GDPR e Blockchain: il nuovo regolamento europeo è una minaccia o un incentivo?

Il regolamento generale sulla protezione dei dati (GDPR), un ampio e severo quadro giuridico dell'Unione europea (UE) riguardante la riservatezza dei dati personali, è entrato in vigore il 25 maggio. Pronti o meno, questo framework trasformerà drasticamente il business di qualsiasi impresa digitale. L'Associazione internazionale dei professionisti della privacy (IAPP) prevede che verranno creati almeno 75.000 posti di lavoro dedicati alla privacy, e che le società della classifica di Fortune Global 500 spenderanno quasi 8 miliardi di dollari per assicurarsi di essere conformi al GDPR. Ma cosa significa tutto ciò per le blockchain?

Gli obiettivi del GDPR sono: creare un framework di gestione dei dati uniforme all'interno dell'Unione e rafforzare il controllo esercitabile sull'archiviazione e sull'uso dei propri dati personali. È stato adottato nel 2016 e, dopo un periodo di transizione di due anni, è finalmente entrato in vigore.

Diritti e doveri

Il GDPR introduce nuovi obblighi procedurali e organizzativi per i "data processors", categoria nella quale rientrano sia le aziende che gli enti pubblici, e conferisce maggiori diritti ai "data subjects", ossia i singoli utenti.

Le organizzazioni pubbliche e private tendono ad accumulare dati ancor prima di sapere come li utilizzeranno, creando una sorta di "corsa all'oro" dove l'obbiettivo sono però i dati personali degli utenti. Il GDPR va contro questa abitudine, specificando che i data processor non dovrebbero raccogliere dati se non quelli strettamente necessari alla loro interazione immediata con i consumatori. In effetti, la raccolta dei dati dovrebbe essere "adeguata, pertinente e limitata al minimo necessario in relazione agli scopi per i quali sono trattati" (art. 39 del GDPR).

Oltre a stabilire cosa sia permesso o meno, il GDPR specifica anche le linee guida organizzative che i data processor dovranno adottare da ora in poi. Ad esempio, la loro architettura tecnologica dovrà cancellare i dati dei consumatori dopo averli utilizzati ("privacy by design").

Inoltre, qualsiasi entità considerata come "data nexus" dovrà dotarsi della nuova figura del Responsabile della Protezione dei Dati (RPD) che si occuperà di garantire la conformità con il GDPR. Il RPD avrà l'obbligo legale di allertare l'autorità di vigilanza ogniqualvolta si presenta un rischio per la privacy dei data subject (art. 33).

Nuovo regolamento europeo della protezione dei dati

I data subject, d'altro canto, sapranno in che modo vengono archiviati e trattati i loro dati personali (art. 15). Ad esempio, avranno il diritto di chiedere una copia delle informazioni detenute dalla società. Inoltre, i data processor devono comunicare ai data subject tutti i dettagli sul processo d'acquisizione e di trattamento e/o condivisione dei loro dati.

Oltre ad una totale trasparenza, il GDPR offre ai cittadini un maggiore controllo sul modo in cui le proprie informazioni vengono utilizzate. L'articolo 17 elenca le condizioni in base alle quali i cittadini saranno in grado di richiedere la cancellazione dei propri dati dai database aziendali, o il cosiddetto "diritto all'oblio".

Come hanno puntualizzato Sarah Gordon e Aliya Ram in un articolo del Financial Times, "in definitiva, l'impatto del GDPR dipenderà dalla decisione dei cittadini di esercitare o meno i poteri loro conferiti dalle nuove regole". Quando è stata l'ultima volta che hai rifiutato il tuo consenso all'informativa sulla privacy di Facebook?

Fenomeno dalle proporzioni mondiali

Il GDPR impone sanzioni estremamente elevate alle aziende che non lo rispettano. Inoltre, la sua portata va ben oltre l'UE.

Per le aziende, una visita del "revisore dei dati" potrebbe diventare ancora più temibile di quella dell'ispettore fiscale. Una violazione intenzionale o ripetuta dei principi stabiliti dal GDPR porterà a una multa fino a 20 mln di euro, o fino al 4 percento del fatturato annuale mondiale, qualunque sia la maggiore delle due. Anziché limitarsi a fare affidamento esclusivamente sugli RDP, verranno eseguiti anche regolari controlli dalle autorità.

Anche se sulla carta, il GDPR protegge solo i dati all'interno dell'UE, la sua portata è, di fatto, globale. Innanzitutto, i data processor situati al di fuori dei confini UE che gestiscono le informazioni personali dei residenti dell'Unione dovranno rispettare il nuovo regolamento.

In secondo luogo, l'UE ha legato i flussi di dati ai flussi commerciali: qualsiasi paese che desideri firmare un accordo commerciale con l'UE dovrà rispettare il GDPR. Negli ultimi dieci anni, gli Stati Uniti sono diventati un po' la "polizia economica del mondo", infliggendo enormi sanzioni agli istituti bancari per non aver rispettato le sue norme antiriciclaggio. Con il GDPR, l'UE diventerà il campione mondiale della protezione dei dati?

Le blockchain stanno sfuggendo al GDPR?

Il GDPR è stato proposto per la prima volta dalla Commissione Europea nel 2012, ed era concentrato soprattutto sui servizi cloud e sui social network: all'epoca la parola blockchain non era affatto diffusa. I servizi cloud e i social network, almeno nel mondo pre-blockchain, sono organizzati per lo più a livello centrale: molti data subject interagiscono con un'unica entità server: il data processor/controller. In una gestione centralizzata, i regolatori hanno un facile obbiettivo da attaccare. Ma in che modo il GDPR potrà influire su protocolli decentralizzati come le blockchain pubbliche?

È chiaro che, dato il sottile legame tra pseudonimia e identificazione, le blockchain memorizzano alcuni dati potenzialmente personali, a cominciare dalla cronologia delle transazioni. Potrebbe come tale rientrare nell'ambito del GDPR.

A prima vista, si potrebbe pensare che ci sia una contraddizione diretta tra GDPR e blockchain pubbliche. Ad esempio, tra i molti principi enunciati nel GDPR, il "diritto all'oblio" sembra essere particolarmente in contrasto con la natura immutabile che sta al centro della tecnologia blockchain. Supponendo per un momento che questa contraddizione non sia un problema, sorge una domanda: chi sono i data processor responsabili in un sistema di blockchain puramente decentralizzato?

Tutto sommato, articolando la logica del GDPR e delle blockchain, definire un rapporto data processor/data subject sembra piuttosto difficile. Sicuramente ci troviamo di fronte ad un arduo dibattito legale.

Blockchain + GDPR?

Tuttavia, la tecnologia blockchain condivide molti obiettivi con il GDPR. Entrambi mirano a decentralizzare il controllo dei dati e a mitigare la disuguaglianza di potere tra i fornitori di servizi centralizzati (in parte sopprimendoli, nel caso delle blockchain) e gli utenti finali. Mentre le caratteristiche originali di Bitcoin non garantivano l'anonimato, molte innovazioni tecnologiche, che vanno dai semplici tumbler alle applicazioni zk-SNARK, ci hanno avvicinati a questo ideale. Questo probabilmente non è tipo di anonimato desiderato dal regolamento: esistono delle soluzioni basate su blockchain che incontrano più facilmente le idee dell'UE?

Una strada di ricerca particolarmente promettente è la combinazione di hardware "trusted" e blockchain. Sulle blockchain pubbliche, tutti i dati vengono replicati e condivisi su tutte le macchine della rete. Ciò rende la cancellazione dei dati delle transazioni e la privacy un incubo per gli utenti. Alcune ricerche recenti hanno iniziato a esaminare in che modo i "trusted computing enclaves", come Intel SGX, possano garantire un processo di archiviazione dei dati rispettoso della privacy.

Combinare il trusted computing alle blockchain pubbliche significa che la privacy dei dati può essere protetta da minacce esterne e archiviata fuori dalla blockchain, che avrà il compito di decidere chi può accedere a quei dati o meno. Poiché grazie agli smart contract non ci si deve più affidare a fornitori di servizi centralizzati, i diritti dei dati possono essere gestiti esclusivamente dagli utenti tramite il connubio blockchain + hardware trusted. I progetti che tentano di perseguire tale idea sono diversi.

Uno di questi è Teechain, frutto della collaborazione tra l'Imperial College di Londra e la Cornell University. Teechain è un progetto che utilizza hardware trusted per permettere di effettuare transazioni off-chain sicure ed efficienti. Un progetto alternativo, che ha già portato a dimostrazioni dal vivo, è la collaborazione tra iExec e Intel avviata all'interno dell'Enterprise Ethereum Alliance (EEA).

I tuoi progetti blockchain preferiti stanno prendendo le misure necessarie per adattarsi al terremoto scatenato da queste leggi sulla privacy? In caso contrario, forse è il momento di implementare prodotti basati sul modello privacy by design. Come sempre, la necessità aguzza l'ingegno.

 

Quest'articolo è stato scritto in collaborazione con Joshua Lind, dottorando in Scienze Informatiche.