Con l'evoluzione dell'ecosistema Ethereum e dei suoi principi fondamentali volti a rispondere alle preoccupazioni in materia di privacy dei dati, è stata avanzata una nuova proposta di strategia modulare per la conformità, al fine di conciliare le blockchain pubbliche con il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea.
Lunedì, una proposta redatta dal membro della community di Ethereum Eugenio Reggianini ha suggerito l'uso di un'architettura modulare per una gestione efficace dei dati e della privacy.
“Spingendo i dati personali ai margini (wallet e DApp), utilizzando l'archiviazione off-chain con cancellazione dei metadati e suddividendo i ruoli a livello crittografico, possiamo concentrare i compiti del responsabile del trattamento GDPR su un piccolo gruppo di entità, mentre la rete più ampia diventa un semplice elaboratore o esula dall'ambito di applicazione”, riporta Reggianini.

Il passaggio di Ethereum a un'architettura modulare potrebbe consentire l'integrazione di varie tecnologie per il miglioramento della privacy (privacy-enhancing technologies, o PET), che, secondo Reggianini, potrebbero garantire la conformità al GDPR in ambienti blockchain permissionless.
Fonte: ethresearchbot

Correlato: Vitalik intende rendere Ethereum “semplice come Bitcoin” entro 5 anni

Roadmap tecnica

La proposta delinea diverse tecnologie già integrate o proposte per Ethereum che contribuiscono a ridurre l'esposizione dei dati personali, tra cui il proto-danksharding (EIP-4844), che limita la durata dei blob delle transazioni a circa 18 giorni, imponendo la minimizzazione dello spazio di archiviazione.
Lo Zero-Knowledge Succinct Non-Interactive Argument of Knowledge (zk-SNARKs) può anche contribuire a migliorare la privacy, in quanto prevede che i validatori confermino prove crittografiche concise anziché visualizzare i payload delle transazioni, riducendo drasticamente la visibilità dei dati on-chain. 
Altre integrazioni PET che potrebbero contribuire alla conformità al GDPR includono la crittografia completamente omomorfica e gli ambienti di esecuzione affidabili (Trusted Execution Environments, o TEE), il calcolo multipartitico (multiparty computation, o MPC), la separazione tra proponente e costruttore (Proposer-Builder Separation, o PBS) e il campionamento della disponibilità dei dati tra pari (Peer Data Availability Sampling, o PeerDAS).

Quadro normativo proposto per la conformità al GDPR. Fonte: ethresear.ch

Strategia di conformità modulare di Ethereum

La proposta suddivide le implicazioni del GDPR sui tre livelli della rete Ethereum: il livello di esecuzione, il livello di consenso e il livello di disponibilità dei dati. 
Il livello di esecuzione funzionerebbe come un processore che trasmette solo dati crittografati o oscurati, mentre il livello di consenso convaliderebbe esclusivamente gli impegni e le zero-knowledge proof. Infine, il livello di disponibilità dei dati, sotto PeerDAS, memorizzerebbe solo frammenti anonimi per periodi di tempo limitati, in linea con il principio di minimizzazione dei dati del GDPR.
Concentrando il controllo dei dati sul livello applicativo e sfruttando i PET, Ethereum sarebbe in grado di tutelare la privacy degli utenti senza sacrificare i propri principi fondamentali, sostiene Reggianini.
Tuttavia, il successo del framework dipenderà dall'ampia adozione da parte della community, dal consenso degli sviluppatori e dal potenziale allineamento con le autorità di regolamentazione europee.

Traduzione a cura di Walter Rizzo