« Secţiuni « Arii de practică « BusinessProtectiveLitigation
Cyberlaw
CărţiProfesionişti

Blockchain-GDPR. Love or hate?
25.01.2022 | Cătălina NICHITA

Drept Timisoara
Secţiuni: Articole, Cyberlaw, Data protection, Selected | Toate secţiunile

Cuvinte cheie: , , , , ,
JURIDICE - In Law We Trust
Cătălina Nichita

Cătălina Nichita

Indeed, virtually everyone has heard the claim that blockchain will revolutionize business and redefine companies and economies. Although we share the enthusiasm for its potential, we worry about the hype.[1]

Moneda virtuală bitcoin a devenit deja un concept cunoscut la scara largă și, odată cu ea, a adus în atenția publicului larg noțiunea de blockchain, care este considerat “pariul deceniului”[2].

În contextul democratizării internetului și al comunicării fără limitări, a apărut o nouă categorie de active: DATELE. Companiile digitale gigant, de la Facebook la Amazon,  au în spate colecții copleșitoare de informații personale despre fiecare utilizator.

Tehnologia blockchain promite să protejeze identitatea și datele cu caracter personal ale indivizilor împotriva intruziunii digitale. Cu toate acestea, puterea rețelei descentralizate ce stă la baza tehnologiei blockchain privează persoanele vizate de o serie de instrumente de apărare și garantare a protecției datelor cu caracter personal.

În ultimii ani, au fost identificate mai multe puncte de tensiune între tehnologiile blockchain și GDPR. S-a afirmat de către Parlamentul European în lucrarea Blockchain și Regulamentul general privind protecția datelor[3] că aceste tensiuni au ca punct de pornire doi factori:

1. Lipsa răspunderii operatorului de date

GDPR se bazează pe presupunerea că relația persoana vizată-operatorul de date este guvernată de transparență, angajament și responsabilitate.

Persoanele vizate se pot adresa unei persoane determinate (fizică sau juridică) pentru a-și exercita drepturile conform legislației UE privind protecția datelor împotriva operatorului de date.

Răspunderea este o problemă centrală în materia protecției datelor, în special când vine vorba de responsabilitățile operatorului de date.[4]

În scenariul tradițional client-furnizor, este destul de ușor de identificat operatorul. Acesta  stabilește scopul și mijloacele de colectare și prelucrare a datelor. În plus, dacă mai multe entități prelucrează în comun datele, acestea pot fi identificate ca operatori asociați.

Blockchain-urile, cu toate acestea, caută adesea să înlocuiască un actor unitar cu mulți jucători diferiți. Acest lucru îngreunează identificarea operatorului și, subsecvent, responsabilitatea și răspunderea acestuia.

În multe cazuri, ar fi de dorit ca dezvoltatorii de protocol care creează și mențin tehnologia blockchain open-source, cum este cazul bitcoin, să nu fie considerați operatori de date. Aceștia se oferă voluntar pentru a lucra la un proiect open-source și, în multe cazuri, nu sunt compensați direct pentru eforturile lor și, în esență, creează pur și simplu un instrument util, fără a prescrie modul în care ar trebui să fie utilizat acest instrument.

După cum recomandă autoritatea franceză de supraveghere Commission Nationale de l’informatique et des Libertés( CNIL) consorțiile blockchain ar trebui să identifice operatorul sau operatorii asociați cât mai curând posibil în proiect.[5]

2. Nerespectarea drepturilor persoanelor vizate

GDPR se bazează pe presupunerea că datele pot fi modificate sau șterse acolo unde este necesar pentru a respecta cerințele legale, cum ar fi articolele 16 și 17 GDPR. Blockchain-urile, totuși, fac astfel de modificări în mod deliberat costisitoare pentru a asigura integritatea datelor și pentru a crește încrederea în rețea.

Tensiunea dintre dreptul la ștergere (dreptul de a fi uitat) și tehnologia blockchain este probabil cea mai discutată în ultimii ani. Într-adevăr, blockchain-urile sunt de obicei concepute în mod deliberat pentru a face modificarea (unilaterală) a datelor dificilă sau imposibilă. Acest lucru, desigur, este greu de reconciliat cu cerințele GDPR conform cărora datele personale trebuie modificate (în conformitate cu articolul 16 GDPR) și șterse (în conformitate cu articolul 17 GDPR) în circumstanțe specifice.

Un alt exemplu de tensiune dintre blockchain și GDPR se referă la principiile minimizării datelor și limitării scopului. GDPR cere ca datele cu caracter personal care sunt prelucrate să fie păstrate la minimum și prelucrate numai în scopuri care au fost specificate în prealabil, aceste principii pot fi greu de aplicat tehnologiilor blockchain. Registrele contabile distribuite sunt baze de date doar anexate, care cresc continuu pe măsură ce se adaugă date noi. În plus, astfel de date sunt replicate pe multe computere diferite. Ambele aspecte sunt problematice din perspectiva principiului minimizării datelor.

În plus, nu este clar cum trebuie aplicat „scopul” prelucrării datelor cu caracter personal în contextul blockchain-ului, în special dacă acesta include doar tranzacția inițială sau dacă include și prelucrarea continuă a datelor cu caracter personal (cum ar fi stocarea și utilizarea lor pentru consens) odată ce datele au fost incluse în bloc.

Conformitatea cu GDPR nu este despre tehnologie, ci despre modul în care este utilizată tehnologia.

Nu ne preocupă doar problemele de securitate (cum ar fi prăbușirea în 2014 a unui schimb de bitcoin și hackurile mai recente ale altora). Experiența noastră în studierea inovației tehnologice ne spune că, dacă va avea loc o revoluție blockchain, multe bariere tehnologice, de guvernare, organizaționale și chiar societale vor trebui să cadă. Ar fi o greșeală să te grăbești în inovarea blockchain fără a înțelege cum va avea un impact în societate.[6]

Plecând de la aceste premise, Parlamentul European  a concluzionat în The European Union Blockchain Observatory & Forum- BLOCKCHAIN AND THE GDPR  că poate fi mai ușor pentru blockchain-urile private și autorizate să se conformeze cu aceste cerințe legale, spre deosebire de blockchain-urile private și fără permisiune.

În cadrul considerentelor s-a conturat ideea conform căreia compatibilitatea acestor instrumente cu regulamentul poate să fie evaluată doar de la caz la caz.

Într-adevăr, blockchain-urile sunt în realitate o clasă de tehnologii cu caracteristici tehnice disparate. Aceasta înseamnă că nu este posibil să se evalueze compatibilitatea dintre „blockchain” și legislația UE privind protecția datelor.

Mai degrabă, acest studiu a încercat să mapeze diferite zone ale GDPR cu caracteristicile comune cu această clasă de tehnologii și pentru a atrage atenția asupra modului în care nuanțele din configurația blockchain-urilor pot afecta capacitatea acestora de a respecta cerințele legale aferente.

Într-adevăr, concluzia cheie de la acest studiu ar trebui să fie că este imposibil să se afirme că blockchain-urile sunt, în ansamblu, fie complet conform sau neconform cu GDPR. Mai degrabă, putem concluziona că numeroase puncte importante de tensiune au fost evidențiate și, în cele din urmă, fiecare caz concret de utilizare trebuie examinat pe baza analizei detaliate de la caz la caz.

Pe de altă parte, Regulamentul GDPR este (încă) guvernat de concepte juridice neclare, fapt ce determină o lipsă de proceduri în ceea ce privește aplicabilitatea acestor concepte tehnologiilor blockchain, precum și a altora. Acesta este, de exemplu, cazul privind conceptul de date anonime, definiția operatorului de date și semnificația ștergerii conform articolului 17 GDPR.

O clarificare suplimentară a acestor concepte ar fi importantă pentru a determina mai multă securitate juridică pentru cei care doresc să utilizeze tehnologia blockchain.

Cu toate acestea, doctrina a evidențiat faptul că blockchain-urile pot oferi beneficii din perspectiva protecției datelor. Însă este important de subliniat că această protecție nu este by default. Blockchain-urile trebuie să fie concepute încă de la început cu această particularitate.

Având în vedere că primul pas a fost făcut, au fost identificate și analizate punctele divergente în relația blockchain- GDPR, apare așteptarea rezonabilă că soluțiile de guvernanță ale blockchain-urilor vor ajunge să fie adaptate la cerințele GDPR în viitorul apropiat.


[1] Harvard Business Review- The Truth About Blockchain
[2] Revolutia Blockchain de Don Tapscott Alex Tapscott
[3] Disponibilă aici
[4] The European Union Blockchain Observatory & Forum- BLOCKCHAIN AND THE GDPR
[5] Disponibil aici
[6] Harvard Business Review- The Truth About Blockchain


Avocat Cătălina Nichita

 
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
VIDEO
Codul muncii









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.