Nei nostri "Parere dell'esperto", leader d'opinione all'interno e all'esterno dell'industria delle criptovalute esprimono le proprie opinioni, condividono le proprie esperienze ed offrono consulenze professionali. La rubrica "Parere dell'esperto" può trattare di qualsiasi argomento, dalla tecnologia Blockchain ai finanziamenti ICO, dalle modalità di tassazione all'adozione di criptovalute nei vari settori dell'economia.

Le leggi sulla privacy dell'UE, create nel 1995, stanno per subire una grande revisione. Il nuovo framework, intitolato GDPR (General Data Protection Regulation), entrerà in vigore il 25 maggio 2018 e cambierà drasticamente il modo in cui le organizzazioni gestiscono i dati personali che raccolgono e usano. Il GDPR mira ad armonizzare le leggi sulla privacy dei dati in tutta l'UE e offre agli individui un controllo migliore sui loro dati personali.

Con il GDPR, a tutte le organizzazioni che archiviano dati personali di cittadini o residenti dell'UE, compresi i progetti Blockchain, verrà richiesto di attenersi a rigide norme sulla privacy dei dati. In caso contrario, si rischia di incorrere in multe in base alla gravità e al carattere della violazione, e al protocollo di conformità dell'organizzazione. I trasgressori potranno trovarsi di fronte a salatissime multe, fino a 20 milioni di euro o fino al quattro percento del loro reddito annuale, a seconda di quale sia il più alto.

Per evitare le sanzioni, tutte le organizzazioni che gestiscono i dati personali dei cittadini o dei residenti dell'UE dovranno attivamente garantire la conformità al nuovo regolamento, e ciò non vale solo per le compagnie europee, ma anche per quelle situate al di fuori dell'unione. Poiché il GDPR si applica a qualsiasi servizio online a cui i cittadini europei possono accedere, è probabile che i le regolamentazioni colpiscano la maggior parte dei progetti Blockchain, indipendentemente dalla località in cui opera l'azienda.

Il dubbio è se l'UE possa davvero imporre queste norme alle organizzazioni situate al di fuori dei suoi confini. Ad esempio, in che modo può controllare un database di call center in Bangladesh o un progetto Blockchain che opera attraverso migliaia di nodi in tutto il mondo? Indipendentemente da ciò, le organizzazioni che operano in Europa dovrebbero immediatamente iniziare ad implementare il framework GDPR, che include il rispetto di dozzine di nuovi protocolli, tra cui:

  • dichiarare chiaramente le proprie normative sulla privacy
  • ottenere il consenso esplicito degli utenti prima di raccogliere le loro informazioni personali
  • permettere agli utenti di ritirare il proprio consenso in modo facile e in qualunque momento
  • memorizzare le informazioni in modo appropriato e sicuro
  • assicurarsi che il trasferimento di informazioni al di fuori dell'UE segua alcuni rigorosi standard
  • permettere agli utenti di revisionare o cancellare i loro dati personali

Possono le Blockchain convivere con il framework GDPR?

Sfortunatamente, molte delle ipotesi alla base del GDPR sono in conflitto con le caratteristiche principali della tecnologia Blockchain. Una Blockchain è un database immutabile che viene archiviato, gestito e controllato da una rete decentralizzata. Ciò è in netto contrasto con i database tradizionali, che sono controllati da un organo centrale come Facebook, Google o Amazon Web Services. Sebbene il GDPR non tenga conto del tipo di tecnologia usata, è stato elaborato con l'ipotesi che i dati personali vengano archiviati in modo centralizzato, da organi che possono gestirli seguendo le regole del framework. Ma quando si parla di Blockchain, non è chiaro in che modo reti decentralizzate in tutto il mondo saranno in grado di implementare tutti gli standard del GDPR.

Prendendo in esempio il requisito del GDPR secondo cui agli individui è data la possibilità di rivedere o cancellare i propri dati personali, si nota subito che il framework e la tecnologia Blockchain non sono compatibili. Le Blockchain sono immutabili e generalmente non possono essere modificate una volta creato un blocco. In che modo la revisione e l'immutabilità dei dati possono essere conciliati? David Fragale, co-fondatore di Atonomi, evidenzia la contraddizione:

"Il GDPR rappresenta un'opportunità per i cittadini dell'UE di esercitare il controllo sui propri dati personali. Da una prospettiva Blockchain, questo si allinea bene con l'ethos della comunità di allontanarsi dalle autorità centrali. Tuttavia, tecnologicamente, tutto ciò è in conflitto con l'immutabilità del ledger di Blockchain e con l'architettura decentralizzata di archiviazione dei dati. "

Shane Brett, CEO di GECKO Governance, concorda sul fatto che esiste un conflitto, ma ricorda che c'è comunque spazio per l'interpretazione e per diversi approcci nazionali all'interno dell'UE:

"Il GDPR ha lo scopo di fornire all'utente il pieno controllo sui propri dati personali e su come vengono utilizzati da terze parti, dato che uno dei componenti chiave della legislazione è il diritto all'oblio. Questo, tuttavia, è in qualche modo in conflitto con la tecnologia Blockchain, che viene presentata come ledger immutabile che non può essere cancellato. In sostanza, non è possibile cancellare i dati da Blockchain una volta scritti, in quanto ciò spezzerebbe la catena.

Va notato, tuttavia, che GDPR non definisce esattamente che cosa intende per "cancellare".  Quindi, l'interpretazione di questo termine potrebbe venir lasciata al gestore dei dati, oppure potrebbe essere ulteriormente specificata nella legislazione recepita in ciascuno Stato membro dell'UE. "

Una delle possibilità esplorate per far fronte a questo problema è archiviare i dati personali al di fuori della catena. Questa suddivisione nell'architettura dei dati consente di includere riferimenti alle informazioni personali nella Blockchain, senza però visualizzarli se non tramite un database esterno, spiega Serafin Lion Engel di Datawallet:

"Una soluzione interessante al problema potrebbe essere una doppia architettura di gestione dei dati, in cui gli elementi contrattuali di una transazione avvengono sulla catena tramite gli smart contract e il trasferimento effettivo dei dati avviene all'esterno. Questo risolve anche i problemi di scalabilità che stiamo affrontando con la tecnologia Blockchain nel suo stato attuale.

Penso che il GDPR sia un grande passo verso il futuro, in particolare perché impone alle aziende di permettere agli utenti di scaricare le proprie informazioni e spostarle su altre piattaforme, o addirittura di eliminarle completamente, e ci sono sicuramente aziende come Datawallet che cercheranno di garantire che queste necessarie regolamentazioni non escludano una tecnologia così entusiasmante come Blockchain".

Sebbene questo approccio consenta alle organizzazioni di rivedere o cancellare i dati personali, e quindi di rispettare il framework GDPR, solleva una serie di altri dubbi. Vale a dire, come verrà garantito agli utenti che il database esterno alla catena sia gestito correttamente? Con quanta facilità si può accedere ai dati personali? E, naturalmente, uno dei problemi principali dei database centralizzati: come si difenderanno dagli attacchi informatici?

Secondo Rob Viglione, co-fondatore e team leader di ZenCash, la conformità al GDPR è una delle principali preoccupazioni per le società di gestione delle identità che esplorano le soluzioni Blockchain:

"Stiamo lavorando con diverse aziende che desiderano portare i protocolli di identità digitale su Blockchain, ma nessuno ha ancora risolto il problema di conformità al GDPR. Il framework dell'UE è difficile da applicare alla tecnologia Blockchain e sta sicuramente causando problemi a questi progetti."

Sfortunatamente, molte di queste preoccupazioni sono ulteriormente complicate dall'architettura dei nodi di Blockchain. Il GDPR è progettato in modo che le organizzazioni memorizzino i dati personali dei cittadini e dei residenti dell'UE all'interno dell'unione stessa e non attraverso migliaia di nodi decentralizzati in tutto il mondo. Inoltre, il GDPR si basa su un mondo in cui sono i leader aziendali ad essere responsabili dell'implementazione degli standard normativi.

Ma i progetti Blockchain sono spesso gestiti da team di sviluppatori e imprenditori di tutto il mondo. Alcuni sono addirittura governati da organizzazioni autonome decentralizzate (DAO). Questi nuovi sistemi di governance non funzionano come previsto dalle autorità di regolamentazione dell'UE. Chi all'interno di un progetto Blockchain può garantire che ciascun nodo rispetti gli standard sulla privacy del GDPR? A chi possono rivolgersi gli enti regolatori del GDPR per verificare la conformità del progetto? E chi possono sanzionare? Queste sono tutte domande che i regolatori dell'UE e i progetti Blockchain devono affrontare nei prossimi mesi, e non sarà per niente facile trovare delle risposte.

I punti di vista e le opinioni presenti all'interno di questo articolo appartengono esclusivamente all'autore, e non rappresentano necessariamente i pareri di Cointelegraph.

Dean Steinbeck è un avvocato aziendale statunitense che si occupa in particolare di privacy e tecnologia. Ricopre il ruolo di General Counsel presso TigerConnect, una piattaforma di comunicazione clinica che serve oltre 4.000 organizzazioni sanitarie statunitensi.