Blockchain as a service e protezione dei dati personali

B

Il fenomeno IoT x.0 e la blockchain

È difficile definire correttamente il fenomeno dell’Internet of Things (IoT) e ciò è testimoniato da numerosi contributi sull’argomento.

Oggi assistiamo ad una profonda evoluzione dell’IoT tanto da qualificarlo un ecosistema. Infatti, negli ultimi anni sono stati evidenti gli sviluppi di questo fenomeno che, probabilmente, è stato conosciuto partendo dal Nabaztag e dalle comunicazioni provenienti da alcuni sensori (meter) installati in diverse parti del mondo. Oggi, invece, il fenomeno si è talmente evoluto e diffuso anche con lo sviluppo di applicazioni che, da un lato, hanno favorito il sistema M2M e dall’altro hanno avuto effetti diretti nella vita quotidiana, tanto da incidere sullo stile di vita (gli stessi smartphone con le relative applicazioni).

Nel 2009, con l’intuizione di Rob Van Kranenburg, veniva fondato il Council of The Internet of Things e presentato ufficialmente a Bruxelles il 4 dicembre 2009: il mio intervento fu sui “legal issues”. Il Council è composto da soggetti che hanno voluto e vogliono condividere esperienze nei vari settori dell’IoT. Proprio di recente il Council, in ragione della evoluzione del fenomeno IoT, pur mantenendo la propria identità è stato rinominato come “Next Generation Internet”.

Il fenomeno IoT, quindi, si è profondamente trasformato, diventando un ecosistema in funzione della evoluzione tecnologica e dello sviluppo di numerose applicazioni. Si parlava di fenomeni “smart”, ma oggi, probabilmente, è preferibile denominarli “smart-X” proprio per lo sviluppo sempre maggiore di soluzioni “intelligenti” (smart city, smart grid, smart car, smart contracts, ecc.).

Uno sguardo più attento all’IoT, pertanto, permette di effettuare un’analisi del fenomeno da cui emerge una indiscutibile interazione tra soluzioni ed ambienti che è rendono più confacente una qualificazione in termini di “ecosistema” o ancora meglio di “ecosistema digitale”.

Ci si domanda se sia possibile descrivere questa evoluzione con una classificazione numerica (2.0, 3.0, ecc.). Ad avviso di chi scrive questo tipo di classificazione è riduttiva e rischia di limitare profondamente il fenomeno che è sotto la spinta di una veloce evoluzione. Un ecosistema come quello dell’IoT si alimenta e si evolve continuamente in funzione, da un lato, dello sviluppo tecnologico e, dall’altro, in ragione delle mutevoli esigenze aziendali e personali.

Non mancano, evidentemente, rischi per la sicurezza e per i dati personali, anche se l’uso prevalente delle tecnologie attira maggiore attenzione sui profili di security piuttosto che sulla protezione dei dati personali e sulla privacy.

La blockchain

In questo contesto, descritto molto sinteticamente, si pone un fenomeno emergente che è quello della “blockchain” (catena di blocchi).

La blockchain è sostanzialmente un database con caratteristiche particolari, in cui ciascun record è costituito da un nodo (che a sua volta contiene informazioni) e i singoli nodi sono legati (di qui catena di blocchi) l’uno all’altro in modo da non poter essere modificati e quindi da non poter compromettere l’intera catena. Se questa catena (blockchain) viene replicata su più sistemi si parla di database distribuito (distributed database). La blockchain è qualificata anche come “ledger” (libro mastro) poiché associata alle registrazioni delle singole transazioni (di ciascun nodo) nel contesto del Bitcoin o delle criptovalute. Infatti, la blockchain all’inizio è stata utilizzata, e quindi conosciuta, perché costituisce l’infrastruttura tecnica del Bitcoin, la criptomoneta, solitamente associata a operazioni illecite in quanto ha costituito la modalità di pagamento del riscatto richiesto in occasione di attacchi informatici noti come “ransomware”. Tuttavia, il bitcoin e più in generale le criptomonete o criptovalute, hanno acquisito una sorta di connotazione negativa principalmente per la mancanza di norme giuridiche ad hoc che le disciplinassero. In realtà, pure le criptovalute sono oggetto di evoluzione (anche tecnologica) e la loro già ampia diffusione comporterà l’adozione di specifiche norme giuridiche.

La blockchain richiede una potenza computazionale molto elevata, tanto che qualche anno fa veniva stimata in 2 alla 192ma. In maniera molto semplificata e senza pretese di dettaglio, soprattutto tecnico, si può schematizzare la blockchain nei termini seguenti.

In ogni singolo nodo c’è un header che solitamente contiene i seguenti campi:

  1. Version
  2. Nonce
  3. Previous block header hash
  4. Block header hash
  5. Timestamp
  6. Difficulty

Le informazioni indicate sono tutte importanti per la blockchain, ma quelle di maggiore rilievo sono il Nonce che costituisce un numero, una sorta di “indice”, che identifica in maniera inequivocabile il blocco, il “Previous block header hash” che è l’impronta di hash del blocco precedente, e il “Block header hash” che costituisce l’hash del nodo. Per la generazione di un nuovo nodo l’algoritmo deve identificare l’hash del nodo precedente e generare quello del nodo che si sta creando. Ciò, evidentemente da un lato giustifica la potenza computazionale richiesta per tali operazioni e dall’altro rappresenta l’elevato livello di sicurezza che impedisce (ma non in senso assoluto perché in informatica nulla è sicuro) la compromissione del singolo blocco e, quindi, dell’intera catena.

Come si è detto, si tratta di una spiegazione puramente descrittiva e non tecnica della blockchain.

Tra le piattaforme che consentono di strutturare applicazioni per la blockchain, quella che attualmente sta riscuotendo maggior riscontro è Ethereum.

”Blockchain as a service”

La sia pur sintetica descrizione della blockchain e le applicazioni che sono state ad oggi sviluppate e quelle che sono in fase ancora progettuale consentono di qualificare la blockchain come “blockchain as a service”, in ragione della potenzialità di essere asservite alla erogazione dei più disparati servizi.

Come si vedrà in seguito, le potenzialità legate allo sviluppo di applicazioni per la blockchain denotano la sua evoluzione da struttura tecnica sottesa alle criptovalute a vera e propria infrastruttura informatica utilizzabile per l’erogazione di servizi.

Ciò rappresenta un central point, un punto nodale, posto che lo sviluppo di applicazioni blockchain per l’erogazione di servizi costituisce attualmente uno dei più importanti settori della ben nota Industry 4.0 e quindi uno degli ambiti di business di maggior rilievo.

Le potenzialità della blockchain sono state assolutamente intese da colossi del settore IT (IBM e Samsung Electronics) che hanno dato corso allo sviluppo di progetti importanti come ADEPT (Autonomous Decentralized Peer-to-Peer Telemetry).

Le applicazioni della blockchain

Si è detto che la blockchain, nella sua declinazione di “blockchain as a service” consente lo sviluppo di numerose applicazioni, anche per l’erogazione di servizi. Lo sviluppo di applicazioni che utilizzano la blockchain potrebbe non escludere l’impiego della Intelligenza Artificiale (AI) con ulteriori enormi potenzialità sia per le industrie sia per gli utenti che fruiranno dei servizi erogati.

Quali applicazioni basate su blockchain, in concreto, è possibile sviluppare o sono state già sviluppate ? Di seguito alcuni riferimenti applicativi, ma si precisa che lo scenario è molto ampio.

  • Le criptovalute – Si è detto che la blockchain ha consentito lo sviluppo del Bitcoin e delle altre criptovalute (una lista non esaustiva è disponibile a questa pagina). L’utilità di una criptovaluta è chiara: abbattimento dei costi, eliminazione di intermediari, semplificazione delle operazioni, sicurezza delle transazioni.
  • smart contracts e fenomeni “smart” – È possibile sviluppare applicazioni per contratti intelligenti (smart contracts). Si tratta non di veri e propri contratti, così come sono considerati da un punto di vista legale, ma di operazioni che vengono eseguite in automatico al verificarsi di una determinata condizione. Si immagini al contratto di erogazione di energia elettrica o del gas; al verificarsi di una determinata condizione (es. la lettura dei consumi) viene eseguito un pagamento. Gli smart contracts al momento sono ancora collegati al concetto di transazione finanziaria e non, quindi, ad altri automatismi ma non c’è dubbio che si possano sviluppare applicazioni che implementino l’ambito di utilizzo. Uno degli aspetti di rilievo è costituito dalla sicurezza delle operazioni (transazioni) che impedirebbe qualsiasi compromissione delle operazioni.
  • identità digitale (eID) – Anche il profilo della identità può essere affrontato mediante blockchain. Molto spesso risulta non semplice identificare una persona, soprattutto quando ciò deve essere effettuato in maniera virtuale. In Italia esiste lo SPID (Sistema Pubblico di Identità Digitale) disciplinato dal D.Lgs. 82/2005 (CAD – Codice dell’Amministrazione Digitale). Tuttavia, la blockchain consente lo sviluppo di applicazioni attraverso cui semplificare l’identificazione di un soggetto e consentire l’accesso a tali informazioni in maniera sicura. Non si sta parlando di un database della popolazione residente, come ad esempio è l’Anagrafe della Popolazione Residente (ANPR), ma di soluzioni tecnologiche che consentano a soggetti legittimati e preventivamente autorizzati di avere la certezza sulla identità delle persone. In termini più pratici, alcune aziende (es. per erogazione del credito o di servizi) hanno necessità di identificare la persona fisica in maniera certa. Un’applicazione basata su blockchain può consentire questo.
  • immigrazione – Il fenomeno della immigrazione è attuale ed emergente. Anche in questo caso, la blockchain può essere utile. È evidente che gli immigrati non sono censiti e ciò crea difficoltà di identificazione per ciascuno di essi. Sono state già sviluppate applicazioni basate su blockchain che consentono di gestire le identità degli immigrati. Una soluzione del genere agevolerebbe moltissimo le attività degli Organi pubblici, della PA, delle ONG, ecc.
  • conservazione documentale – La conservazione documentale, oltre che un obbligo (cfr. CAD), può costituire indubbiamente un valore aggiunto. La blockchain permette lo sviluppo di applicazioni per la conservazione.
  • E-Government e PA digitale – La blockchain può costituire un valore aggiunto anche per la PA e per suo il processo di digitalizzazione. Sono facilmente immaginabili gli ambiti applicativi e tra questi è possibile certamente un utilizzo nell’ambito del Processo Telematico (PT). Oggi il PT è basato su piattaforme diverse in base alla giurisdizione (al momento per civile, amministrativo e tributario). La blockchain può servire certamente a sviluppare applicazioni per semplificare alcuni aspetti e per attribuire maggiori garanzie sia in termini di sicurezza di riguardo alle informazioni acquisite.
  • Interazione tra applicazioni o servizi – Le applicazioni della blockchain non sono indipendenti tra loro, ma è possibile costituire una interazione tra le stesse. Si immagini alla gestione delle identità e a quella dei sistemi di pagamento. Ciò è già possibile oggi in alcuni settori. La combinazione dei vari servizi basati sulla blockchain è sicuramente un altro central point della blockchain.

Blockchain, protezione dei dati personali e privacy

La blockchain è certamente un fenomeno innovativo e di rilievo ma non esente da profili attinenti alla normativa sulla protezione dei dati personali e sulla privacy. Il tema è particolarmente importante non solo in ambito nazionale. Infatti, la riservatezza e la protezione dei dati personali sono diritti fondamentali previsti nella Carta dei Diritti Fondamentali dell’Unione Europea (artt. 7 e 8). Al di là della considerazione di tali principi, non può prescindersi dal Regolamento europeo n. 679/2016 (General Data Protection Regulation -GDPR) che sarà applicabile (è già in vigore) dal 25/5/2018 in ogni Stato Membro e dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003).

Tale impianto normativo impone alcune riflessioni in ordine alla protezione dei dati personali degli individui nella blockchain. Tra i pilastri fondamentali in materia di protezione dei dati personali emergono l’informativa all’interessato e il consenso dello stesso. La blockchain, così com’è stata ideata, si struttura sul trust, sulla fiducia. Si parla di web of trust (WoT) nei sistemi di crittografia come GPG. In realtà, per una fattiva applicazione della blockchain in tutti i settori, non si può prescindere dalle norme in materia di protezione dei dati personali e, al contempo, va valutato come tali norme possono essere rispettate. I profili connessi alla protezione dei dati personali sono noti a tecnici e scienziati che si sono occupati della blockchain.

Questi aspetti, comunque, sono stati affrontati solo in termini di security, innalzando sempre più le misure di sicurezza della infrastruttura informatica, spesso mediante l’utilizzo di algoritmi crittografici. Tuttavia, il concetto di security è diverso da quello della protezione dei dati personali e, pertanto, non è giuridicamente corretto affrontare in questo modo il problema.

Trattandosi di un fenomeno relativamente attuale, non esistono delle “ricette” o delle soluzioni preconfezionate. Bisogna sempre effettuare comunque delle valutazioni caso per caso al fine di identificare le modalità corrette per individuare soluzioni c.d. compliance.

Fondamentale l’utilizzo di apposite policy, ma queste andrebbero accompagnate da altre soluzioni, in modo che sia garantita la protezione dei dati personali dell’individuo. L’interessato deve essere preventivamente informato circa il trattamento dei propri dati personali e in grado di esprimere liberamente il proprio consenso.

Lo sviluppo di applicazioni per blockchain dovrà tener conto dei principi contenuti nell’art. 25 del GDPR che disciplina la data protection by design and by default.

Ciascun progetto relativo alla blockchain deve essere realizzato in modo che venga garantita adeguata protezione ai dati personali dell’individuo. Il GDPR è chiaro nella adozione di misure di sicurezza “tecniche e organizzative” idonee per affrontare i rischi, di eventuali Valutazione di impatto (Data Protection Impact Assessment) ove applicabile. Uno screening importante viene effettuato durante l’audit all’esito del quale si ottiene un quadro generale sufficientemente chiaro. Successivamente si valutano le possibili soluzioni in conformità alla normativa vigente. La sicurezza è un aspetto fondamentale ma non sostituisce gli adempimenti previsti dalle leggi sulla protezione dei dati personali.

La Conferenza Internazionale dei Garanti privacy lo scorso anno (2016) ha affrontato il tema, pure attuale, della Artificial Intelligence (AI) ed è auspicabile che nella prossima sessione si discuta anche della blockchain.

About the author

Nicola Fabiano

Nicola Fabiano, Avvocato cassazionista, Specialista in Diritto Civile, esperto e consulente in materia di protezione dei dati personali, privacy e sicurezza informatica, innovatore.

Add comment

By Nicola Fabiano

Articoli recenti

Commenti recenti

Archivi

Categorie

Follow Me