Come interagiscono il meccanismo della blockchain e il nuovo Regolamento 679/16 in tema di data protection?
Proviamo ad analizzare, in via generale, le varie applicazioni della tecnologia blockchain con le norme imposte dal Regolamento Ue a partire dal maggio 2018.
La connessione è di intrinseca importanza e la tematica di fondamentale interesse; la prova sta nel fatto che il Parlamento europeo, in data 3 ottobre 2018 ha approvato lauro risoluzione dal titolo: “Tecnologie di registro distribuito e blockchain: creare fiducia attraverso la disintermediazione”, che prende in esame la tecnologia blockchain; il 16 ottobre 2018 è stato rilasciato il report “Blockchain and the GDPR”.
Partiama dall’inquadare brevemente il meccanismo di tracciabilità in esame.
La blockchain è un database dove vengono archiviati dei dati tradotti in stringhe o codici attraverso un meccanismo di crittazione basato principalmente sul sistema della chiave asimmetrica (ciascun utente possiede due chiavi, una privata e una pubblica generata da quella privata; ciascun utente critta la transazione con la chiave privata e comunica all’altra parte la chiave pubblica all’uopo generata al fine di decrittare i dati e verificarne la riferibilità̀ alla transazione “concordata”).
In latri termini, la Blockchain è quindi un registro in cui vengono ‘registrate’ tutte le transazioni e/o operazioni senza, tuttavia, andare a costituire un database singolo. Il registro viene infatti distribuito mediante condivisione peer to peer, e i dati ulteriormente criptati con il vantaggio che una volta che il blocco è stato creato non viene più modificato. In particolare, esistono diverse tipologie di Blockchain:
- pubbliche c.d. permissionless: che non prevedono autorizzazione alcuna e sono ad accesso pubblico;
- ibride o semiprivate: in tale peculiare meccanismo, alcuni nodi hanno maggiore influenza decisionale rispetto ad altri;
- private o permissioned: per accedervi, è necessario ottenere autorizzazioni dal soggetto controllore.
La blockchain permette di inviare qualsiasi dato in maniera sicura, tagliando drasticamente la catena degli intermediari e permettendo, quindi, uno scambio di dati sicuro tra persone, senza dover utilizzare mezzi di terze parti quali ad esempio un provider di posta elettronica, oppure un servizio di Cloud Computing esterno.
Analizzando tali passaggi alla luce del GDPR, non possiamo non ricordare che lo scopo del GDPR è quello di fornire tutte le prescrizioni al fine di garantire la protezione dei dati personali delle persone fisiche. L’articolo 5 del GDPR elenca sei principi essenziali della data protection:
- il trattamento deve essere lecito, equo e trasparente;
- il trattamento dei dati deve essere limitato al solo scopo specifico per il quale essi sono stati originariamente raccolti (limitazione di scopo);
- è possibile raccogliere solo i dati assolutamente necessari allo scopo specifico (minimizzazione dei dati); i dati devono essere accurati e aggiornati (accuratezza);
- i dati non devono essere conservati più a lungo del necessario (limitazione della conservazione);
- i dati devono essere elaborati in modo sicuro (integrità e riservatezza).
Alla luce di quanto chiarito, ben può affermarsi che è possibile garantire la compliance alla GDPR utilizzando la blockchain per il trattamento e la protezione dei dati personali in quanto lo stesso ha riflessi in ambito blockchain sotto i seguenti importantissimi profili:
- i dati personali archiviati in una blockchain non possono essere manomessi e pertanto la loro cancellazione, rettifica o modifica, non sarà possibile una volta che tali dati verranno immessi nella catena distribuita;
- le blockchain sono distribuite, facendo perdere la centralità del controllo dei dati da parte di un solo soggetto in quanto tutti i partecipanti alla blockchain possono verificare i dati inseriti all’interno della catena.