Dezvoltarea de soluții blockchain din perspectiva GDPR

Article Dezvoltarea de solutii blockchain din perspectiva GDPR | Decalex

CE ESTE BLOCKCHAIN?

Companiile mari și unele guverne folosesc blockchain-uri pentru a revoluționa modul în care stochează informații și efectuează tranzacții. Există multe motive pentru a face acest lucru, inclusiv viteză mai mare, costuri mai mici, securitate mai mare și mai puține erori. Un blockchain elimină, de asemenea, punctele centrale de atac și eșec. Astfel, blockchain satisface nevoia unui protocol de încredere. 

Acesta este o rețea peer-to-peer care a început să apară drept opțiune tehnologică din lumea reală în 2008 și care are capacitatea de a schimba industria IT în același mod în care software-ul open-source a făcut-o acum un sfert de secol. Comparativ cu internetul, care face posibil transferul de informații, blockchain facilitează transferul de asset-uri de la distanță. Ca de exemplu, în momentul în care cineva trimite o imagine pe internet, în realitate se trimite o copie a imaginii existente din calculatorul persoanei. Prin blockchain poți trimite orice fel de asset de la persoana la persoana, asigurând autenticitatea tranzactiei care ramâne stocată și este aproape imposibil de modificat odată ce a fost validată.

Practic, blockchain-ul este un sistem de rețele compuse din mai multe noduri sau computere care acționează ca o rețea distribuită pe internet, la nivel mondial. Fiecare calculator conectat la blockchain poate efectua și primi tranzacții, sau poate valida o tranzactie și crea un bloc nou, depinzand de functia nodului. Blockchain-ul este un lanț de blocuri (set de tranzacții înregistrare) legate criptografic, astfel încât nimeni nu poate falsifica sau modifica datele stocate în acesta.

„Într-o rețea P2P, „peers” sunt sisteme informatice care sunt conectate între ele prin internet. Fișierele pot fi partajate direct între sistemele din rețea fără a fi nevoie de un server central. Cu alte cuvinte, fiecare computer dintr-o rețea P2P devine un server de fișiere, precum și un client” (techterms.com)

 

Deși este o tehnologie în fază incipientă, blockchain-ul poate fi folosit pentru păstrarea datelor cu caracter personal în device-ul propriu și simplificarea controlului asupra prelucrării datelor. Noua tehnologie poate fi folosită în managementul istoricului medical, verificarea identității, combaterea problemelor legate de contaminarea alimentelor, înregistrarea documentelor de proprietate și astfel prevenirea eventualelor fraude sau securitatea procesului electoral, iar acestea sunt doar cateva dintre exemple.

Aceasta tehnologie s-ar putea dovedi nu doar utilă, dar chiar necesară în contextul în care implementarea tehnologiei 5G și a inovațiilor pe care la va impulsiona aceasta, în Internet of Things (IoT), Artificial Intelligence (AI) sau Augmented Reality (AR), deoarece poate asigura un nivel scazut de prelucrare a datelor cu caracter personal. Suntem în pragul unei reale revoluției digitale și ne îndreptăm cu pași rapizi spre o lume „data-driven”, în care grija pentru protecția drepturilor și libertăților persoanelor, dar în special protecția datelor, pare a fi subsecventa intereselor financiare giganților IT. Prin urmare, blockchain-ul poate juca un rol esențial în menținerea unui echilibru.

Blockchain este o tehnologie fundamentală. Are potențialul de a crea noi baze pentru sistemele noastre economice și sociale. Dar, deși impactul va fi enorm, vor dura decenii până când blockchain-ul va pătrunde în infrastructura noastră economică și socială. Procesul de adoptare va fi gradual și constant, nu brusc, pe măsură ce valurile de schimbări tehnologice și instituționale câștigă impuls.”1

Cum functioneaza reteaua blockchain

Este bine de știut că, în ciuda aparențelor, Blockchain-urile nu sunt 100% impenetrabile. Blockchain-urile mai mici cu mai puține noduri (sau computere) sunt mai vulnerabile la fraude, existând deja cazuri în care persoane rău intenționate au obținut controlul asupra nodurilor „de la suprafață”.

Cu toate acestea, pentru companii, tehnologia blockchain deține promisiunea transparenței tranzacționale, capacitatea de a crea rețele de comunicații sigure, în timp real, cu parteneri din întreaga lume, pentru a sprijini totul, de la lanțuri de aprovizionare la rețele de plăți până la oferte imobiliare și partajarea datelor despre asistență medicală.

CARE SUNT CARACTERISTICILE ȘI DIFERITELE TIPURI DE BLOCKCHAIN?

Caracteristicile cheie ale Blockchain-ului 

➲  Capacitatea de procesare. Unul dintre aspectele esențiale ale tehnologiei Blockchain este că aceasta crește capacitatea întregii rețele prin utilizarea puteri de procesare a calculatoarelor care lucrează împreună, în timp ce sunt puține dintre dispozitivele în care lucrurile sunt centralizate.

➲  Securitate sporită. Blockchain-ul este securizată de un număr de computere numite noduri, iar aceste noduri confirmă tranzacția în această rețea. Deoarece blockchain-ul folosește criptografie sau tehnici de hash pentru a asigura un bloc (set de înregistrări), este aproape imposibil ca cineva să schimbe o înregistrare. Fiecare bloc are propriul său hash unic și hash-ul blocului anterior la care este legat. Dacă se încearcă modificarea înregistrărilor dintr-un blockchain, funcția hash a blocului respectiv se va schimba și hash-ul întregului lanț se va întrerupe. Acest lucru presupune ca intrusul să poată să revalideze blocurile de înregistrări noi cu hashul schimbat, toata ca înainte sa observe bifurcatia creata in blockchaine. Accest luvru face ca interferența cu înregistrările să fie foarte dificilă și detectarea unei interferențe ușoară.

➲  Incoruptibil și imuabil. Una dintre valorile principale ale Blockchain este faptul că permite crearea de registre imuabile (care nu pot fi modificate). Mai simplu spus, odată ce datele sunt înregistrate și validate de întreaga rețea, acestea nu pot fi alterate. De aici provine faimoasa zicală ‘Code is law’ (Codul este lege), care accentuează imposibilitatea prelucrării datelor în folosul propriu.

 

➲  Procesare rapidă. într-o rețea blockchain, tranzacțiile pot avea loc direct între două noduri dintr-o rețea fără intervenția unui terț mediator. De exemplu, dacă există o tranzacție financiară între două noduri dintr-un blockchain, acestea pot facilita direct tranzacția fără a fi nevoie să o facă printr-o bancă. Practic cele doua noduri între care are loc o tranzacție sunt verificate de către toate celelalte noduri dintr-o rețea blockchain, facilitând astfel efectuarea de tranzacții directe și sigure în câteva secunde.

➲  Descentralizare. Întregul sistem blockchain este unul descentralizat și distribuit. Adică, nu există nicio entitate centrală care să controleze și să gestioneze blockchain-ul. Fiecare nod din rețea are autoritate și acces egal la înregistrări. Fiecare nod are o copie a registrului și are dreptul de a verifica o tranzacție sau de a efectua o tranzacție. Acest lucru face ca rețeaua blockchain să fie sigură și transparentă.

Tipuri de blockchain

În prezent putem identifica 3 tipuri de  Blockchain: Privat, Public și Consortium. 

Blockchain public. Este un sistem de registru distribuit fără restricții, fără permisiuni. Oricine are acces la internet se poate conecta pe o platformă blockchain pentru deveni un nod autorizat și poate face parte din rețeaua blockchain. Un nod sau un utilizator care face parte din blockchain-ul public este autorizat să acceseze înregistrările curente și anterioare, să verifice tranzacțiile sau să facă dovada muncii pentru un bloc de intrare. În baza blockchain-urilor publice un nod autorizat ‘minează’ în schimbul de criptomonede, motiv pentru care cele mai frecvente blockchain-uri publice sunt pe baza de Bitcoin și Litecoin. Blockchain-urile publice sunt validate de noduri care au un stimulent financiar în mare parte sigure dacă sunt respectate cu strictețe regulile și metodele de securitate. 

Blockchain privat. Reprezintă un blockchain restricționat sau permis doar într-o rețea închisă. Blockchain-urile private sunt de obicei utilizate în cadrul unei organizații sau întreprinderi în care doar membrii selectați sunt participanți la rețeaua blockchain. Tranzacțiile/ Înregistrările sunt validate prin votul majorității de noduri. Astfel, nivelul de securitate, autorizații, permisiuni, accesibilitate sunt controlate de organizației. 

Permissioned Blockchains. Pot fi văzute ca un sistem de securitate suplimentar pentru blockchain, deoarece mențin un strat de control al accesului pentru a permite efectuarea anumitor acțiuni numai de către anumiți participanți identificabili. Din acest motiv, aceste blockchains diferă de blockchain-urile publice și private.

CUM INTERACȚIONEAZĂ GDPR ȘI BLOCKCHAINUL?

Conform raportului „Blockchain și GDPR-ul” elaborat în 2018, la inițiativa Comisiei Europene, de Observatorul și forumul Blockchain al Uniunii Europene (The European Union Blockchain Observatory & Forum), conformitatea cu prevederile Regulamentului EU 679/2016 (GDPR) nu vizează tehnologia în sine, ci modul în care datele sunt prelucrate prin intermediul tehnologiei. Concluzia raportului este că nu există o tehnologie blockchain compatibilă cu GDPR, ci doar aplicații și cazuri de utilizare conforme cu GDPR.

 

Studiul publicat de Parlamentului European în 2019 intitulat „Regulamentul general privind protecția datelor - Pot registrele distribuite să fie în concordanță cu legislația europeană privind protecția datelor?” atestă faptul că există multe tensiuni între GDPR și tehnologia blockchain. Studiul explorează, de asemenea, modul în care tehnologia blockchain poate fi utilizată ca instrument pentru a ajuta la conformitatea GDPR. 

Studiul Parlamentului UE prezintă o evaluare detaliată a dificultăților respectării prevederilor GDPR care apar atunci când se utilizează tehnologia blockchain. Studiul identifică problemele cheie cum ar fi dificultățile legate de alinierea naturii descentralizate a blockchain-ului cu conceptele concurente din GDPR și dificultățile pe care blockchain-ul le prezintă atunci când abordează drepturile persoanelor vizate și respectarea principiilor GDPR. Astfel, au fost a identificați doi factori globali care stau la baza acestor inadvertențe:

GDPR impune obligația ca Operatorii să fie identificabili, astfel încât persoanele vizate să cunoască cine este operatorul și să își exercite drepturile împotriva lui,  în conformitate cu legislația UE privind protecția datelor. Natura descentralizată a multor blockchains substituie un singur operator cu mulți actori implicați. Mai mult, lipsa unui consensului cu privire la modul în care ar trebui definită controlul (comun) al prelucrării, poate face dificilă alocarea responsabilității și implicit sancționarea operatorilor implicați.

GDPR prevede o serie de drepturi ale persoanelor (ex. ștergere, rectificare etc) pe care operatorii trebuie să le garanteze și să le respecte. Așa cum am descris mai sus, una dintre caracteristice blockchain-urilor este imuabilitatea, iar modificarea datelor deși posibilă, este dificil de realizat. Mai mult, este puțin probabil ca stocarea datelor în „lanț” să asigure respectare principiului minimizarii datelor sau a limitării în timp a scopului. 

Parlamentului UE subliniază că, „este imposibil să se afirme că blockchain-urile sunt, în ansamblu, fie complet fie incomplet conforme cu GDPR”. În schimb, respectarea GDPR va depinde de modul de utilizare al blockchain-ului și, ca atare, necesită o „evaluare de la caz la caz”. Rețelele blockchain private vor ridica mai puține probleme de conformare la GDPR, spre deosebire de rețelele blockchain care sunt publice.

Studiul admite că GDPR-ul este „tehnologic neutru” și consideră că toată atenți ar trebui concentrată pe  exploatarea altor opțiuni pentru a alinia aceste noi tehnologii cu principiile impuse de GDPR. Parlamentul UE a identificat următoarele măsuri:

îndrumări specifice din partea EDPB privind blockchain-ul și respectarea GDPR;

actualizarea de către EDPB a ghidul existent al Grupului de lucru la articolul 29 care abordează deja domenii de incertitudine, cum ar fi metodologiile de anonimizare;

finanțarea pentru cercetarea interdisciplinară care explorează soluții la limitările tehnice, precum și dezvoltarea mecanismelor de guvernanță;

încurajarea codurilor de conduită și a mecanismului de certificare în industriile care utilizează tehnologia blockchain.

 

La 21 decembrie 2020, Comitetul European pentru Protecția Datelor („EDPB”) și-a lansat Strategia 2021-2023. Această strategie vizează stabilirea celor patru piloni principali ai obiectivelor strategice EDPB până în 2023 și acțiuni cheie pentru a contribui la atingerea acestor obiective.

Unul dintre cei patru piloni ai strategiei EDPB constă în abordarea drepturilor fundamentale a noilor tehnologii, care vizează inclusiv evaluarea pozițiile existente pe aplicații precum serviciile cloud și blockchain și emiterea de îndrumări suplimentare cu privire la protecția datelor prin proiectare și implicit, precum și cu privire la responsabilitate.

CARE ESTE PARADOXUL BLOCKCHAIN ÎN CONTEXTUL GDPR?

CNIL, autoritatea de supraveghere franceză, a publicat în Septembrie 2018 un raport privind tehnologia Blockchain din perspectiva protecției datelor personale (Solutions for a responsible use of the blockchain in the context of personal data), care ne oferă o perspectivă asupra opiniei autorității asupra interacțiunii dintre Blockchain și GDPR.

În acest raport CLIN admite că dreptul la informare, dreptul de acces și dreptul la portabilitate sunt compatibile cu proprietățile tehnologiei blockchain. Cu toate acestea, CNIL a identificat alte elemente care, în opinia sa, sunt mai problematice, ca de exemplu, dreptul de a fi uitat. 

Dreptul de a fi uitat în contextul blockchain

În raportul său, CNIL atrage atenția că, din punct de vedere tehnic  dreptul de ștergere a datelor (dreptul de a fi uitat) este imposibil de asigurat pentru datele înregistrate într-un blockchain. Totuși prin utilizarea unui hash generat de o funcție key-hash sau un text criptat prin algoritmi și chei „de ultimă generație”, operatorul poate face ca datele să fie practic inaccesibile și astfel să se apropie de efectele procesului de ștergere a datelor. Aceste măsuri ar avea un efect de minimizare a riscului asupra prelucrării datelor cu caracter personal.

CNIL a identificat o serie de soluții care ar putea avea aceste efecte:

stergerea elementelor care permit verificarea unui angajament, a elementelor care permit verificarea acestora, și implicit datelor stocate în afara blockchain-ului, făcând imposibilă  demonstrarea sau verificarea informațiilor hash-uite;

ștergerea cheii secrete a funcției key-hash.

Din aceste considerente CNIL recomandă evitarea înregistrării în blockchain a datelor cu caracter persoane în text clar și utilizarea unei soluții criptografice.

Consimțământul în contextul blockchain

Gestionarea consimțământului este unul dintre procesele sensibile ale unei organizație datorită standardului înalt impus de reglementarile lagle în protecția datelor.

Lucrarea „O revizuire sistematică a blockchain-ului pentru gestionarea consimțământului2, publicată la 1 Februarie 2021, este o analiza sistematică a utilizării Blockchain în domeniul consimțământului și gestionării datelor de confidențialitate. Lucrarea abordează utilizarea Blockchain în asistență medicală, IoT, gestionarea identității și stocarea datelor, analizând  provocările și limitările tehnologiei blockchain pentru gestionarea consimțământului.

Prasanth Varma Kakarlapudi și Qusay H. Mahmoud, autorii acestei lucrări, au identificat o serie de avantaje a utilizarii tehnologiei blockchain pentru managementul consimțământului:

➲  Transparenta. Blockchain este o rețea descentralizată în care toți utilizatorii au acces la datele disponibile pe aceasta, făcând procesul complet transparent. Orice schimburi între organizații pot fi înregistrate și pot fi puse la dispoziția utilizatorilor, astfel încât aceștia să își poată urmări mișcarea datelor. 

➲   Descentralizare. Informațiile sunt distribuite între noduri sau membri din rețea pentru diverse aprobări sau acceptări, făcându-l mai de încredere, fără a depinde de o autoritate centrală

➲   Imuabilitate. Odată ce o înregistrare este adăugată la rețea, consimțământul unui utilizator nu poate fi modificat. Dacă există o schimbare a consimțământului, acesta poate fi adăugat încă o dată ca un bloc diferit.

➲   Cartografiere. Combinarea sau maparea datelor din toate sursele este una dintre cele mai dificile sarcini și se poate face folosind Blockchain. Datele pot fi agregate în Blockchain folosind un tabel hash distribuit (DHT). Datele de consimțământ criptate create de DHT pot fi stocate pe Blockchain, iar datele reale pot fi preluate întotdeauna cu ușurință, ceea ce rezolvă și problema dimensiunii Blockchain, deoarece mai multe date nu pot fi stocate într-un bloc.

➲   Validarea datelor. O altă aplicație principală a Blockchain este gestionarea identității, unde datele utilizatorului pot fi validate de o organizație. De exemplu, o organizație educațională poate valida diploma finală a unui student și o poate stoca pe Blockchain, care poate fi, de asemenea, utilizată pentru a valida datele utilizatorului, astfel încât datele exacte să poată fi colectate și stocate. 

Prin urmare, folosind Blockchain, procesul de gestionare a consimțământului poate fi mai ușor și mai conform. Concluziile raportului indică faptul că Blockchain este o tehnologie în evoluție care va revoluționa lumea tehnologiei informației, deoarece poate fi aplicată în multe domenii de aplicații în care este util un registru imuabil, cum ar fi asistența medicală, IoT, stocarea datelor și management.



DATA PROTECTION BY DESIGN IN CONTEXTUL BLOCKCHAIN

Singurul mod în care provocările aduse de utilizarea tehnologiilor blockchain în alinierea la cadrul legislativ referitor la protecția datelor pot fi abordate eficient este prin confidențialitate prin design. Este necesar ca toate controalele de confidențialitate să fie implementate chiar de la început și astfel să se asigure faptului că produsele, protocoalele, aplicațiile și UX-ul acestora sunt proiectate într-un mod prietenos pentru confidențialitate. Lansarea unui sistem imuabil cu deficiențe de confidențialitate care nu sunt pe deplin gândite și documentate este destul de clar o încălcare a articolului 25 din GDPR privind protecția datelor prin proiectare și implicit.

 

CNIL ne oferă o imagine mai clară asupra măsurilor ce se impun, recomandând soluții în care datele sunt prelucrate în afara blockchain-ului sau în care datele următoare sunt stocate pe blockchain, în ordinea preferințelor:

➲  angajamentul datelor;

➲  un hash generat de o funcție hash cheie pe date;

➲  un text cifrat al datelor

 

 

CUM AJUTĂM PRODUCĂTORII DE SOLUȚII DE BLOCKCHAIN DIN PERSPECTIVA GDPR

Proiectarea unui blockchain este un proces în care experții în protecția datelor trebuiesc implicați încă din primul minut. Efectuarea unei DPIA (Evaluarea impactului asupra protecției datelor) este una dintre cele mai importante etape în dezvoltarea unei soluții conforme cu cadrul legal ce vizează protecția datelor și implicit în demonstrarea principiului responsabilității.    

 

Referințe:

  1. Iansiti, Marco; Lakhani, Karim R. (ianuarie 2017). „Adevărul despre blockchain” . Harvard Business Review . Universitatea Harvard. 
  2. Kakarlapudi, P.V.; Mahmoud, Q.H. A Systematic - Review of Blockchain for Consent Management. Healthcare 2021, 9, 137.

Acest articol a fost redactat de:

Diana Cojocaru - Data Protection trainee

coordonata de

Cristian Donciu - Data Protection Consultant

 

 

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE