Επιμέλεια: Γεώργιος Π. Κανέλλος, Βασίλης Καρκατζούνης, πρωτότυπο κείμενο cnil.fr

Το Blockchain είναι μία τεχνολογία με μεγάλες δυνατότητες ανάπτυξης η οποία εγείρει πολλά ερωτήματα, μεταξύ των οποίων και η συμβατότητά της με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR).

Κατά συνέπεια, η γαλλική αρχή προστασίας προσωπικών δεδομένων (CNIL) ασχολείται με αυτό το ζήτημα και προτείνει στους επίδοξους χρήστες αυτής της τεχνολογίας συγκεκριμένες λύσεις στο πλαίσιο της επεξεργασίας των προσωπικών δεδομένων.

Τι είναι το Blockchain;

Σύμφωνα με τη CNIL, το Blockchain είναι μία βάση δεδομένων στην οποία τα δεδομένα αποθηκεύονται και διανέμονται σε έναν μεγάλο αριθμό υπολογιστών και στην οποία όλες οι εγγραφές, που πραγματοποιούνται σε αυτό το μητρώο και που ονομάζονται «συναλλαγές», είναι ορατές από το σύνολο των υπολογιστών, ήδη από τη δημιουργία του.

Το Blockchain δεν αποτελεί το ίδιο μία διαδικασία επεξεργασίας προσωπικών δεδομένων έχοντας έναν εξ ολοκλήρου διακριτό σκοπό, αλλά πρόκειται για μία τεχνολογία, που μπορεί να συνεισφέρει στην υποστήριξη διαφόρων μορφών επεξεργασίας.

Σημείωση: Ο όρος «Blockchain» συνοδεύεται ενίοτε από μία έκφραση που προσδιορίζει μία μεγαλύτερη οικογένεια τεχνολογιών: αυτή των κατανεμημένου καθολικού, ή αλλιώς «DLT» (distributed ledger technology).

Παρόλο που η CNIL ασχολείται με την ανάπτυξη αυτών των μητρώων, τα οποία περιλαμβάνουν, μεταξύ άλλων, τα Blockchains, εντούτοις επέλεξε να επικεντρώσει την ανάλυσή της αποκλειστικά στην τεχνολογία Blockchain, στο μέτρο που οι λύσεις «DLT» είναι ακόμα πιο πρόσφατες και σπάνιες για να επιτρέψουν τη διενέργεια μιας ανάλυσης γενικής φύσεως.

Διαβάστε επίσης: H Τεχνολογία Blockchain, οι εφαρμογές και οι νομικές πτυχές της

Ποια είναι τα χαρακτηριστικά και οι διάφοροι τύποι των Blockchain;

Το Blockchain μπορεί να προσδιοριστεί μέσω των ακόλουθων ιδιαιτέρων γνωρισμάτων:

διαφάνεια : τα εγγεγραμμένα δεδομένα εμφανίζονται σε όλους τους συμμετέχοντες.

: τα εγγεγραμμένα δεδομένα εμφανίζονται σε όλους τους συμμετέχοντες. καταμερισμός και αποκέντρωση : περισσότερα αντίγραφα του Blockchain υπάρχουν ταυτόχρονα σε διαφορετικούς υπολογιστές.

: περισσότερα αντίγραφα του Blockchain υπάρχουν ταυτόχρονα σε διαφορετικούς υπολογιστές. μη αναστρεψιμότητα : μόλις εγγραφεί ένα δεδομένο, δε μπορεί στη συνέχεια να τροποποιηθεί ή να διαγραφεί.

: μόλις εγγραφεί ένα δεδομένο, δε μπορεί στη συνέχεια να τροποποιηθεί ή να διαγραφεί. απουσία διαμεσολάβησης: κάθε απόφαση λαμβάνεται κατόπιν ομοφωνίας των συμμετεχόντων, χωρίς κεντρικό διαμεσολαβητή.

Πρακτικά, συνυπάρχουν περισσότερα είδη Blockchain, καθιστώντας έτσι απαραίτητα διαφορετικά επίπεδα άδειας για τις διάφορες κατηγορίες των συμμετεχόντων.

Η CNIL χρησιμοποιεί την ακόλουθη κατηγοριοποίηση:

τα δημόσια Blockchain είναι προσβάσιμα σε οποιονδήποτε χρήστη. Κάθε πρόσωπο μπορεί να πραγματοποιήσει μια συναλλαγή, να συμμετάσχει στη διαδικασία επικύρωσης των «μπλοκ» ή να αποκτήσει ένα αντίγραφο του Blockchain.

είναι προσβάσιμα σε οποιονδήποτε χρήστη. Κάθε πρόσωπο μπορεί να πραγματοποιήσει μια συναλλαγή, να συμμετάσχει στη διαδικασία επικύρωσης των «μπλοκ» ή να αποκτήσει ένα αντίγραφο του Blockchain. τα Blockchain στα οποία η πρόσβαση απαιτεί άδεια έχουν κανόνες που ορίζουν ποια πρόσωπα μπορούν να συμμετάσχουν στη διαδικασία επικύρωσης ή ακόμα και να πραγματοποιήσουν συναλλαγές. Μπορούν, κατά περίπτωση, να έχουν πλήρη ή περιορισμένη πρόσβαση.

έχουν κανόνες που ορίζουν ποια πρόσωπα μπορούν να συμμετάσχουν στη διαδικασία επικύρωσης ή ακόμα και να πραγματοποιήσουν συναλλαγές. Μπορούν, κατά περίπτωση, να έχουν πλήρη ή περιορισμένη πρόσβαση. τα Blockchain τα οποία καλούνται «ιδιωτικά» βρίσκονται υπό τον έλεγχο ενός χρήστη ο οποίος αποκλειστικά διασφαλίζει τον έλεγχο της συμμετοχής και της επικύρωσης. Σύμφωνα με ορισμένους ειδικούς, οι εν λόγω χρήσεις δεν ακολουθούν τις κλασικές ιδιότητες του Blockchain, ιδίως την αποκέντρωση και την καταμερισμένη επικύρωση. Σε κάθε περίπτωση, δεν εγείρουν κάποιο συγκεκριμένο ζήτημα ως προς τη συμβατότητά τους με τον GDPR, καθώς πρόκειται απλώς για «κλασικές» βάσεις διανεμόμενων δεδομένων.

Ποιοι είναι οι διάφοροι χρήστες που αλληλεπιδρούν σε ένα Blockchain;

Η CNIL διακρίνει τρεις τύπους χρηστών σε ένα Blockchain:

οι «έχοντες πρόσβαση» , οι οποίοι έχουν δικαίωμα ανάγνωσης και απόκτησης αντιγράφου της αλυσίδας.

οι «συμμετέχοντες» , οι οποίοι έχουν δικαίωμα ανάγνωσης (η δημιουργία μίας συναλλαγής την οποία θέτουν προς επικύρωση).

οι «δευτερεύοντες χρήστες», οι οποίοι επικυρώνουν μία συναλλαγή και δημιουργούν τα «μπλοκ» εφαρμόζοντας τους κανόνες του Blockchain, προκειμένου να γίνουν «αποδεκτοί» από την κοινότητα.

Πώς αλληλεπιδρούν μεταξύ τους ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) και το Blockchain;

Όταν το Blockchain αφορά προσωπικά δεδομένα, εφαρμόζεται ο GDPR. Η δομή και τα ιδιαίτερα χαρακτηριστικά των Blockchain θα έχουν ωστόσο συνέπειες στον τρόπο με τον οποίο διατηρούνται και υφίστανται επεξεργασία τα προσωπικά δεδομένα.

Ο αντίκτυπος του Blockchain στα δικαιώματα των φυσικών προσώπων (δικαίωμα στην ιδιωτική ζωή και δικαίωμα στην προστασία των προσωπικών δεδομένων τους) απαιτεί, λοιπόν, μια συγκεκριμένη ανάλυση.

Διαβάστε επίσης: Ευνοϊκές ρυθμίσεις για blockchain και DLT ζητά το Ευρωκοινοβούλιο (Ψήφισμα)

Εντούτοις, αυτή η καινοτομία και η προστασία των θεμελιωδών δικαιωμάτων των φυσικών προσώπων δεν αποτελούν δύο ανταγωνιστικούς μεταξύ τους στόχους. Επί της ουσίας, ο GDPR δεν έχει ως σκοπό τη ρύθμιση τεχνολογιών καθε αυτή, αλλά του περιβάλλοντος εντός του οποίου γίνεται η χρήση των τεχνολογιών αυτών σε πλαίσιο που περιλαμβάνει προσωπικά δεδομένα.

Για το λόγο αυτό η CNIL ασχολείται με αυτό το ζήτημα και προτείνει ένα πλαίσιο ανάλυσης, καθώς και κάποιες πρώτες προτάσεις προς τους χρήστες που επιθυμούν να προσφύγουν σε αυτές όταν ξεκινούν μία επεξεργασία προσωπικών δεδομένων, έχοντας ως σκοπό η ίδια να συνεισφέρει στις εν εξελίξει συζητήσεις που αφορούν αυτές τις τεχνολογίες και την ανάπτυξή τους.

Ποιες είναι οι χρήσεις που επηρεάζουν, άμεσα ή έμμεσα, προσωπικά δεδομένα;

Η CNIL έχει λάβει συγκεκριμένα αιτήματα από φορείς, τόσο ιδιωτικούς όσο και δημόσιους, οι οποίοι δραστηριοποιούνται συγκεκριμένα στους τομείς της υγείας και των χρηματοπιστωτικών ιδρυμάτων, και τα οποία αφορούν δημόσιους φορείς, μεγάλες επιχειρήσεις ή νεοφυείς επιχειρήσεις (startups). Έτσι, παρατήρησε ότι, κατά τη διάρκεια των διαφόρων αυτών συναλλαγών, το Blockchain καλύπτει ένα ευρύ φάσμα δραστηριοτήτων.

Ουσιαστικά, το Blockchain μπορεί να αξιοποιηθεί στην μεταφορά περιουσιακών στοιχείων (π.χ. Bitcoin ή μετοχές), να αξιοποιηθεί ως μητρώο το οποίο διασφαλίζει μία ανιχνευσιμότητα (π.χ. πιστοποιητικά διπλωμάτων) ή ακόμα να αξιοποιηθεί για την διεκπεραίωση ενός «έξυπνου συμβολαίου» (smart contract). Ο τελευταίος όρος προσδιορίζει ένα αυτόνομο πρόγραμμα το οποίο «παγώνει» μία σύμβαση μεταξύ δύο προσώπων μέσα στο Blockchain, με τη μορφή ενός αλγορίθμου.

Ακόμα και αν όλα τα projects σε Blockchain δεν αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρακτικά, πολλές χρήσεις αυτής της τεχνολογίας απαιτούν την επεξεργασία προσωπικών δεδομένων, τόσο στο επίπεδο του περιεχομένου όσο και στο επίπεδο των πληροφοριών που σχετίζονται με τους συμμετέχοντες.

Επί της ουσίας, ένα Blockchain μπορεί να περιέχει δύο κατηγορίες δεδομένων προσωπικού χαρακτήρα:

την ταυτοποίηση των συμμετεχόντων και των δευτερευόντων χρηστών: κάθε συμμετέχων/δευτερεύων χρήστης διαθέτει ένα δημόσιο κλειδί, το οποίο επιτρέπει την εξακρίβωση της ταυτότητας του αποστολέα και του παραλήπτη μίας συναλλαγής.

κάθε συμμετέχων/δευτερεύων χρήστης διαθέτει ένα δημόσιο κλειδί, το οποίο επιτρέπει την εξακρίβωση της ταυτότητας του αποστολέα και του παραλήπτη μίας συναλλαγής. τα συμπληρωματικά δεδομένα, τα οποία εγγράφονται «μέσα» σε μία συναλλαγή (π.χ. δίπλωμα, μετοχή). Στην περίπτωση που αυτά τα δεδομένα αποδίδονται σε φυσικά πρόσωπα, ενδεχομένως άλλα από τους συμμετέχοντες, άμεσα ή έμμεσα ταυτοποιήσιμα, πρόκειται για προσωπικά δεδομένα.

Βάσει αυτής της διάκρισης, εφαρμόζεται το πλαίσιο της συνήθους ανάλυσης του GDPR: ταυτοποίηση του υπεύθυνου της επεξεργασίας, σεβασμός δικαιωμάτων, εφαρμογή κατάλληλων εγγυήσεων, υποχρέωση ασφάλειας, κλπ.

Μία τεχνολογική λύση που ενισχύει την αρχή της λογοδοσίας (accountability);

Ο GDPR επιφέρει αλλαγή στο σύστημα λογοδοσίας. Κάθε χρήστης, υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, οφείλει στο εξής να είναι σε θέση να αποδεικνύει τη συμμόρφωση αυτών των μορφών επεξεργασίας με τις υποχρεώσεις που επιβάλλει ο GDPR.

Σε ορισμένες περιπτώσεις, αυτές οι τεχνολογίες μπορούν να προσφέρουν αποτελεσματικές λύσεις σε ορισμένους κινδύνους στην προστασία των προσωπικών δεδομένων. Πράγματι, η CNIL είχε την ευκαιρία να συναντήσει κάποιους από αυτούς που παρέχουν λύσεις προτείνοντας τη στήριξη σε χαρακτηριστικά του Blockchain για την εκπλήρωση ορισμένων υποχρεώσεων τις οποίες επιβάλλει ο GDPR στους υπευθύνους επεξεργασίας.

Η σταθερότητα των ενεργειών που πραγματοποιούνται στο Blockchain έχουν επιτρέψει ιδίως την ανάπτυξη λύσεων που παρέχουν λύσεις στις υποχρεώσεις για την παροχή συγκατάθεσης με δυνατότητα ιχνηλασιμότητας.

Ποια σημεία απαιτούν προσοχή;

Σε ορισμένες περιπτώσεις, αυτές οι τεχνολογίες ενδέχεται να επιφέρουν δυσκολίες ως προς την εφαρμογή του GDPR. Συνεπώς, δεν αποτελούν πάντα την προσοφορότερη λύση για όλες τις μορφές επεξεργασίας. Επιπλέον, ορισμένα σημεία, όπως η συμμόρφωση με υποχρεώσεις αναφορικά με την επεξεργασία προσωπικών δεδομένων από εκτελούντα την επεξεργασία ή οι κανόνες που πλαισιώνουν τις διεθνείς διαβιβάσεις προσωπικών δεδομένων, απαιτούν ένα συγκεκριμένο βαθμό προσοχής από την πλευρά των χρηστών που προσφεύγουν στο Blockchain, ιδίως όταν πρόκειται για ένα δημόσιο Blockchain.

Τα εν λόγω σημεία προσοχής καθιστούν το Blockchain μία τεχνολογία της οποίας το πραγματικό ενδιαφέρον πρέπει να αξιολογείται συγκεκριμένα κατά περίπτωση αναφορικά με τους σκοπούς και τα χαρακτηριστικά κάθε επεξεργασίας.

Η CNIL καλεί λοιπόν τους χρήστες να αξιολογούν άμεσα, εφαρμόζοντας την αρχή της προστασίας της ιδιωτικής ζωής ήδη από τη σύλληψη της ιδέας για τα προϊόντα και τις υπηρεσίες (data protection by design), εάν πρέπει να προτιμήσουν, για την υλοποίηση της επεξεργασίας τους, στην τεχνολογία του Blockchain σε σχέση με μία άλλη τεχνολογία.

Πέραν του ερωτήματος της προσφυγής ή όχι στη λύση του Blockchain, ο υπεύθυνος της επεξεργασίας οφείλει επίσης να διερωτάται ως προς τον τύπο του Blockchain που θα επιλέξει.

Η CNIL, βεβαίως, παρατηρεί ότι τα Blockchain αποτελούν υπό εξέλιξη αντικείμενα και ότι οι επιλογές που πραγματοποιεί ο υπεύθυνος της επεξεργασίας (μεταξύ ενός Blockchain στο οποίο η πρόσβαση απαιτεί άδεια και ενός δημοσίου Blockchain, ή μεταξύ διαφορετικών μορφότυπων για την εγγραφή δεδομένων στα «μπλοκ», κλπ.) μπορούν να έχουν σημαντικό αντίκτυπο, στον ελάχιστο ή στον μέγιστο βαθμό, ως προς τους κινδύνους που απειλούν τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Ποιες είναι οι λύσεις;

Όσον αφορά την κατηγοριοποίηση των χρηστών, οι μελέτες που πραγματοποίησε η CNIL οδήγησαν στο συμπέρασμα ότι, σε πολλές περιπτώσεις, ο συμμετέχων (το πρόσωπο που αποφασίζει για την εγγραφή ενός δεδομένου στο Blockchain) θα μπορούσε να θεωρηθεί ως ένας υπεύθυνος επεξεργασίας στο βαθμό που αποφασίζει για το σκοπό και τα μέσα της επεξεργασίας των δεδομένων.

Αναφορικά με την άσκηση των δικαιωμάτων, ορισμένα δικαιώματα μπορούν να ασκηθούν αποτελεσματικά, όπως το δικαίωμα πρόσβασης και το δικαίωμα φορητότητας. Όσον αφορά τα δικαιώματα διαγραφής - «στη λήθη», διόρθωσης και εναντίωσης στην επεξεργασία, η CNIL έχει ενημερωθεί για ορισμένες τεχνολογικές λύσεις, οι οποίες πρέπει να αξιολογούνται. Οι λύσεις αυτές, χωρίς να μπορούν να οδηγήσουν σε αυστηρά παρόμοια αποτελέσματα, συμβάλλουν στην εκπλήρωση των απαιτήσεων συμμόρφωσης με τον GDPR, ιδίως, περιορίζοντας την πρόσβαση σε συγκεκριμένα δεδομένα του επιλεγμένου μορφότυπου [( κρυπτογράφηση, αποτύπωμα το οποίο έχει εκδοθεί από μία συνάρτηση κατακερματισμού (hash function)]. Η συμμόρφωσή με τον GDPR είναι λοιπόν ένα ζήτημα που θα πρέπει να ελεγχθεί. Εξάλλου, σε γενικές γραμμές, είναι προτιμότερο να αποφεύγεται η αποθήκευση μη κρυπτογραφημένων προσωπικών δεδομένων στο Blockchain.

Ούτως ή άλλως, οι αρχές της ασφάλειας εξακολουθούν να εφαρμόζονται στο ακέραιο μέσα στο Blockchain.

Σε κάθε περίπτωση, η εκπόνηση εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) θα μπορούσε να βοηθήσει στην ανάλυση της αναγκαιότητας και της αναλογικότητας του μηχανισμού και της εξακρίβωσης, όπου κριθεί απαραίτητο, των περιπτώσεων στις οποίες αρμόζουν άλλες, πιο κατάλληλες, λύσεις.

Για περισσότερες πληροφορίες, είναι διαθέσιμα τα πρώτα στοιχεία της ανάλυσης της CNIL για το Blockchain.

Ποιο είναι το πλάνο δράσης της CNIL;

Οι κίνδυνοι τους οποίους εγκυμονεί το Blockchain όσον αφορά το σεβασμό των δικαιωμάτων και των θεμελιωδών ελευθεριών απαιτούν μία απάντηση σε ευρωπαϊκό επίπεδο. Η CNIL είναι μία από τις πρώτες εθνικές αρχές που ασχολείται επίσημα με αυτό το ζήτημα και προτίθεται να προσχωρήσει σε ένα πλαίσιο συνεργασίας με τους ευρωπαίους ομολόγους της με σκοπό να προτείνει μία συγκεκριμένη και ομοιόμορφη προσέγγιση.

Ακόμα, σκοπεύει να προσεγγίσει και άλλες ρυθμιστικές αρχές σε εθνικό επίπεδο (AMF, ACPR), προκειμένου να θέσει τις βάσεις για ένα διακανονιστικό πλαίσιο που θα βοηθήσει τους εμπλεκόμενους φορείς να αποκτήσουν πληρέστερη εικόνα των διαφόρων κανόνων που εφαρμόζονται στο Blockchain.