possibilità all’utente di modificare i permessi e revocare l’accesso ai dati raccolti.

2. Il titolare deve fornire informazioni concise che siano facilmente accessibili e formulate in termini chiari all’interessato prima di inviare i dati personali ai miner per la convalida.

DI CANCELLAZIONE

1. CNIL riconosce che alcune tecniche di crittografia, associate alla distruzione delle chiavi, possono essere considerate come una cancellazione anche se non è una cancellazione nel senso più stretto.

2. Quando i dati registrati sono generati da una funzione di hash keyed o un testo cifrato ottenuto tramite algoritmi e chiavi “state of the art”, il titolare può rendere i dati praticamente inaccessibili e quindi avvicinarsi agli effetti della cancellazione dei dati.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 13

DI RETTIFICA E D’OPPOSIZIONE

È tecnicamente impossibile concedere la richiesta di rettifica effettuata da un interessato quando il testo in chiaro o i dati con hash sono registrati.

Il titolare inserisce i dati aggiornati in un nuovo blocco. Una transazione successiva può annullare logicamente una transazione iniziale, anche se la prima transazione apparirà ancora nella catena.

Il titolare dovrebbe fornire la possibilità dell’intervento umano che consenta alla persona interessata di contestare la decisione.

L’utente deve poter modificare le autorizzazioni concesse a un servizio in qualsiasi momento emettendo una transazione con una nuova serie di autorizzazioni, incluso revocare l’accesso ai dati precedentemente memorizzati.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 14

DI ACCESSO

Elaborazione automatizzata: gli interessati possono chiedere al titolare se i loro dati sono utilizzati o meno per il processo decisionale automatico.

Territorialità: vi sono anche obblighi in termini di luogo in cui può avvenire l’elaborazione dei dati, noti anche come “trasferimenti di dati personali verso paesi terzi”.

ALLA PORTABILITÀ

CNIL ritiene che l’esercizio di tale diritto sia compatibile con le proprietà tecniche.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 15

D)REQUISITI DI SICUREZZA (ARTICOLI 25 E 32)

ANONIMIZZAZIONE DATI (1/2)

1. L’anonimizzazione dei dati personali, è la validità di varie tecniche che consentono agli utenti di registrare “prove di dati” (proofs of data) senza rivelare effettivamente i dati.

2. Mascheratura degli indirizzi personali

Le chiavi pubbliche o gli indirizzi sono generalmente dati personali. Su alcune reti blockchain pubbliche, gli indirizzi dei mittenti e dei destinatari delle transazioni possono essere visti da tutti, in base al GDPR tali indirizzi sarebbero spesso considerati pseudonimi.

La tecnica di mascheratura degli indirizzi più comune è denominata “servizio di individuazione indiretta di terze parti”. Consiste nel chiedere a una terza parte di aggregare molte transazioni blockchain e di inviarle alla contabilità utilizzando la propria chiave pubblica.

Le “firme ad anello” sono un’altra tecnica con la quale più parti firmano una determinata transazione in modo tale che un estraneo possa essere sicuro che una delle parti è il firmatario legittimo, ma non quale.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 16

ANONIMIZZAZIONE DATI (2/2)

3. Crittografia dei dati personali

I dati personali crittografati in modo reversibile sono personali ed in quanto tali rientrano nell’ambito del GDPR.

Una crittografia forte sui dati personali, produce come risultato uno pseudonimo, non un anonimo. Questo per il semplice motivo che, finché la chiave esiste da qualche parte, i dati possono essere decifrati, portando a un rischio di inversione.

Il dato personale “hashed” rientra in un contesto ambiguo.

Usare tecniche di “salting” o “peppering”, che implicano l’aggiunta di informazioni extra ai dati per renderlo abbastanza grande da rendere estremamente difficoltoso un attacco di inversione dei dati.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 17

PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PER IMPOSTAZIONE PREDEFINITA

Il sistema, all’atto della sua prima registrazione, genera all’utente una nuova identità condivisa (utente, servizio) e inviata, insieme alle autorizzazioni associate, alla blockchain.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 18

MINIMIZZAZIONE DEI DATI (1/2)

Il principio di minimizzazione richiede che i dati raccolti siano pertinenti e limitati a quanto strettamente necessario agli scopi per i quali sono trattati. Un periodo di conservazione dei dati deve quindi essere definito in base allo scopo del loro trattamento. Se la cancellazione non è possibile allora si determina un conflitto col diritto all’oblio (vedi richiesta al Garante)

Ogni partecipante ha un identificatore composto da una serie di caratteri alfanumerici che appaiono casuali e che costituiscono la sua chiave pubblica. Questi identificatori sono sempre visibili, in quanto sono essenziali per il suo corretto funzionamento. CNIL ritiene che questi dati non possano essere ulteriormente ridotti al minimo e che i loro periodi di conservazione siano, in sostanza, in linea con la durata dell’esistenza della blockchain.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 19

MINIMIZZAZIONE DEI DATI (2/2)

Se una valutazione impatto (art. 35) ha dimostrato che i rischi residui sono accettabili, i dati possono essere conservati anche in testo chiaro. Alcuni titolari del trattamento potrebbero avere l’obbligo legale di rendere pubbliche e accessibili alcune informazioni, senza un periodo di conservazione: in questo caso particolare, è possibile prevedere la memorizzazione di dati personali su una blockchain pubblica.

Dato che gli identificatori dei partecipanti, vale a dire le loro chiavi pubbliche, sono essenziali per il corretto funzionamento della blockchain, CNIL ritiene che non sia possibile minimizzarli ulteriormente; il periodo di conservazione è in linea con quello della blockchain.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 20

CONSIDERAZIONI PER IL CALCOLO DEL RISCHIO (ART. 35)

Caratteristiche dell’architettura: le sue caratteristiche potrebbero essere in conflitto con quanto stabilito dal Regolamento e per ognuna di esse è necessario valutare l’impatto.

1. Pubblica

Senza richiesta di permessi o autorizzazioni a chiunque è consentito di diventare un nodo partecipante o un nodo di convalida.

Non c’è il proprietario della rete, nessuna procedura di iscrizione, nessuna registrazione e nessuna restrizione su chi può farlo.

Tutti i nodi possono vedere tutti i dati, così come gli indirizzi del mittente e del destinatario.

Chiunque può decidere di crittografare i dati prima di inviarli; si può utilizzare un servizio di reindirizzamento di terze parti per offuscare l’indirizzo del mittente o del destinatario.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 21

2. Pubbliche e autorizzate

Chiunque può essere un nodo partecipante e vedere tutti i dati, ma solo gli attori pre-approvatipossono diventare nodi di convalida e aggiungere dati al libro mastro.

3. Private (permissioned)

Regole che definiscono chi è in grado di vedere e quali dati.

Definire procedure tecniche e organizzative per limitare l’impatto di un potenziale errore dell’algoritmo: vulnerabilità su un meccanismo crittografico.

Definire un piano di emergenza che consenta di modificare gli algoritmi quando è identificata una vulnerabilità.

Definire una governance delle modifiche al software utilizzato per creare transazioni.

Definire procedure tecniche ed organizzative per garantire un allineamento tra le autorizzazioni pianificate e l’applicazione pratica.

Il titolare deve garantire la sicurezza delle chiavi segrete utilizzate.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 22

ULTERIORI CONSIDERAZIONI (1/2)

1. Blockchain pubblica, gestita da migliaia di nodi: non privata; non molto veloce; molto decentralizzata; molto difficile interrompere il funzionamento (art. 32 per BC e DR) o acquisirne il controllo.

Può essere utilizzata:

per archiviare le risorse crittografiche per lunghi periodi di tempo senza scambiarle;

come bridge per spostare queste cripto risorse da una rete di trading privata a un’altra;

in progettazione, la blockchain di base rende possibile l’interoperabilità della rete privata con altre reti in tutto il mondo, ma i membri del consorzio devono essere estremamente attenti a non compromettere i dati personali quando i dati vengono scambiati tra i due livelli.

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 23

ULTERIORI CONSIDERAZIONI (2/2)

2. Quando si considera l’uso di tecniche di mascheramento, è necessario valutare due rischi in dettaglio:

Rischio di inversione, nonostante la crittografia utilizzata, è possibile invertire il processo e ricostituire i dati originali attraverso la decrittazione.

Rischio di correlazione, è il rischio di collegamento di dati crittografati ad un individuo confrontandolo con altre informazioni.

3. Massima attenzione quando si collegano blockchain private con quelle pubbliche.

4. Dimensioni: generazione transazione blocco con altre transazioni blocchi della catena ∈Libro Mastro distribuito in tutti i nodi AUMENTO CONTINUO DELLO SPAZIO NECESSARIO AD

OSPITARE TUTTE LE INFORMAZIONI (INCREMENTALI)

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 24

RIFERIMENTI

1) Progetto DECODE: https://decodeproject.eu/

2) EU Blockchain Observatory and Forum – An initiative of the European Commission: Blockchain and GDPR

3) CNIL - Blockchain & GDPR: Solutions for a responsible use of the blockchain in the context of personal data

4) 2015 IEEE – Blockchain: Decentralizing Privacy: Using Blockchain to Protect Personal Data dal sito https://ieeexplore.ieee.org/document/7163223

5) ENISA WP2018 O.2.2.5: Reinforcing trust and security in the area of electronic communication and online services – December 2018

6) Adeguamento Tecnologico al GDPR: Linee Guida – manuale disponibile su https://store.streetlib.com/it/aldo-pedico/adeguamento-tecnologico-al-gdpr/

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 25

Pedico Aldo © - Teleion S.r.l via Ferrero 31 - 10098 Rivoli (TO) - Tel. 3482244924 – email: a.pedico@teleion.it 26