Blockchain e GDPR: le sfide (e le opportunità) per la protezione dei dati
Le tecnologie Blockchain stanno rompendo molti schemi, soprattutto quelle di natura pubblica su cui si basa per esempio la circolazione delle criptovalute bitcoin ed ethereum, ed introducono nuovi paradigmi compresi quelli di natura legale. In quest’ottica, diventa interessante capire il binomio Blockchain e GDPR, ossia come la Blockchain potrà supportare e rispettare le regole sulla protezione dei dati personali introdotte dal GDPR.
Stando alle previsioni annunciate all’ultimo World Economic Forum, entro il 2025 ben il 10% del PIL del mondo sarà prodotto da attività e servizi che saranno erogati e distribuiti attraverso le tecnologie Blockchain. Uno scenario che dovrà tuttavia “fare i conti” con le normative, prima fra tutte il GDPR (il regolamento generale europeo sulla protezione dei dati).
GDPR: gli impatti sulla Blockchain
Indice degli argomenti
- GDPR: gli impatti sulla Blockchain
- GDPR: la protezione dei dati
- Blockchain: data protection by design
- GDPR e Blockchain: le “questioni legislative” aperte
Il nuovo regolamento avrà impatti significativi in tre ambiti particolari della Blockchain:
1) i dati archiviati in una Blockchain sono a prova di manomissione, quindi la loro cancellazione non sarà possibile una volta che tali dati verranno immessi nella catena distribuita;
2) le Blockchain sono distribuite quindi nemmeno il controllo sui dati può essere centralizzato ed è demandato a tutti i partecipanti alla Blockchain (al più ai miners, che comunque non possono essere considerati dei Data Protection Officer come richiesto da GDPR);
3) gli Smart Contract “cadranno” sotto l’egida del processo decisionale automatizzato aprendo quindi criticità non banali sul fronte delle impugnazioni e contestazioni.
In linea generale, ciò che va a “scontrarsi” con il GDPR sono due dei principi su cui si sono costruiti fino ad oggi il valore ed il potere Blockchain:
– i dati inseriti nelle Blockchain sono pubblici e accessibili da chiunque partecipi alla catena;
– i dati presenti nelle Blockchain sono conservati illimitatamente (a garanzia e tute dell’intero registro distribuito)
Sarà quindi necessario capire, da un lato, come la protezione dei dati personali, in generale, potrà conciliarsi con un sistema all’interno del quale confluiscono enormi quantità di dati, dall’altro, come rispettare le regole sul tempo di conservazione dei dati all’interno di un sistema che ne prevede un’archiviazione a tempo indeterminato.
Tuttavia, accanto a queste innegabili sfide, il binomio Blockchain e GDPR potrebbe in realtà offrire anche interessanti opportunità, per esempio dal punto di vista della cosiddetta “security by design” garantendo pseudonimizzazione (disaccoppiamento dei dati dall’identità individuale) e la minimizzazione dei dati (condividendo solo i punti dati assolutamente necessari). Questo perché in una Blockchain la protezione dei dati viene assicurata da:
– la chiave pubblica del mittente della transazione;
– la chiave pubblica del destinatario della transazione;
– un hash crittografico del contenuto della transazione (che potrebbe essere dato da qualsiasi cosa: un certificato di nascita, un diploma accademico, un copyright, un capo di abbigliamento, una valuta, una quantità di metallo prezioso, ecc.);
– la data e l’ora della transazione.
È impossibile ricostruire il contenuto di una transazione dall’hash crittografico monodirezionale. E a meno che una delle parti della transazione non decida di collegare una chiave pubblica a un’identità conosciuta, non è possibile mappare e collegare le transazioni a singoli individui o organizzazioni. Ciò significa che anche se la Blockchain è “pubblica” (dove chiunque può vedere tutte le transazioni su di essa), nessuna informazione personale viene resa pubblica.
GDPR: la protezione dei dati
Il GDPR è stato fortemente voluto dal legislatore europeo per “mettere un freno” all’utilizzo indiscriminato dei dati degli utenti su web, app e social media da parte delle web e media company che sulla profilazione degli utenti stanno cercando di costruire il proprio vantaggio competitivo.
Il cuore del GDPR è la protezione dei dati delle persone, in altre parole degli individui cui appartengono tali dati. In modo molto sintetico, questo è quanto introduce il GDPR sul tema:
Art. 12: le persone hanno il diritto di chiedere e avere risposte sull’uso che un’azienda farà dei propri dati e a chiedere un risarcimento qualora queste domande non abbiano risposte chiare, concise e tempestive;
Artt. 13 e 14: gli utenti hanno il diritto di sapere come verranno utilizzati i dati personali al momento della loro raccolta/richiesta e di sapere per quanto tempo saranno conservati;
Art. 15: gli utenti hanno il diritto di sapere e accedere ai dati personali che vengono elaborati/processati da chi ne ha chiesto il consenso;
Art. 16: le persone possono rettificare e modificare i propri dati personali (+ Art. 19: chi raccoglie i dati deve informare anche le “terze parti” ammesse ad utilizzarli per interrompere l’uso dei dati rettificati o cancellati);
Art. 17: gli utenti hanno il diritto di chiedere (e ottenere) la cancellazione dei propri dati personali quando non sono più necessari agli scopi per i quali erano stati raccolti;
Art. 18: le persone possono limitare il trattamento dei propri dati (quando risultano inesatti, quando sono stati raccolti illegalmente o non seguendo le procedure giuridiche…);
Art. 20: gli utenti hanno diritto a ricedere i propri dati personali in un formato strutturato e comunemente usato in modo che possano essere letti facilmente da una qualsiasi macchina (Pc, smartphone, app, ecc.);
Art. 21: le persone hanno il diritto di opporsi all’utilizzo dei propri dati per profilazione o commercializzazione e devono essere messe nelle condizioni di poter dire di no.
Ad una primissima analisi potremmo dire che, stando alle regole che abbiamo qui sopra riassunto rapidamente, il GDPR può essere “eletto” quasi a “Carta dei diritti digitali” delle persone.
Blockchain: data protection by design
Se partiamo dall’assunto che, in generale, le Blockchain si concentrano principalmente sulla protezione dell’identità più che sui dati ad essa associati, il parallelismo con la “Carta dei diritti digitali” delle persone appare evidente, dato che, come accennato nel capitolo precedente, il GDPR nasce come volontà di restituire alle persone (in una Blockchain diremmo quindi l’identità) il “potere” sui propri dati personali.
In linea di principio, attraverso la Blockchain un utente è sempre in grado di controllare i propri dati personali, anzi, è l’unico a sapere a che informazioni corrisponde la propria chiave pubblica.
La Blockchain, vista dalla prospettiva della protezione dei dati personali degli utenti adotta un approccio che potremmo chiamare “data protection by design”. Questo perché:
1) le Blockchain sono decentralizzate e distribuite e questo rende molto più difficile che un attacco di cybercrime possa andare a buon fine: oggi le aziende o gli enti pubblici a cui concediamo il trattamento dei nostri dati personali sono realtà centralizzate (spesso sotto attacco dai cybercriminali);
2) le Blockchain sono pubbliche e trasparenti per l’utente: le informazioni sulle transazioni sono pubbliche ma l’identità ed i dati personali sono “mascherati” da una chiave pubblica il cui contenuto è noto solo al diretto interessato (cioè il proprietario di quei dati); con i sistemi attuali, una volta che una persona concede il consenso al trattamento dei propri dati personali, di fatto, non ha il controllo su ciò che succede dopo e su come effettivamente vengano utilizzati ed elaborati i propri dati; con le Blockchain, invece, è possibile tracciare lungo tutta la catena distribuita dove sono e come sono usati le informazioni oggetto di una transazione;
3) le Blockchain fanno un ampio uso della crittografia (firme digitali, crittografia dei dati, marcatura temporale) e sfruttano il meccanismo degli incentivi (ricompense ai miners, coloro che “controllano” il funzionamento corretto della Blockchain e delle transazioni che avvengono su di essa) garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni (compresi dunque i dati personali).
GDPR e Blockchain: le “questioni legislative” aperte
Sebbene come abbiamo potuto analizzare nel capitolo precedente la Blockchain si presta ad essere una grande opportunità per la protezione dei dati personali, rimangono aperte ancora diverse questioni legislative perché il GDPR introduce alcune regole che non sempre potrebbero essere rispettate dalle Blockchain (molto dipenderà da come saranno progettate):
1) Il GDPR introduce la figura del DPO – Data Protection Officer, una persona esperta di legislazione e pratiche relative alla protezione dei dati che deve assistere colui che li controlla o li gestisce al fine di verificare l’osservanza interna al regolamento. Il DPO dev’essere una persona con una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei cyberattacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l’elaborazione di dati personali e sensibili.
In una Blockchain, chi è il responsabile del trattamento dei dati personali? Nel GDPR, il responsabile del trattamento determina le finalità e i mezzi del trattamento dei dati personali. Può esistere una simile entità nel contesto di una Blockchain distribuita?
2) In caso di controversie, quali leggi devono essere applicate e di chi è la giurisdizione? In situazioni in cui non è possibile identificare l’entità di elaborazione dei dati personali e il luogo in cui i dati vengono elaborati (probabilmente ci sono tante di queste entità e luoghi quanti sono i nodi di rete), è difficile individuare la giurisdizione cui dovrebbe competere una eventuale valutazione legale del trattamento dei dati (ossia, in parole semplici, la legge nazionale applicabile).
3) In un contesto Blockchain cosa può essere riconosciuto come dato personale? Come abbiamo visto l’identità di un utente (e quindi i suoi dati sensibili) sono protetti da un codice che rappresenta la chiave pubblica per aderire alla rete distribuita. Da un punto di vista normativo dovremmo però chiederci cosa costituisce “dato personale” in un contesto Blockchain: le chiavi pubbliche devono essere considerati dati personali? Sebbene una chiave pubblica figuri come dato pseudonimizzato, queste non rappresentano dati anonimi e molto spesso sono associate a persone fisiche specifiche.
4) La Blockchain limita lo scopo della raccolta e dell’elaborazione dei dati e la loro minimizzazione? In una Blockchain (specialmente se pubblica) i dati vengono mantenuti su ogni nodo della rete -pubblicamente accessibile a chiunque – indipendentemente dallo scopo originale per cui quei dati sono stati immessi ed elaborati nella Blockchain. Come si inserisce questa caratteristica tipica della Blockchain in un contesto normativo che prevede che gli scopi specifici per i quali i dati personali sono trattati devono essere specificati, espliciti e legittimi (limitazione delle finalità), e che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati (riduzione dei dati)?
5) Le Blockchain sono praticamente non modificabili e i dati in esse contenuti sono spesso impossibili da aggiornare, eliminare, modificare o correggere. Come si riesce a dare seguito al cosiddetto “diritto all’oblio” in una Blockchain?
Fonte: Nicoletta Boldrini – Blockchain4innnovation
About Author
