Istituzioni e autorità europee hanno analizzato la relazione tra gli aspetti tecnologici dei sistemi basati su blockchain e il Regolamento generale sulla protezione dei dati (GDPR), giungendo a conclusioni spesso diverse in merito alla conformità o meno dell’utilizzo di questa tecnologia rispetto al regolamento. Data l’attuale assenza di una comprensione approfondita della blockchain e la divergenza con cui i vari studi la collocano rispetto al soddisfacimento dei requisiti del GDPR, solo l’evolversi delle sue applicazioni d’uso riveleranno come considerare davvero la conformità di tale tecnologia al GDPR.
Nel frattempo, l’articolo pubblicato da Massimo Valeri, Senior Consultant in ambito Data Protection & Security fornisce una valutazione proattiva e critica della blockchain e delle sue implicazioni sulla privacy per consentire l’utilizzo di tale tecnologia aderendo il più possibile alle normative correnti e all’impatto in termini di logiche di Governance.
In estrema sintesi, il messaggio è che la possibile incompatibilità tra la tecnologia blockchain e GDPR non può essere valutata in generale, piuttosto occorre considerare i singoli casi di applicazione. Riguardo alla protezione dei dati invece, si rileva il bisogno di fare attenzione a minimizzare i rischi di violazione aprendo a nuove prospettive di Risk Management in funzione di privacy e blockchain.
Per leggere l’articolo, potete accedervi direttamente da qui.
Qualche pillola dei contenuti
Quando si progetta una soluzione blockchain che miri ad essere conforme al GDPR, si dovrebbe considerare l’obiettivo aziendale che si intende raggiungere così da identificare i rischi connessi all’elaborazione tramite blockchain dei dati personali. Una soluzione sicura per i dati che non aiuta a raggiungere gli obiettivi aziendali non può essere una buona soluzione. Né può esserlo una soluzione che si concentri solo sul raggiungimento degli obiettivi di business, ma che ignora il GDPR e altri rischi di conformità.
Occorre poi individuare in anticipo chi potrà immettere dati nella blockchain, capire in che modo i nodi interagiranno tra loro e chi avrà accesso ai dati di output. In caso di trattamento di dati personali, il titolare del trattamento è tenuto anche ad attuare misure per garantire l’integrità di tali dati. Inoltre, se la soluzione è basata su un’implementazione con permessi autorizzativi, dovranno essere definiti i relativi livelli di autorizzazione e la loro granularità (ad esempio amministratori, super utenti e utenti).
Quanto ai dati personali da utilizzare nella blockchain, occorrerà seguire il principio della minimizzazione ed escludere la loro elaborazione laddove non sia necessaria. Se ciò non potesse essere evitato, si dovranno identificare le tecniche di mitigazione del rischio più opportune, come protocolli a conoscenza zero o metodi di crittografia omomorfica.
Il GDPR non è una lista rigida di passi da seguire. È una normativa che consente a titolari e responsabili del trattamento dei dati di svolgere la propria attività in modo da tutelare i diritti e le libertà degli interessati. La conformità al GDPR può essere misurata caso per caso, solo considerando l’effettiva implementazione della tecnologia attraverso la quale i dati personali vengono canalizzati ed elaborati. Il modo in cui la tecnologia viene implementata per soddisfare un obiettivo è fondamentale per analizzare se tale tecnologia può essere conforme o meno al GDPR.
Immagine fornita da Shutterstock