Tecnologia Blockchain e GDPR: due realtà inconciliabili?
La tecnologia blockchain è la vera e più potente novità portata dai Bitcoin e dalle cryptovalute. Sebbene venga spesso associata al mondo delle transazioni finanziarie, la blockchain ha moltissimi altri ambiti di applicazione. Fra di essi si citano la proprietà intellettuale, la sanità, la logistica, la compravendita immobiliare, il voto elettorale, le assicurazioni e, come vedremo, anche l’educazione.
Il vantaggio più grande apportato dalla tecnologia blockchain è quello di poter creare un archivio decentralizzato immutabile e perciò immune da corruzione. Quella che sembrerebbe essere la più grande forza della blockchain, rischia però di essere anche la sua più grande debolezza. Infatti, l’immutabilità delle informazioni inserite nella catena di blocchi mal si concilia con il nuovo regolamento europeo in materia di protezione dei dati personali (GDPR).
Diritto all’oblio vs immutabilità della tecnologia blockchain
Fra le novità introdotte dal GDPR vi è il riconoscimento del diritto dell’interessato alla cancellazione dei propri dati personali. L’art. 17 del Reg. UE 2016/679 stabilisce il diritto dell’interessato ad ottenere la cancellazione dei propri dati personali quando la finalità per cui sono stati raccolti è venuta meno, quando è stato revocato il consenso che ne autorizzava il trattamento ed in una serie di altri casi. Questo diritto è più comunemente conosciuto anche come diritto all’oblio o right to be forgotten.
A ciò deve aggiungersi anche il diritto di rettifica, previsto dall’art. 16 del GDPR. L’interessato ha diritto a pretendere dal titolare la correzione dei propri dati, quando essi non sono veritieri o aggiornati.
Alla luce di quello che abbiamo detto sopra, come si conciliano questi diritti con l’immutabilità della tecnologia blockchain? Una volta che i dati personali di un individuo vengono scritti nella catena di blocchi, essi non possono più essere cancellati né modificati.
Possibili soluzioni: pseudonimizzazione e crittografia
Se una cosa è certa è che il progresso non può essere arrestato. Neppure il GDPR con le sue sanzioni multimilionarie può impedire la rivoluzione che la tecnologia blockchain promette di apportare in numerosi campi.
La soluzione che sembra rendere compatibile l’immutabilità dei blocchi con la disciplina sulla privacy potrebbe essere rappresentata da una tecnologia che la blockchain conosce bene: la crittografia.
E’ lo stesso GDPR a prevedere come misure adeguate a garantire la sicurezza del trattamento le tecniche della pseudonimizzazione e della crittografia (art. 32 Reg. UE 2016/679).
La pseudonimizzazione
Pseudonimizzazione significa che i dati personali trattati non vengono attribuiti a un interessato identificato ma ad uno pseudonimo. Per ricondurre i dati alla persona sono necessarie delle informazioni aggiuntive da conservarsi separatamente.
Una soluzione potrebbe essere quella di inserire nella blockchain i dati pseudonomizzati e conservare fuori da essa le informazioni necessarie a ricondurli alla persona interessata. Una volta cancellate queste ultime, i dati all’interno dei blocchi diverrebbero anonimi e, di conseguenza, non più soggetti al GDPR.
Questa soluzione rischia però di rendere inutili i vantaggi apportati dalla blockchain, ovvero la garanzia di immutabilità delle informazioni archiviate. Sarebbe infatti sufficiente alterare le informazioni contenute al di fuori della catena dei blocchi per compromettere anche quelle al suo interno.
La crittografia
La crittografia, o cifratura, è invece una tecnica che permette di rendere segreta un’informazione a chi non possegga la chiave necessaria per decifrarla. In particolare, la crittografia asimmetrica si basa su un sistema di doppia chiave pubblica e privata. Esiste una chiava pubblica, conosciuta da tutti, che serve a criptare un messaggio. Esiste inoltre una chiave privata necessaria a decifrare l’informazione, la quale è conosciuta soltanto dalla persona autorizzata. In questo modo, chiunque può vedere il passaggio o l’archiviazione di un dato, ma non è in grado di decifrarlo senza la chiave privata.
Utilizzando questa tecnologia, è possibile inserire all’interno della blockchain un dato crittografato, leggibile soltanto da chi possiede la chiave per decifrarlo. Se la tecnica di cifratura utilizzata è sufficientemente avanzata, distruggere questa chiave equivarrebbe a cancellare il dato.
L’utilizzo della crittografia potrebbe rappresentare in questo caso una misura di sicurezza adeguata a minimizzare il rischio. Tuttavia, non può trascurarsi il fatto che, sebbene indecifrabile, il dato personale criptato continua ad esistere. E’ possibile escludere che, anche una volta distrutta la chiave privata, questo dato non possa in futuro essere decifrato?
Un esempio pratico nel campo dell’educazione
Un esempio pratico di questa soluzione è stato adottato dalla BCDiploma, una società francese che usa la blockchain di Ethereum per archiviare i diplomi, conferendogli maggiore certezza ed evitando le falsificazioni.
Il diploma ottenuto da uno studente è senza dubbio un dato personale e, come tale, soggetto alle norme del GDPR. Per tale ragione, BCDiploma utilizza la crittografia per inserire questi dati all’interno della blockchain e genera un set di tre chiavi. La prima chiave viene consegnata allo studente diplomato. La seconda chiave (persistent key) viene data alla scuola, mentre la terza (permanent key) viene conservata dalle istituzioni scolastiche in base alle normative. Lo studente che intenda esercitare il proprio diritto all’oblio, potrà chiedere la cancellazione della persistent key, rendendo i suoi dati non più accessibili da terzi.
L’importanza della privacy by design
La soluzione adottata da BCDiploma è un chiaro esempio di privacy by design. Le questioni legate alla protezione dei dati personali sono state tenute in considerazione sin dalla fase di progettazione e risolte riducendo il rischio al minimo.
A questo punto, la domanda sorge spontanea: che sorte avranno tutte quelle tecnologie che sino ad oggi hanno utilizzato la blockchain per archiviare dati personali senza adottare misure adeguate di protezione?
Poiché la tecnologia blockchain non permette di tornare sui propri passi e cancellare o modificare i dati in essa inseriti, è più che mai indispensabile dare applicazione al principio di privacy by design. In particolare è consigliabile effettuare una Data Protection Impact Assessment (DPIA) prima di iniziare qualsiasi nuovo progetto che utilizzi la tecnologia blockchain.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.
