Blockchain e GDPR
Su Agenda Digitale è stato pubblicato l’approfondimento “Blockchain e privacy: soluzioni per la compliance alle norme”, a firma di Antonio Bello. Nell’abstract si legge quanto segue: “Un corretto trattamento dei dati personali su blockchain sulla base dei dettami del Gdpr e delle normative nazionali è possibile, nonostante le peculiarità intrinseche della tecnologia come la non modificabilità dei dati. Rilevante il parere del Garante francese CNIL. Vediamo tutte le indicazioni”. Di seguito l’introduzione dell’articolo:
È sempre più necessario interrogarsi sulla compatibilità tra blockchain e norme privacy. Prima fra tutti il Gdpr.
Il rapporto tra Gdpr e Blockchain è cruciale dal momento che da più parti questa tecnologia viene indicata come la Rivoluzione industriale del XXI secolo, sia per i potenziali guadagni, che per le ingenti spese da sostenere per la sua adozione (senza distinzione tra aziende altamente strutturate, come Microsoft e IBM e colossi del settore bancario, come Unicredit e Banca Intesa).
La casistica preponderante ha fin qui sottolineato, a ragion veduta, prevalentemente le peculiarità positive della blockchain, senza dare adeguato adito all’impatto che potrebbe avere sui “diritti degli interessati” in virtù delle recenti evoluzioni normative, in Europa e non.
Le principali qualità inerenti la blockchain, come condiviso dalla “public opinion”, risultano essere (prevalentemente):
- Verificabilità;
- Non modificabilità;
- Decentralizzazione;
- Sicurezza.
La sicurezza della blockchain
Per quanto la blockchain dia garanzie decisamente al di sopra della media, bisogna partire dal presupposto che, nel quadro dei sistemi di sicurezza, non esistono garanzie totali.
Non sono più isolati, infatti, gli episodi di hackeraggio ai danni degli Exchange Coin-to-Coin (attività aventi come finalità lo scambio di criptovalute).
Esempio lampante è il caso “Criptopya” nota blockchain pubblica finalizzata all’exchange, che si è vista sottrarre fraudolentemente nel 2018 ben 16 milioni di dollari suddivisi in Ether, Dentacoin e token.
La sproporzione di questa cifra è data dal cyber-attacco a decine di migliaia di wallet (conti di criptomonete) appartenenti a utenti differenti, e ciò lascia intuire il probabile furto delle chiavi private.
Ad eccezione dell’utilizzo di un hardware wallet, che necessita di un accesso fisico per essere violato, le chiavi private necessarie per accedere ai wallet possono essere soggette ad attacchi, soprattutto phishing, alla stregua delle altre password
L’adeguamento della blockchain alla privacy (GDPR)
In merito all’adeguamento della blockchain al Regolamento UE 2016/679, lo scoglio apparentemente insormontabile è garantire i diritti dell’interessato, disciplinati al capo III, negli artt. 12 – 23 del Regolamento in oggetto.
In particolar modo la peculiarità intrinseca della blockchain della non modificabilità e cancellazione risulta essere in forte contrasto con il più noto (per il clamore datogli post GDPR) “diritto all’oblio” sancito nell’art. 17 del GDPR.
A dar manforte a un’auspicabile conformità, sono state le parole del professor Christopher Millard, della “Queen Mary University” di Londra, il quale ha dichiarato: “La blockchain non è affatto la prima tecnologia emergente ad essere etichettata come incompatibile con la privacy e gli altri principi giuridici fondamentali. Le applicazioni blockchain potrebbero essere dirompenti, ma ciò non significa che non possano essere progettate e implementate in modo conforme alla legge”.
Secondo lo studio condotto dall’università londinese, sarebbe ipotizzabile una blockchain compliance al GDPR mediante la crittografia dei dati personali e la successiva eliminazione delle corrispettive chiavi decrittografiche, lasciando su blockchain solo i dati indecifrabili o mediante l’uso dei cosiddetti modelli di memoria “fuori catena”.
In particolar modo la peculiarità intrinseca della blockchain della non modificabilità e cancellazione risulta essere in forte contrasto con il più noto (per il clamore datogli post GDPR) “diritto all’oblio” sancito nell’art. 17 del GDPR…