blockchain e gdpr: soluzioni di data protection by design

La blockchain è un data base di nuova generazione non compliant al gdpr in quanto questa nuova normativa, entrata in vigore il 25mag2018, risulta già vecchia perché difficilmente applicabile a data base distribuiti. La blockchain è un db distribuito immutabile e l’immutabilità non si concilia col diritto all’oblio ed il diritto alla rettifica dei dati personali.

Il GDPR sembra imperniato sul concetto di data base centralizzato, un sistema con restrizioni e possibilità di modifiche nonchè controllato da un identificabile data controller. Situazione diametralmente opposta a quella dei sistemi distribuiti.

Esistono soluzioni di privacy by design utili, applicabili almeno nel caso di blockchain private (permissioned), per ottemperare al Regolamento.

Inoltre, in un sistema distribuito ed open (blockchain pubblica), ogni utente è data controller per sé e data processor per gli altri. Altro punto di attrito col gdpr è il trasferimento dei dati all’estero poiché gli utenti possono trovarsi in qualsiasi Paese del mondo, nonché avere qualsiasi nazionalità. La pluralità di data controller, sparsi in ogni luogo del mondo, è anche d’ostacolo all’applicazione di eventuali sanzioni. Infine, in una situazione del genere, risulta impossibile nominare un dpo (data protection officer).

Vediamo, a livello di data protection by design, con quali accorgimenti si possa adattare la blockchain al regolamento 679/2016 (Gdpr).

E’ prima necessario distinguere fra 2 tipi di blockchain, pubblica e privata.

Le blockchain pubbliche sono open, non hanno un proprietario e tutti gli utenti controllano tutti i dati presenti nel data base. Caso paradigmatico è la blockchain alla base della criptovaluta Bitcoin.

Le blockchain private invece hanno un numero ristretto di utenti deputati alla validazione. Costoro decidono se il dato vada o meno registrato nella blockchain.

Questa dicotomia e gli elementi già evidenziati, rendono chiara la difficoltà di avere una blockchain pubblica che sia compliant.

Nel caso di blockchain privata, sarebbe possibile effettuare due interventi:

una blacklist di utenti che non possono vedere determinati dati;

registrare nella blockchain link ad una tabella esterna contenente i dati. Il diritto alla cancellazione o alla rettifica sarebbe possibile modificando la tabella esterna. In caso di cancellazione, il link contenuto nella blockchain punterà ad un dato non più disponibile.

 

Copyright: Andrea Gandini www.dottorgandini.it

Il testo è riproducibile solo integralmente, senza fine di lucro, senza modifiche e citando l’autore e questo sito.

Disclaimer: questo testo non è da intendersi come consulenza. Le normative sono soggette a modifiche nel tempo e vanno sempre verificate. Non ci assumiamo responsabilità in caso di applicazione di quanto descritto.