Blockchain/GDPR: un paradosso?
[Photo from https://pixabay.com/it/tecnologia-internet-telefono-3219129/]
Il Regolamento Generale sulla Protezione dei Dati, o in breve GDPR, diventerà applicabile dal 25 maggio 2018, ovvero da oggi. Tale regolamento avrà impatti equali sia verso i piccoli business, sia verso i grandi colossi nella rete. In questo articolo evidenzieremo alcuni argomenti su come GDPR si riferisce alla tecnologia blockchain permissionless (ovvero pubbliche), favorendo quest’ultima in alcune circostante e diventando dimetricamente opposta all’utilizzo per altre.
Dove Blockchain diventa un problema?
Per spiegare perché GDPR ha effetti opposti in determinate aree quando applicato alla tecnologia blockchain, dobbiamo prima esaminare alcuni concetti di base.
Crittografia e hashing
Sia la crittografia che l'hashing sono fondamentali per le tecnologie blockchain. In breve, l'hashing è una trasformazione unidirezionale dei dati in una porzione di dati illeggibile (valore hash). Mentre, la crittografia è trasformazione bidirezionale: l’idea è crittografare un dato con una determinata chiave, in modo che diventi illeggibile; Tuttavia, con questa chiave puoi sempre decifrare questo pezzo di dati illeggibile al valore originale.
Immutabilità delle transazioni
Ormai, avrai sentito che le transazioni su una blockchain sono immutabili. Non è possibile modificare queste transazioni una volta che sono state scritte su una blockchain. Non è possibile eliminare questi dati, in quanto ciò potrebbe "rompere la catena" in un certo senso, rendendo inutilizzabile la blockchain completa.
Trasparenza
Come individuo, puoi consultare la cronologia completa di tutte le transazioni bitcoin, rendendo le transazioni su questa tecnologia blockchain pubblica completamente trasparente. La trasparenza nei blockchain privati è un'altra questione, ma è comunque garantita in altri modi.
CRUD e GDPR
L’acronimo CRUD sta per: Create-Read-Update-Delete. Queste sono le azioni basiche che un utente svolge quando carica una risorsa o un file personale all’interno di un database, che può essere relazionale o distribuito. La sigla spiega bene che l’utente generico può creare un dato, caricarlo, leggerlo, modificarlo e potenzialmente cancellarlo. Bene, con questa premessa già possiamo capire che all’interno di una blockchain pubblica, come quella di Bitcoin o Ethereum, questo schema è semanticamente e concretamente impossibile, per la caratteristica di immutabilità precedentemente descritta.
Perché è importante sottolineare questo dettaglio? Prendendo l’Articolo 17 del GDPR, questo viene intitolato “Right to be Forgotten” (Il diritto di oblio): gli utenti hanno il diritto di chiedere (e ottenere) la cancellazione dei propri dati personali quando non sono più necessari agli scopi per i quali erano stati raccolti. Diventa quindi lapalissiano che una blockchain pubblica, non possiede quella caratteristica imprescindibile richiesto dal nuovo regolamento europeo.
Chi è il Data Protection Officer?
Un ulteriore elemento che crea decisamente un divario riguarda la figura del Data Protection Officer e il luogo in cui il dato viene salvato. Quando un dato viene caricato sulla Blockchain, in giro per il mondo, i miners si stanno sfidando per trovare il nonce corretto per validare il blocco. Purtroppo, il dato potrebbe essere validato in Cina e quindi tale risorsa uscirebbe dall’Europa.
Inoltre, il GDPR chiede espressamente che esista una figura terza che faccia da garante. IL DPO deve necessariamente essere Una persona fisica prestabilita, una sorta di figura ibrida fra il ruolo di vigilanza dei processi interni alla struttura (del titolare e del responsabile, che lo devono nominare, obbligatoriamente in taluni casi previsti per legge), ed il ruolo di consulenza, fungendo inoltre da “ponte di contatto” e super partes con l’Autorità Garante nazionale. Chiaramente, un miners sconosciuto non si profila come il miglior candidato per il ruolo da protagonista.
Questi due elementi, ontologicamente propri del concetto Blockchain, si vanno a scontrare inevitabilmente contro il nuovo regolamento europeo a protezione della privacy dell’utente.
Dove la Blockchain potrebbe essere utile?
Tuttavia, alcune delle sue caratteristiche possono diventare complementari al concetto di privacy, facendo alcune premesse e delucidazioni.
Prima di tutto, dobbiamo capire se ciò che deve rimanere anonimo sia l’utente o il dato. Come abbiamo visto l’identità di un utente (e quindi i suoi dati sensibili) sono protetti da un codice che rappresenta la chiave pubblica per aderire alla rete distribuita. Rintracciare l’utente dalla sua chiave pubblica diventa estremamente complicato. Inoltre, più chiave pubbliche possono rappresentare un solo utente. La relazione non diventa nemmeno univoca.
Analizzando questo sottile concetto, attraverso una chiave di lettura normativa, ci dobbiamo domandare cosa rappresenta un dato personale: l’utente o la risorsa? Poiché, se tale concetto riguarda la risorsa, chiaramente Blockchain non permette la privacy, se invece il concetto rappresenta la chiave pubblica, l’utente è protetto dalla crittografia e dallo pseudo-anonimato. In accordo con l’Art. 21 che cita “le persone hanno il diritto di opporsi all’utilizzo dei propri dati per profilazione o commercializzazione e devono essere messe nelle condizioni di poter dire di no”, la chiave pubblica non consentirebbe in alcun modo la profilazione dell’individuo, garantendo la sua privacy.
In secondo luogo, data la sua decentralizzazione e distribuzione, una blockchain difficilmente potrebbe subire cyberattacchi. Altra caratteristica in favore del GDPR. Abbiamo osservato con mano colossi come Uber subire attacchi nei loro database centralizzati, perdendo dati e valore.
Infine, il trattamento dei dati personali del cliente nel mercato virtuale. La criptovaluta bitcoin è pseudo-anonima, garantendo al potenziale cliente di rimanere nascosto durante i suoi acquisti in rete. Chiaramente, questa qualità si è sposata bene con il mercato del deep-web, in cui clienti e offerenti ne beneficiavano enormemente. Tuttavia, un e-commerce dovrebbe trattare meno dati personali, alleggerendosi il carico del trattamento di quest’ultimi.
E gli smart-contract?
L’ultimo elemento che riserva dubbi sono il perimetro normativo e legislativo in cui uno smart contract viene applicato. Sotto quale giurisdizione cadiamo se il contratto è stato scritto tra un italiano e un cinese? Cosa fare se “The code is law” è scritto in modo impreciso? Come modificare o addirittura cancellare un contratto intelligente in caso di impugnazione e/o contestazione?
Nel prossimo articoli spiegheremo le differenze e le possibili soluzioni per le applicazioni legate alle blockchain permissioned (ovvero quelle private).
Buon GDPR a tutti.
Very good content!