.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

26 settembre 2018

GDPR e Blockchain. Facciamo la pace?

Grazie al CNIL, il GDPR e la  Blockchain fanno la pace.

Chi gestisce la privacy si trova oggi a confronto con la BLOCKCHAIN, una fantastica tecnologia, dalle caratteristiche uniche, che risolve una lunga serie di antichi problemi del mondo dell'informatica.
Il GDPR a prima vista non va molto d'accordo con la blockchain e da più parti sono state sollevate perplessità e difficoltà di applicazione della norma. Più d'un interprete sostiene che la Blockchain "non sia a norma" con il GDPR e altrettanti sostengono che il GDPR sia obsoleto perchè non tiene conto della Blockchain.

Oggi, grazie al Garante francese, possiamo contare su un'indicazione autorevole. Una interpretazione autentica che rasserena gli animi e ci permette di guardare avanti, superando l'empasse.

Ecco il parere del CNIL:

Il TITOLARE DEL TRATTAMENTO è il soggetto che partecipa alla blockchain e presenta un dato da convalidare e integrare nella catena.

Quindi, i titolari sono molti. Il garante non si esprime in termini di contitolarità.
Ricordo per completezza che il "titolare del trattamento" in inglese si chiama "data controller" e in francese risponde al nome di "responsable de traitement".

Non tutti quelli che interagiscono con la blockchain sono titolari. Chi semplicemente mina,  non lo è affatto poichè non intervenire sull'oggetto delle transazioni: non determinano quindi le finalità e i mezzi del trattamento.

Quando l'uso della blockchain avviene per volontà di più soggetti, è bene che questi individuino preventivamente chi agisce nella veste di titolare. In mancanza, sono tutti considerati co-titolari (art. 26) e destinatari singolarmente degli obblighi di legge che gravano sul titolare.

Negli SMART CONTRACTS, come per qualsiasi altro software, il programmatore può essere un semplice fornitore software oppure, quando partecipa al trattamento, può essere qualificato come un responsabile del trattamento (data processor / sous-traitant) o addirittura come titolare a seconda del suo ruolo nella determinazione delle finalità.


Esistono dei responsabili del trattamento (data processor) nella blockchain?
Si, per esempio uno sviluppatore di smart contracts per conto di un titolare.
Si, anche i miners possono essere responsabili del trattamento in alcuni casi in cui chi convalida i dati verifica che la transazione rispetti dei criteri tecnici per conto del titolare.
Anche in questi casi è opportuno che i soggetti coinvolti definiscano prima i reciproci ruoli con un contratto.

Il CNIL riconosce che su questo particolare aspetto, in particolare per le blockchain pubbliche, ci siano delle difficoltà applicative del GDPR e consiglia di adottare soluzioni innovative, al momento in fase di studio.

Come possono essere ridotti i rischi per gli interessati?
Innanzitutto occorre che il titolare valuti se è opportuno ricorrere alla blockchain per effettuare il trattamento o se, al contrario, vi sono tecnologie preferibili che comportano meno rischi per l'interessato.

Il titolare potrebbe preferire altri strumenti, anche solo per non dover gestire gli adempimenti relativi al trasferimento dei dati in paesi terzi, scenario praticamente certo in caso di uso di blockchain pubbliche.
Se il titolare scegli una blockchain pubblica per trattare dati personali, deve occuparsi della gestione del consenso al trasferimento in paesi terzi e deve gestire contrattualmente la protezione offerta dai miners fuori dalla UE, con gli strumenti che il GDPR ammette. Questo livello di complicazione è notevole e potrebbe disincentivare la scelta.


I dati
Pare difficile rispettare il principio della minimizzazione del dato e anche il principio della limitazione della conservazione del dato.
Per definizione, nella Blockchain alcuni dati sono necessari e sono conservati senza un termine.
Il CNIL non si esprime e richiama la necessità di una riflessione e una indicazione ufficiale dell'UE per armonizzare il GDPR con le caratteristiche intrinseche della Blockchain.

Nella Blochchain sono presenti i dati identificativi dei miners e di chi ha registrato dei blocchi. Questi identificatori saranno sempre validi. Il CNIL chiarisce che questi dati non sono minimizzabili ulteriormente e saranno trattati per tutta la durata della blockchain, cioè in modo indefinito.

Il Cnil da una preziosa indicazione anche sui dati registrati nel blocco (payload). Questi dati dovrebbero essere non comprensibili ai miners e ad altri soggetti e dovrebbero essere registrati con funzioni crittografiche evolute (impegno crittografico a due fasi), oppure potrebbe essere registrato il solo hash dei dati o, ancora, dati con cifratura forte.
Solo se la valutazione preliminare ha evidenziato un basso impatto o un rischio assente, allora è possibile registrare dati in chiaro o con cifratura debole. Questo è il caso dei soggetti legalmente obbligati alla pubblicazione di dati ed informazioni che, in quanto tali, possono essere registrai in blockchain in un formato leggibile da chiunque.


Esercizio dei diritti dell'interessato
Il diritto alla corretta informativa non pone problemi con la Blockchain. resta a carico del titolare o del responsabile ed è compatibile. Anche il diritto di accesso e alla portabilità sono compatibili con la blockchain.

Sono problematici i diritti relativi alla cancellazione, alla rettifica e di opposizione.

La cancellazione non è possibile per definizione. Tuttavia il titolare può registrare solo l'hash dei dati o ricorrere a impegno crittografico a due fasi e quindi, in caso di necessità, è nella condizione di cancellare i dati (chiave segreta di hashing) che possono essere associati a quel determinato hash o la fase dell'impegno crittografico non registrata in blockchain. Non si tratta di una cancellazione in senso tecnico ma il procedimento si avvicina molto al risultato desiderato, rendendo praticamente impossibile ricostruire il dato.
Questi sistemi possono essere valutati dal titolare come equivalenti alla cancellazione in senso tecnico e, di conseguenza, adottati.

Rimane impossibile eseguire una cancellazione di dati registrati in chiaro nella blockchain e questo dovrebbe quindi essere sempre evitato.

La rettifica è possibile solo mediante la registrazione di un nuovo dato, correttivo, in un blocco successivo della blockchain. Chiaramente, il dato sarà visibile sia nella versione originaria che nella versione corretta. Potrebbero essere valutate le medesime soluzioni tecniche applicabili alla cancellazione, anche per la rettifica, in modo da rendere non ricostruibile il dato originariamente registrato che si deve andare a modificare con una nuova iscrizione nella blockchain.

La limitazione del trattamento può essere prevista originariamente in uno smartcontract e risultare, dunque, possibile.
Gli smartcontract pongono interessanti quesiti anche con riferimento all'opposizione rispetto alle decisioni automatizzate. Questi contratti si eseguono in automatico se si realizzano determinate condizioni. Se opportunamente realizzati, possono integrare l'esercizio dei diritti previsti dal GDPR e diventa possibile richiedere l'intervento umano nella decisione.


La protezione dei dati

Le caratteristiche della blockchain sono la trasparenza, la decentralizzazione, la non falsificabilità, la disintermediazione. Queste sono punti di forza della tecnologia e sono garantiti fondamentalmente da: la partecipazione di molti partecipanti e miners e le funzioni crittografiche

Il CNIL suggerisce di prevedere anticipatamente cosa debba accadere in caso di collisioni o malfunzionamenti degli algoritmi utilizzati e di includere una procedura di emergenza per la sostituzione di un algoritmo qualora se ne riscontrasse la vulnerabilità o la fallacia.

I software per minare o per effettuare transazioni devono essere documentati e la fase di sviluppo deve essere governata.

Se la blockchain non è pubblica, le protezioni per garantire la sua riservatezza e confidenzialità devono essere adeguate.

Tutti i titolari del trattamento che utilizza la blockchain deve garantire la protezione e la confidenzialità delle chiavi o degli impegni crittografici curandone l'archiviazione su supporti sicuri.



Chiaramente, tutto ciò non vale per chi utilizza la blockchain per registrare dati di persone giuridiche, che non sono quindi dati personali e non riguarda nemmeno chi utilizza la blockchain per scopi personali e non professionali o per conto di terzi.

CB.

06 settembre 2018

Quella sottile differenza... nell'applicazione della legge di Murphy

Il 24 maggio, un giorno prima dell'entrate in vigore del GDPR, il sito dell'autorità Garante per la Privacy Inglese (ICO) si è sconnesso dalla rete per più di due ore. Poco male, certamente un guasto tecnico gestito in un tempo tecnico. Si può dire che il guaio sia capitato nel giorno sbagliato ed all'ente sbagliato, ma chi frequenta i sistemi informatici è abituato a gestire la loro perfidia e conosce alla perfezione la legge di Murphy, inclusi corollari e postulati.

Purtroppo, il 22 agosto, il medesimo sito dell'ICO è stato afflitto dalla peggiore disgrazia che possa colpire un sito web: un devastante crash informatico che ha comportato il malfunzionamento del sito per oltre 2 giorni. Due giorni, senza prospettive sui tempi di ripristino e senza la possibilità di accedere ai materiali pubblicati, senza poter inviare le notifiche all'autorità, senza accedere alle registrazioni dei titolari del trattamento (in Inghilterra è un adempimento previsto in modo generalizzato), ecc.

Murply non perdona!

In questi giorni, anche il nostro Garante Privacy sta subendo la stessa sorte e vive le impietose conseguenze della immutabile regola aurea.

Murphy non perdona!

Su suolo Italico, il 25 maggio, sicuramente per un eccessivo lavoro del server e delle linee, il sito del nostro Garante è risultato irraggiungibile per ore... effettivamente il tamtam mediatico ha portato molta più gente del previsto ad occuparsi di una materia che, generalmente, è frequentata da 4 gatti spelacchiati e 4 minions.

Ripenso all'antico adagio letto tante volte in tribunale: "la legge è uguale per tutti"...e poi ripenso alla legge di Murphy!

Il 4 Settembre, dopo una lunga e ansiosa attesa, è stato pubblicato il D.Lgs 101/2018 che modifica e armonizza il D.Lgs 196/03 al GDPR. Una giornata campale, densa di emozioni per tutti i gatti spelacchiati e i minions che di privacy sono appassionati.

Purtroppo... Murphy non perdona!

Il 5 settembre, all'alba della pubblicazione dell'importante nuova legge, il sito del Garante Privacy va offline, si scollega dal mondo: irraggiungibile... muto e sordo ad ogni tentativo di accesso!
E pensare che non si tratta di un sito vetrina, statico e immutabile. Garanteprivacy.it è un sito molto frequentato, ricco di contenuti, magari non paragonabile ai siti di alcune Autority gemelle in altri stati d'Europa, ma pur sempre punto di riferimento per i cultori della protezione dei dati personali.

In effetti, oltre ad essere il faro che traccia la rotta per il corretto adempimento della norma, è anche un portale per una serie di "servizi": attraverso il sito è gestito il registro delle notifiche del trattamento per chi era tenuto ad effettuarla (in effetti è un obbligo tutt'ora vigente), è l'interfaccia di invio dei dati di contatto del DPO nominato presso gli enti che debbono dotarsi del responsabile della protezione, è il punto di contatto per ricorsi e segnalazioni.

Un evento, insomma, che mortifica il requisito della disponibilità del dato personale previsto dall'articolo 32 del GDPR!

Potrebbe andare peggio? Beh, si... sul sito del garante si dovrebbero notificare i Data breach...  Opps! Come fa ora il Garante a notificare il suo stesso Data Breach?

Murphy non perdona!

Probabilmente questa autodenuncia circolare di data breach non avverrà e non è previsto debba avvenire, anche se mi sembra tutto abbastanza ridicolo.

Amaramente, smetto però di ridere se penso che noi gatti spelacchiati e noi minions, se subiamo un evento del genere, dobbiamo autodenunciarci al Garante e saremo chiamati a dare prova di aver fatto tutto il necessario per scongiurare l'inaccessibilità dei dati e garantire il requisito della disponibilità, di aver garantito la continuità dei servizi, di aver escluso la possibile perdita di dati, di aver impedito accessi non autorizzati e di aver organizzato la resilienza del sistema.

Noi dobbiamo dotarci di efficaci procedure di disaster recovery e di business continuity. Noi dobbiamo vincolare i nostri processor a standard analoghi di protezione dei dati e, se non facciamo tutto questo, veniamo sanzionati, incriminati e dobbiamo risarcire i danni causati.

...e tutto questo accadrà, è una certezza: Murphy non perdona!

CB




04 settembre 2018

Una telefonata che non poteva finire bene.

A volte rispondere ad una telefonata é un'esperienza surreale:

Ring ring...
Io: pronto chi parla? Lei: buongiorno, chiamo dall'editrice xyz, la contatto per informarla sul nostro nuovo manuale su come applicare il gdpr e la normativa privacy. Si tratta di un testo di 520 pagine con esempi e schemi che l'aiuteranno ad applicare correttamente il gdpr...
(La interrompo)
Io: mi scusi, ma io non vi conosco, come mai mi sta chiamando sul cellulare?
Lei: beh, si, abbiamo trovato il suo numero di cellulare nel suo cv su internet in una pagina di esperti di privacy e dpo.
Io: guardi che é illegale fare una cosa simile. Dovreste leggere un buon libro su come applicare il gdpr.
(Silenzio)
Io: penso che nessuno vi comprerà il libro sul gdpr se lo proponete così, violando il gdpr...
Lei: ma si, era solo per aggiornarla, comunque non faccia cosi,  se proprio non le interessa cercheremo di non chiamarla piu.
Io: speriamo!
Click.