Blockchain: compatibilità o incompatibilità con il GDPR?

13 Giugno 2019

Cosa rende le DLT soluzioni in linea con il General Data Protection Regulation? Quali accorgimenti bisogna adottare per garantire efficienza, trasparenza e compliance nelle transazioni che hanno luogo sui registri condivisi e decentralizzati? Ecco cosa le imprese devono valutare nel momento in cui decidono di ricorrere alla Blockchain.

Tra gli aspetti che più impensieriscono chi si sente attratto dalle molte opportunità offerte dalla tecnologia Blockchain c'è sicuramente il tema della compliance dei sistemi DLT con i requisiti del GDPR. Il General Data Protection Regulation è a dire il vero un dispositivo che ha avuto un impatto su tutte le piattaforme digitali che permettono di conservare, condividere ed elaborare dati: la sua introduzione (è diventato esecutivo a maggio 2018) ha comportato per le imprese e per i soggetti titolari di informazioni sensibili relative ai cittadini europei notevoli investimenti in risorse umane e tecnologiche. E nonostante ciò, a più di un anno dall'inizio dalla sua entrata in vigore, non tutte le organizzazioni possono dirsi ottemperanti alla normativa al 100%. Facile dunque capire le perplessità quando si parla di Blockchain, diventata nell'immaginario comune l'emblema stesso di concetti come condivisione, accessibilità e assenza di controllo centralizzato. Chiedersi se la Blockchain sia compatibile o meno con quanto richiesto dal GDPR presuppone, per poter formulare una risposta, una serie di premesse.

 

Permissioned e permissionless, non tutte le Blockchain sono uguali

 Bisogna innanzitutto specificare che non necessariamente Blockchain è sinonimo di assenza di controllo. Si possono infatti istituire ledger chiusi che, pur mantenendo la loro natura di repository decentralizzati e pur basandosi sui medesimi meccanismi di trasparenza e immediatezza delle transazioni, sono gestiti con regole dettate da un ente specifico, a cui può essere attribuita la titolarità degli eventuali dati sensibili contenuti e trasmessi all'interno dell'infrastruttura. I cosiddetti Ledger permissioned sono in questo senso più semplici da implementare di quelli permissionless – ovvero aperti – nel momento in cui un'azienda o un gruppo di imprese intende fare leva sulla tecnologia Blockchain. Basta introdurre opportune credenziali e precise, chiare limitazioni all'accesso dei dati da parte dei membri del registro o di ospiti autorizzati.

Token e pseudonimizzazione: i dati sensibili non entrano neppure in gioco?

 Da rimarcare poi che la tecnologia Blockchain consente, volendo, di attribuire a documenti e informazioni un token, ovvero una stringa di codice privo di riferimenti all'elemento originale (custodito in database opportunamente protetti). Tutte le transazioni, smart contract inclusi, vengono dunque gestite in modo anonimo, senza citare le parti causa all'interno del ledger. È sufficiente questo per esimere una Blockchain dalle implicazioni normative del GDPR? Lo sarebbe se l'anonimizzazione delle informazioni fosse completa, se in altre parole escludesse del tutto la possibilità di identificare le generalità dei diretti interessati. Invece il meccanismo adottato dalla Blockchain è quello della pseudonimizzazione, basato su tecniche di hash. Tramite l'utilizzo di metadati è dunque possibile attribuire operazioni e variazioni all'interno del registro agli attori coinvolti e, correlando opportunamente le descrizioni aggiuntive, risalire a soggetti identificabili. Questa interpretazione dei sistemi di protezione della privacy tipici della DLT, sposata anche dagli esperti dell'Unione europea, fa sì che la Blockchain debba essere considerata un tipo di registro suscettibile all'azione normativa del GDPR.

Dunque, a conti fatti, si può affermare che la Blockchain sia compatibile con l'impianto normativo del GDPR? Sì, a patto che sussistano determinate condizioni: deve trattarsi di un permissioned ledger, supportato da adeguate soluzioni e professionalità che garantiscano il corretto trattamento dei dati conservati ed elaborati su ciascuna delle piattaforme attivate.

Iscriviti alla newsletter

Per confermare l'iscrizione, controlla la tua email

*Campo Obbligatorio
Share This