Blockchain e Gdpr, i molti punti di conflitto

Come la tecnologia Distribuited Ledger e il concetto di smart contract confliggono con il Regolamento europeo sulla privacy. Riflettori puntati su immutabilità e decentralizzazione

Pubblicato il 12 Feb 2020

normativa blockchain

Le stesse caratteristiche che rappresentano i vantaggi nell’utilizzo della tecnologia Blockchain possono confliggere con i principi garantiti dal sistema giuridico e di data protection del nostro ordinamento, più in generale di quello europeo. La ragione è insita nella natura stessa della blockchain, ovvero nel registro distribuito e nello smart contract. Il Gdpr (General Data Protection Regulamentation UE 679/2016), difatti, ha origine in un sistema centralizzato, nel quale c’è un soggetto centrale che controlla e tratta i dati personali degli interessati per delle finalità, utilizzando altri soggetti, i responsabili del trattamento. Quindi vi è una sorta di contraddizione tra la blockchain e alcuni principi sanciti dal Gdpr.

Le due peculiarità che rendono questo un rapporto difficile sono quelle di immutabilità e decentralizzazione. L’immutabilità della blockchain, analizzando i principi sanciti dalla normativa 679, come il principio di esattezza e di limitazione di conservazione dei dati personali, crea oggettivamente dei problemi. Questo perché il soggetto che tratta il dato personale deve rispettare determinati requisiti; il primo è il requisito di esattezza, art. 5 co.1 lett del Gdpr, il quale afferma che i dati devono essere sempre esatti e aggiornati. Lo stesso tema è sotteso al principio della limitazione della conservazione.

Dal punto di vista inverso, il soggetto, l’interessato a cui i dati personali si riferiscono può esercitare determinati diritti, l’oblio, la cancellazione.

In una tecnologia ove si impedisce quindi la modifica o la cancellazione dell’informazione troviamo limitazioni normative. In secondo luogo una seconda caratteristica è quella della decentralizzazione: non c’è un soggetto a cui possa essere imputata la titolarità del trattamento. Se il sistema si muove infatti su una serie di nodi geograficamente distribuiti, e il sistema si regge sulla base di un protocollo, senza il funzionamento dell’uomo, è molto complicato individuare i responsabili del trattamento.

Altro tema caldo è il tema del trattamento dei dati personali in compliance con la normativa al di fuori extra UE. Volendo trasferire dati personali extra UE avremmo la necessità che vengano rispettati determinati requisiti: o il paese di destinazione deve essere stato giudicato adeguato dalla Comunità europea oppure devono essere sostanzialmente adottate delle garanzie adeguate quali norme vincolanti di un Paese.

Ma nel momento stesso in cui l’informazione che tendenzialmente può contenere dei dati personali è distribuita in un numero svariato di territori, e non si ha la possibilità di limitare questa distribuzione, ci possono essere diversi punti di frizione con i temi della Privacy.

Ovviamente la tecnologia blockchain non è totalmente incompatibile con il Gdpr, ma il tema della privacy diventa fondamentale e quando si ha a che fare con questa tecnologia bisogna cercare di adottare dei correttivi che possano consentire una gestione più vicina possibile alla compliance normativa e regolamentare.

Per capire meglio le incompatibilità fra blockchain e normativa sulla privacy, ripercorriamo le tappe dello sviluppo di questa tecnologia e le sue caratteristiche peculiari.

Blockchain, l’evoluzione dagli anni Settanta a oggi

La storia della blockchain, detta anche DLT (Distribuited Ledger Technology), che nasce soprattutto come cripto currency, o cripto valuta, può essere fatta ricondurre agli anni Settanta, quando con l’informatica distribuita si inizia a riflettere sull’opportunità di creare uno strumento informatico per trasferire valore monetario. Quello che oggi è conosciuto come home banking, negli anni Settanta i primi programmatori avevano già pensato di crearlo con dei sistemi informatici sui quali venivano registrati i conti, ai quali si poteva accedere attraverso un sistema di autenticazione.

I vari partecipanti al sistema potevano scambiarsi valore economico. La storia della blockchain e della cripto currency possiamo farla iniziare da questa volontà di creare dei sistemi che permettessero di crittografare i conti.

Un primo passo è stato l’introduzione della crittografia, la tecnologia che permette di cifrare o rendere autentico un contenuto. Negli anni Ottanta e Novanta si inizia a utilizzare la crittografia e quindi la firma elettronica per creare degli equivalenti degli assegni che gli utenti potevano scambiarsi con una firma digitale, un sistema di scambio del valore basato sulla firma.

Questi sistemi avevano un grande handicap: il problema del double spending, o meglio l’esistenza di più asset monetari in circolazione, la doppia spendita del tokens, che viene superato in quegli anni attraverso la presenza di un terzo, la banca, un ente centrale che garantisce la sussistenza dei conti e quindi la capienza delle transazioni.

Nel 2008 una persona, forse un programmatore, o un gruppo di persone, sotto il nome di Satoshi Nakamoto, per molti Nick Szabo, pubblica sul sito metzdowd.com il primo protocollo su “The criptography mailing list”, un attestato di nove pagine in cui sono espressi i concetti alla base della blockchain finora discussi, allo scopo di eliminare l’intermediazione attraverso l’immutabilità del ledger, il ledger distribuito e il consenso.

Il registro distribuito, fulcro della Blockchain

La tecnologia e la teoria della DLT partono da questo punto e mirano a creare un sistema equivalente, senza l’esistenza di un controllore centrale, di un intermediario, ad esempio banche o assicurazioni.

Per fare questo introduce due concetti: il registro distribuito (Distributed ledger technology, o DLT), e il consenso. Questi due concetti alla base della tecnologia servono essenzialmente a garantire un sistema di passaggio dall’Internet of information all’Internet of value, non solo di tipo monetario, ma anche in materia di certificazione, di proprietà immobiliare, mobiliare nonché di proprietà intellettuale e conservazione di smart contract, senza un’autorità nel mezzo.

Qual è il principio del distributed ledger? Facciamo un esempio: una banca, per poter verificare il possesso di assets, controlla su un unico database centralizzato e di proprietà. In questo caso vi è un unico ente in possesso delle informazioni.

L’idea del distributed ledger è invece quella di distribuire una copia di questo registro, che si aggiorna velocemente a seconda delle operazioni, a tutti i partecipanti alla blockchain, eliminando l’ente centrale di intermediazione. Grazie a Internet e al concetto di prossimità, la blockchain prende vita, uno strumento che permette di distribuire un’informazione in poco tempo. Il concetto di registro locale può quindi essere distribuito e perciò superato.

Rimane da superare il concetto di trust, cioè di fiducia rispetto al prossimo, quesito sorto anche nei laboratori Microsoft negli anni Ottanta, e superato facendo riferimento al quesito dei generali bizantini attraverso l’utilizzo del consenso.

Il consenso è lo strumento inserito nella blockchain per affrontare la non affidabilità della rete, conosciuto anche come consenso a maggioranza o generale.

Facciamo un passo indietro. La DLT può essere considerata come una banca di dati pubblica, costituita da blocchi, contemporaneamente mantenuta da una pluralità di nodi, o meglio pc collegati tra loro in una rete basata su tecnologia peer-to-peer, senza unità centrale. In particolare, le operazioni che vengono registrate e gestite nel registro digitale costituiscono ciascuna un blocco, un’informazione in versione digitale. Ogni blocco detiene al suo interno diverse informazioni, sia quelle relative alle operazioni che si registrano e alle parti coinvolte, sia gli elementi chiamati hash (funzione che converte un input di lettere e numeri in un output crittografato di lunghezza fissa. Un hash viene creato utilizzando un algoritmo ed è essenziale per la gestione della blockchain in valuta) e timestamp (una sequenza di caratteri che rappresentano una data o un orario certo per accertare un evento). Questi blocchi sono collegati tra loro e sono creati in ordine cronologico, sono immodificabili, difatti la creazione di un blocco deve essere validata da tutti i nodi partecipanti attraverso il consenso.

Ciascun blocco contiene al suo interno una copia esatta di tutti i blocchi, di tutto il ledger. La catena è costituita dai partecipanti, che possono essere semplici utilizzatori o sostenitori, detti miners, nelle blockchain pubbliche.

L’evoluzione del consenso ha determinato la nascita del Pow, Proof of Work, ovvero la costruzione di un meccanismo del consenso basato su un gioco matematico che incentiva i miners, i partecipanti con più alto rendimento computazionale, alla blockchain, a competere tra loro per l’elaborazione degli scambi ricevendo in cambio una ricompensa, una fee.

La Pow difatti si basa sul concetto della remunerazione attraverso la stessa moneta su cui si basa la blockchain. Questo meccanismo ha fatto si che la blockchain, a dieci anni dalla sua nascita, non abbia subito alcuna frode reale. Di fatto grazie alla remunerazione dei soggetti che investono energia nell’elaborare l’affidabilità della rete, è la rete stessa che viene mantenuta ed elaborata. La blockchain è perciò un meccanismo che permette di creare un sistema di registrazione affidabile in una rete di persone che non si fidano tra loro, assicurato dalle stesse persone dal rischio di frode e che determina una remunerazione ai partecipanti a fronte di un esercizio, il mining.

Nel protocollo della blockchain, la remunerazione che viene data è creata al momento. Nella rete bitcoin, ad esempio, la moneta si crea con la partecipazione degli utenti. La blockchain è il primo strumento informatico che crea oggetti di valore che non rappresentano un valore esterno. È stato quindi generato un meccanismo per creare monete che hanno valore intrinseco non rappresentativo, attraverso la volontà di creare un sistema di transazioni che non avesse una autorità intermedia.

La blockchain inoltre non richiede agli utenti di registrarsi, concedendo un alto livello di anonimato.

Il consenso dunque determina la divisione delle blockchain in due macrocategorie: permissioned e permissionless, mentre è alla base delle blockchain pubbliche, nelle blockchain permissioned e prende un ruolo secondario.

La blockhain cosiddetta permissioned si definisce anche privata; la sua peculiarietà consiste nell’avere un unico validatore, un solo nodo a validare i nuovi blocchi e la possibilità di scaricare il software è ristretta a pochi; in caso diverso, troviamo il consortium blockchain, ove un gruppo di validatori chiuso può convalidare, lasciandosi alle spalle il principio di consenso generale e abbracciando il principio di consenso centralizzato.

Il tema dell’immutabilità è molto forte nella blockchain pubblica, nel contesto in cui lo stesso protocollo tecnologico viene utilizzato da una realtà controllata, i partecipanti della comunità possono decidere di alterare il contenuto. Quindi nelle blockchain private il consenso può essere a maggioranza, se la maggioranza o il proprietario della blockchain vuole alterare un contenuto può farlo.

Utilizzi della blockchain: immutabilità e decentralizzazione

Al fine di comprendere gli svariati utilizzi della blockchain dobbiamo analizzarne alcune caratteristiche. Tra le principali la prima è l’immutabilità: ciò che viene impresso, scritto, nella catena non può essere più modificato.

Altra caratteristica decisamente importante è la decentralizzazione, perché è un sistema decentralizzato. La blockchain può essere uno strumento per interagire tra parti senza avere un’autorità a garanzia, ma distribuendo la fiducia attraverso i meccanismi del consenso.

Una terza caratteristica è l’audit ability, la trasparenza; difatti la blockchain prevede un registro distribuito tra tutti gli utenti, a meno che non si voglia nascondere il contenuto, tendenzialmente il contenuto è accessibile in modo autonomo a tutti i partecipanti.

L’utilizzo della blockchain non si limita solo all’aspetto finanziario, ma si rivela particolarmente efficace per la registrazione dei beni, la certificazione di prodotti, per la gestione dei diritti di proprietà intellettuale, se si ha quindi esigenza di anti-tampering, di registrare in modo da non far manomettere l’informazione, creare un’interazione tra soggetti che non si fidano, per tracciare storicamente le informazioni, senza un soggetto centrale, di intermediazione.

Tra i vari usi uno degli esempi più lampante è quello di poter tracciare gli spostamenti di proprietà o di possesso degli assets, per la certificazione produttiva, della supply chain (es carrefour con blockchain privata).

La sicurezza della blockchain in 5 punti

La blockchain è un sistema trustless trust, la fiducia è riposta nei membri partecipanti.

Per avere un quadro più chiaro cinque punti chiave:

  • Going trustless: più nodi di convalida prevengono i problemi bizantini e accertano transazioni sicure;
  • Deregulating authority: prevede un mining distribuito per convalide simultanee garantite dalla teoria dei giochi;
  • Ubiquity: le blockchain sono facilmente accessibili grazie a una connessione Internet;
  • Highly-scalable P2P: le blockchain eliminano l’intermediazione;
  • Programmable and automable: autorità decentralizzata tramite contratto intelligente; transazioni automatizzate garantite P2P.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 5