Analysis
Il regolamento generale sulla protezione dei dati (GDPR), un ampio e severo quadro
giuridico dell'Unione europea (UE) riguardante la riservatezza dei dati
personali, è entrato in vigore il 25 maggio. Pronti o meno, questo
framework trasformerà drasticamente il business di qualsiasi impresa digitale.
L'Associazione internazionale dei professionisti della privacy (IAPP) prevede
che verranno creati almeno 75.000 posti di lavoro dedicati alla
privacy, e che le
società della classifica di Fortune Global 500 spenderanno quasi 8 miliardi di dollari per assicurarsi
di essere conformi al GDPR. Ma cosa significa tutto ciò per le blockchain?
Gli obiettivi del GDPR sono: creare un framework di
gestione dei dati uniforme all'interno dell'Unione e rafforzare il
controllo esercitabile sull'archiviazione e sull'uso dei propri dati
personali. È stato adottato nel 2016 e, dopo un periodo di
transizione di due anni, è finalmente entrato in vigore.
Diritti e doveri
Il GDPR introduce nuovi obblighi procedurali e organizzativi
per i "data processors", categoria nella quale rientrano sia le
aziende che gli enti pubblici, e conferisce maggiori diritti ai "data subjects", ossia i singoli utenti.
Le organizzazioni pubbliche e private tendono ad
accumulare dati ancor prima di sapere come li utilizzeranno, creando una sorta
di "corsa all'oro" dove l'obbiettivo sono però i dati personali degli
utenti. Il GDPR va contro questa abitudine, specificando che i data processor
non dovrebbero raccogliere dati se non quelli strettamente necessari alla
loro interazione immediata con i consumatori. In effetti, la raccolta dei dati
dovrebbe essere "adeguata, pertinente e limitata al minimo necessario in
relazione agli scopi per i quali sono trattati" (art. 39 del GDPR).
Oltre a stabilire cosa sia permesso o meno, il GDPR specifica
anche le linee guida organizzative che i data processor dovranno
adottare da ora in poi. Ad esempio, la loro architettura tecnologica dovrà
cancellare i dati dei consumatori dopo averli utilizzati ("privacy by
design").
Inoltre, qualsiasi entità considerata come "data nexus" dovrà dotarsi della nuova figura
del Responsabile della Protezione dei Dati (RPD) che si occuperà di
garantire la conformità con il GDPR. Il RPD avrà l'obbligo legale di
allertare l'autorità di vigilanza ogniqualvolta si presenta un rischio per la
privacy dei data subject (art. 33).
I data subject, d'altro canto,
sapranno in che modo vengono archiviati e trattati i loro dati personali
(art. 15). Ad esempio, avranno il diritto di chiedere una copia delle
informazioni detenute dalla società. Inoltre, i data processor devono
comunicare ai data subject tutti i dettagli sul
processo d'acquisizione e di trattamento e/o condivisione dei loro dati.
Oltre ad una totale trasparenza, il GDPR offre ai cittadini
un maggiore controllo sul modo in cui le proprie informazioni vengono
utilizzate. L'articolo 17 elenca le condizioni in base alle quali i cittadini
saranno in grado di richiedere la cancellazione dei propri dati dai database
aziendali, o il cosiddetto "diritto all'oblio".
Come hanno puntualizzato Sarah Gordon e Aliya
Ram in un articolo del Financial Times, "in definitiva, l'impatto del GDPR
dipenderà dalla decisione dei cittadini di esercitare o meno i poteri loro
conferiti dalle nuove regole". Quando è stata l'ultima volta che hai rifiutato il
tuo consenso all'informativa sulla privacy di Facebook?
Fenomeno dalle proporzioni mondiali
Il GDPR impone sanzioni estremamente elevate alle aziende che
non lo rispettano. Inoltre, la sua portata va ben oltre l'UE.
Per le aziende, una visita del "revisore dei dati"
potrebbe diventare ancora più temibile di quella dell'ispettore fiscale.
Una violazione intenzionale o ripetuta dei principi stabiliti dal GDPR porterà
a una multa fino a 20 mln di euro, o fino al 4 percento del
fatturato annuale mondiale, qualunque sia la maggiore delle due. Anziché limitarsi a fare
affidamento esclusivamente sugli RDP, verranno eseguiti anche regolari controlli
dalle autorità.
Anche se sulla carta, il GDPR protegge solo i dati
all'interno dell'UE, la sua portata è, di fatto, globale. Innanzitutto, i data
processor situati al di fuori dei confini UE che gestiscono le informazioni
personali dei residenti dell'Unione dovranno rispettare il nuovo regolamento.
In secondo luogo, l'UE ha legato i flussi di dati
ai flussi commerciali:
qualsiasi paese che desideri firmare un accordo commerciale con l'UE dovrà
rispettare il GDPR. Negli ultimi dieci anni, gli Stati Uniti sono diventati un
po' la "polizia economica del mondo", infliggendo enormi sanzioni
agli istituti bancari per non aver rispettato le sue norme
antiriciclaggio. Con
il GDPR, l'UE diventerà il campione mondiale della protezione dei dati?
Le blockchain stanno sfuggendo al
GDPR?
Il GDPR è stato proposto per la prima volta dalla Commissione Europea nel 2012,
ed era concentrato soprattutto sui servizi cloud
e sui social network: all'epoca la parola blockchain
non era affatto diffusa. I servizi cloud e i social
network, almeno nel mondo pre-blockchain, sono
organizzati per lo più a livello centrale: molti data subject
interagiscono con un'unica entità server: il data processor/controller. In una
gestione centralizzata, i regolatori hanno un facile obbiettivo da attaccare.
Ma in che modo il GDPR potrà influire su protocolli decentralizzati come le blockchain pubbliche?
È chiaro che, dato il sottile legame tra pseudonimia e
identificazione, le blockchain memorizzano alcuni
dati potenzialmente personali, a cominciare dalla cronologia delle transazioni.
Potrebbe come tale rientrare nell'ambito del GDPR.
A prima vista, si potrebbe pensare che ci sia una
contraddizione diretta tra GDPR e blockchain
pubbliche. Ad esempio, tra i molti principi enunciati nel GDPR, il
"diritto all'oblio" sembra essere particolarmente in contrasto con la
natura immutabile che sta al centro della tecnologia blockchain.
Supponendo per un momento che questa contraddizione non sia un problema,
sorge una domanda: chi sono i data processor responsabili in un sistema di blockchain puramente decentralizzato?
Tutto sommato, articolando la logica del GDPR e delle blockchain, definire un rapporto data processor/data subject sembra piuttosto difficile. Sicuramente ci
troviamo di fronte ad un arduo dibattito legale.
Blockchain + GDPR?
Tuttavia, la tecnologia blockchain
condivide molti obiettivi con il GDPR. Entrambi mirano a decentralizzare il
controllo dei dati e a mitigare la disuguaglianza di potere tra i fornitori di
servizi centralizzati (in parte sopprimendoli, nel caso delle blockchain) e gli utenti finali. Mentre le caratteristiche
originali di Bitcoin non garantivano l'anonimato,
molte innovazioni tecnologiche, che vanno dai semplici tumbler alle
applicazioni zk-SNARK, ci hanno avvicinati a questo
ideale. Questo probabilmente non è tipo di anonimato desiderato dal
regolamento: esistono delle soluzioni basate su blockchain
che incontrano più facilmente le idee dell'UE?
Una strada di ricerca particolarmente promettente è la combinazione di hardware "trusted" e blockchain. Sulle blockchain pubbliche, tutti i dati vengono replicati e condivisi su tutte le macchine della rete. Ciò rende la cancellazione dei dati delle transazioni e la privacy un incubo per gli utenti. Alcune ricerche recenti hanno iniziato a esaminare in che modo i "trusted computing enclaves", come Intel SGX
, possano garantire un processo di archiviazione dei dati rispettoso della privacy.