Blockchain e GDPR
Su Agenda Digitale è stato pubblicato l’articolo “Blockchain alla prova di conformità al GDPR: tutte le sfide”, a firma di Massimo Valeri. “La possibile incompatibilità tra la tecnologia blockchain e GDPR - si legge nell’abstract - non può essere valutata in generale, è necessario piuttosto considerare i singoli casi di applicazione. Riguardo alla protezione dei dati invece, si rileva il bisogno di fare attenzione a minimizzare i rischi di violazione”. Di seguito l’introduzione dell’approfondimento:
Diversi documenti di ricerca di istituzioni ed autorità europee pubblicati di recente hanno analizzato la relazione tra la tecnologia blockchain e il Regolamento generale sulla protezione dei dati (GDPR). Data la miriade di possibili usi della blockchain e le sfide che tale tecnologia pone in termini di conformità al GDPR, non sorprende che gli studi giungano a conclusioni spesso diverse in merito alla questione se la blockchain possa essere utilizzata o meno in modo conforme al regolamento. Di seguito, alcuni suggerimenti per l’utilizzo della blockchain, in un’ottica di conformità al GDPR.
Blockchain e GDPR: sono incompatibili?
Diversi studi discutono spesso in merito agli aspetti tecnologici dei sistemi basati su blockchain, anche se con diversi livelli di dettaglio. Il rapporto del National Institute of Standards and Technology degli Stati Uniti conclude che la tecnologia è pubblicizzata e nota, ma non ben compresa. Sebbene si tratti di una delle tecnologie più innovative del momento, la blockchain non è adatta in tutti i casi.
Lo studio del NIST conclude che è impossibile valutare in generale se la blockchain risponda ai requisiti normativi del GDPR. Solo l’implementazione caso per caso può essere valutata in termini di conformità al GDPR. Al contrario, la relazione del CNIL e il rapporto dell’Osservatorio e Forum dell’Unione Europea sulla Blockchain (EUBOF) adottano un approccio diverso sul tema, concludendo che la tecnologia blockchain può rientrare nei limiti di conformità al GDPR.
Sia il rapporto del NIST che la relazione dell’EUBOF sollevano anche un’altra questione, ovvero se sia necessario utilizzare a tutti i costi una soluzione blockchain. Il NIST raccomanda di valutare un paio di fattori prima di decidere se utilizzare una tecnologia blockchain, inclusa la scelta fra la tipologia con permessi autorizzativi o aperta. Ognuna ha infatti i suoi punti di forza e di debolezza, ma per le aziende private che cercano una maggiore conformità al GDPR, il NIST raccomanda la prima tipologia.
Per affrontare le questioni chiave evidenziate nei rapporti del NIST e dell’EUBOF e soddisfare i requisiti di conformità alla privacy, si dovrebbe effettuare una valutazione dell’impatto sulla protezione dei dati ed una valutazione iniziale dei rischi per la sicurezza delle informazioni. Tuttavia, il Comitato Europeo per la Protezione dei dati non concorda con questa valutazione, avendo affermato che l’uso di una tecnologia nuova o innovativa di per sé non determina la necessità di condurre una DPIA. La necessità di farlo nasce solo quando la nuova tecnologia è combinata con un altro fattore di elaborazione che aumenta il rischio dell’attività di trattamento dei dati ad un livello elevato….