Blockchain e GDPR, quali sono i dubbi sulla compatibilità

Nessuno dovrebbe ignorare la legge, nemmeno blockchain. Affermazione non così scontata perché qualche dubbio esiste in relazione all’arrivo del GDPR, la nuova normativa europera sulla privacy.

L’articolo 4 del regolamento europeo definisce il responsabile del trattamento come "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento".

È inoltre legalmente responsabile del trattamento dei dati. Poiché blockchain è per definizione decentralizzata, non c'è nessuno in testa. Blockchain funziona orizzontalmente, non esiste un organo di controllo.

Inoltre, blockchain è un protocollo, non un software. Quindi non può essere considerata responsabile del trattamento. Nel mondo blockchain, ci sono molti attori, tra cui i miner (che portano potenza computazionale), sviluppatori e utenti.

Tuttavia, nessuno può essere identificato come responsabile del trattamento. I miner hanno solo un ruolo tecnico, quindi non sono i responsabili del trattamento dei dati. Gli sviluppatori di solito agiscono sotto pseudonimo e sotto licenza libera.

Per blockchain il problema è la memorizzazione

L'articolo 7 stabilisce che "il consenso deve essere espresso mediante un chiaro atto positivo con il quale l'interessato dimostri il suo libero, specifico, informato e inequivocabile consenso al trattamento dei dati personali che lo riguardano, ad esempio mediante una dichiarazione scritta, anche elettronica, o una dichiarazione orale".

In questo caso la nuova tecnologia blockchain è lo strumento ideale. Ogni utente controlla e convalida i dati prima di aggiungerli alla blockchain. Inoltre, la storia delle transazioni permette di dimostrare il consenso.

Il GDPR ha posto la privacy by design al centro del suo testo, un concetto che richiede una riflessione sulla protezione dei dati personali prima di progettare un prodotto o un servizio.

Nella blockchain i dati sulle transazioni e la storia sono accessibili a tutti. Si potrebbe pensare in questo modo che la trasparenza e l'accesso aperto alla tecnologisa possano mettere a repentaglio la sicurezza e la riservatezza dei dati memorizzati. In realtà, la firma digitale e i meccanismi di timbratura del tempo ne garantiscono l'integrità.

L'articolo 17 stabilisce che “l'interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione tempestiva dei dati personali che lo riguardano e il responsabile del trattamento ha l'obbligo di cancellarli il più presto possibile".

I dati inseriti nella blockchain non possono essere cancellati o rettificati. Una volta convalidata la transazione, non c' è modo di tornare indietro. Come spiega l'Open data institute: "Per eliminare i dati, oltre la metà dei nodi della rete dovrebbe lavorare insieme per ricostruire la catena dal momento dell'aggiunta dei dati”. In altre parole, è impossibile perché i miner sono sparsi in tutto il mondo.

Il principio della conservazione limitata dei dati significa che i dati devono essere conservati "per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati", ai sensi dell'articolo 5 del regolamento. Nella blockchain, tuttavia, i dati non possono essere cancellati. Essi sono pertanto conservati a tempo indeterminato.

In pratica, visto come è formulato il GDPR, non sarebbe possibile memorizzare i dati direttamente nella blockchain poiché in termini di GDPR "non è cancellabile". Questo impedirebbe di utilizzare la tecnologia al suo pieno potenziale e dovremmo quindi affidarci a sistemi "più vecchi" per la memorizzazione dei dati che semplicemente non possono garantire gli stessi vantaggi.

 

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here