© 2023 Studio Emme della dott.ssa Mariangela Moretto p.i. 02435900747

  • Grey LinkedIn Icon
  • Grey Twitter Icon
  • Grey Facebook Icon
LOGO-NAZIONALE.png
Please reload

Post recenti

Partecipa alla nostra campagna professionale 2020!

November 18, 2019

1/2
Please reload

Post in evidenza

Risolvere il braccio di ferro tra GDPR e Blockchain.

September 13, 2019

Con il Blog della scorsa settimana, https://www.emme-studio.it/single-post/2019/09/06/Il-braccio-di-ferro-tra-GDPR-e-Blockchain, abbiamo posto in evidenza le seguenti tre fonti di tensione tra DLT (Data Ledger Technology) ossia, alla mano, “blockchain” e il Regolamento UE sulla privacy n. 679/2016, detto amichevolmente il “GDPR”:

  1. Identificare o anche solo reperire il titolare del trattamento dei dati, fiore all’occhiello della DLT ma che piace poco al GDPR in particolare al suo art. 29;

  2. Immutabilità dei dati aggiunti alla blockchain, ragion d’essere della DLT ma in senso contrario anche quella del GDPR che all’art.16 sancisce il diritto di rettifica dei dati;

  3. Impossibilità di cancellazione dei dati aggiunti alla blockchain, dogma  della DLT difficile da conciliare con il “diritto all’oblio” riconosciuto senza se e senza ma dal GDPR all’art.17.

 

Per volgere gli occhi nella direzione delle possibili soluzioni anziché voltare le spalle, dobbiamo renderci conto da subito che alla tecnologia blockchain non è possibile mettere mano in alcun modo, a seguito dei danni incommensurabili che cagioneremmo sulla sorte degli utilizzi delle DLT fino ad oggi, tra cui la validità degli “smart contract” e  la possibilità di certificare in modalità elettronica la data (art. 41 Regolamento UE n. 910/2014) dei documenti memorizzati sulla blockchain.

 

In quest’ottica, Il Parlamento Europeo suggerisce di lavorare sull’interpretazione al passo coi tempi di alcuni principi del GDPR ed all’implementazione di un codice di condotta; una policy che in passato ha già trovato riscontro con la WP29, nella fattispecie dei servizi di archiviazione dati con tecnologia “Cloud”, detta alla buona e giusto per fare un esempio, la nuvoletta bianca del nostro telefonino in cui abbiamo memorizzato le nostre foto, la rubrica, la carta di credito, e tanti altri dati.  Il WP29 è stato infatti chiamato ad esprimere un parere sul codice di condotta fornito nell’anno 2015 dal Cloud Select Industry Group (C-SIG), il che sarebbe un buon punto di partenza a cui riferirsi per rendere compatibile DLT e GDPR.

 

Altri elementi fondamentali saranno forniti dalla ricerca multidisciplinare, tra cui nel contesto della European Blockchain Partnership (EBP) fondata nell’aprile del 2018 e nel 2019 la International Association for Trusted Blockchain Applications (INATBA). Avrà notevole risalto l’attività di studio in Italia con oggetto lo sviluppo dell’ecosistema blockchain italiano. Lo studio, finanziato dal MiSE, si focalizzerà sulle implicazioni di questa tecnologia emergente su startup e piccole e medie imprese italiane, in quanto ogni categoria di stakeholder del sistema dovrà adottare una propria policy.

 

Ma quali potrebbero essere le soluzioni di tipo tecnico da mettere subito in gioco utilizzando strumenti già noti e disponibili?

Essenzialmente ne abbiamo due, vediamo brevemente quali:

- La crittografia, a volte nota come cifratura, consente di rendere segreta un’informazione a chi non possegga la chiave necessaria per decifrarla. In particolare, è possibile adottare un sistema di doppia chiave pubblica e privata. Vediamo questa tecnica da vicino: esiste sia una chiava pubblica, conosciuta da tutti, che serve a criptare un messaggio, che una chiave privata necessaria a decifrare l’informazione, la quale è conosciuta soltanto dalla persona autorizzata. Così facendo, chiunque può vedere il passaggio o l’archiviazione di un dato, ma non è in grado di decifrarlo senza la chiave privata.

In questo modo è possibile inserire all’interno della blockchain un dato crittografato, leggibile soltanto da chi possiede la chiave per decifrarlo e pertanto la distruzione di questa chiave equivarrebbe alla cancellazione del dato, con tanto di conformità della DLT al GDPR, anche in termini di modificabilità del dato, essendo la sua l’eliminazione di fatto una rettifica.

 

- La pseudonimizzazione, questa è una soluzione che tuttavia presenta un punto di debolezza, infatti consiste nell’attribuire i dati trattati non ad un interessato identificato ma ad uno pseudonimo e per ricondurre i dati alla persona sono necessarie delle informazioni aggiuntive da conservarsi separatamente. Ne consegue, purtroppo, che sarebbe sufficiente alterare le informazioni contenute al di fuori della blockchain per compromettere anche quelle al suo interno. Se non necessità il pieno rigore della catena a blocchi, questa resta comunque una soluzione valida per poter fruire dei pregi della DLT in chiave compliance GDPR.

Arrivati fin qui avrete ben capito che tutti i ragionamenti fatti possono essere ricondotti ad un fattore comune e cioè che la tecnologia blockchain non permette di tornare sui propri passi nell’ambito delle scelte tecniche e delle policy adottate.

 

Quindi, è più che mai indispensabile dare applicazione al principio di “Privacy by design”.

Con il termine "Privacy by design", ci riferiamo a quanto il Regolamento Europeo con l’art. 25 abbia voluto richiamare l'attenzione dei titolari sull'esigenza che la protezione dei dati personali venga garantita "fin dalla progettazione". A questo proposito, il titolare del trattamento dei dati personali deve adottare le misure tecniche e organizzative idonee a dare concreta attuazione a quelle che sono le disposizioni e i principi in materia di protezione dei dati e garantire in questo modo i diritti degli interessati.

 

In particolare, è consigliabile effettuare una Data Protection Impact Assessment (DPIA) prima di iniziare qualsiasi nuovo progetto che utilizzi la tecnologia blockchain.

Al riguardo di Data Protection Impact Assessment (DPIA) vi parlerò nel prossimo blog.

 

 

 

Share on Facebook
Share on Twitter
Please reload

Seguici