Blockchain e GDPR: come costruire il rapporto tra legal e tech

Normativa e tecnologia non corrono sempre alla stessa velocità e a volte, addirittura, sono contrastanti; se parliamo di blockchain, soprattutto, il panorama normativo non è chiaro.

In particolare, le questioni relative alla “privacy” disciplinate dal GDPR sono attualmente uno degli argomenti di massima discussione in quanto il paradigma tecnologico, senza specifici accorgimenti in fase di sviluppo (privacy by design) e di implementazione (privacy by default), non permette una compliance secondo normativa.

La domanda, quindi, viene spontanea: quali sono gli aspetti che possono risultare contrastanti tra la blockchain e il GDPR? Vediamone alcuni:

  • i dati personali inseriti nelle blockchain pubbliche sono pubblici e, quindi, il titolare del trattamento non potrebbe avere il giusto controllo sull’accesso, quasi garantendo un possibile data breach;
  • i dati personali inseriti in blockchain non possono essere cancellati, vengono conservati senza limiti e non possono essere modificati, quindi il titolare non potrà rispettare i diritti garantiti agli interessati dal GDPR;
  • regolare con puntualità gli accessi e gli obblighi delle figure privacy (autorizzati, responsabili e, soprattutto, DPO) potrebbe essere molto complesso in quanto nelle blockchain pubbliche tutti i partecipanti al network hanno accesso ai dati e non è chiaro chi può avere le responsabilità, le competenze e il controllo su tali dati;
  • la chiave privata che viene utilizzata dal partecipante per firmare digitalmente in blockchain potrebbe essere considerato dato personale e anche questo dovrebbe essere tutelato secondo i dettami del GDPR;
  • gli smart contracts (si badi bene non sono un contratto, ma un software), quale applicazione della blockchain, permettono l’esecuzione automatica dove questo sia scritto nel loro codice e ciò potrebbe comportare l’obbligo di valutazione d’impatto ex art. 35 GDPR.

Questi sono solo alcuni degli aspetti su cui prestare attenzione, ma ovviamente non sono gli unici. Ai fini di questo articolo è, altresì, opportuno valutare anche gli aspetti positivi della blockchain in rapporto al GDPR.

L’infrastruttura IT della blockchain è tendenzialmente una delle più sicure che si possano trovare attualmente nel panorama tecnologico e questo permette anche di creare delle blockchain GDPR compliance. Come ci si potrebbe chiedere?

Se si pensa di sviluppare una blockchain da zero, ad esempio, ci si dovrebbe in primis rivolgersi a società che hanno già conoscenza del rapport tra blockchain e GDPR e che sono effettivamente in grado di essere nominate responsabili esterni del trattamento ex art. 28 GDPR.

Una volta fatto ciò, oppure istruiti i propri sviluppatori, si potrebbe, alternativamente i) sviluppare una propria blockchain e decidere di inserire i dati personali in apposito database esterno lasciando sulla blockchain solo l’hash delle transazioni, oppure ii) creare una blockchain che tramite la propria infrastruttura permetta di eseguire un comando simile alla cancellazione del dato (ad esempio con crittografia e distruzione delle chiavi i dati rimarrebbero in blockchain, ma non sarebbero ulteriormente consultabili).

Queste sono solamente due (fondamentali) indicazioni per lo sviluppo di una blockchain compliant al GDPR, ma in fase di sviluppo e, soprattutto, di implementazione all’interno della propria realtà imprenditoriale bisognerà gestire al meglio la valutazione dei rischi e la limitazione dei rischi al fine di poter garantire un’adoption sempre più ampia del paradigma tecnologico.

 

Vuoi innovare la tua azienda? Contattaci per una consulenza legal-tech:


Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

Related Posts

28

Set
AB/news

Sanzionato il Comune di Baronissi dal Garante. Attenzione agli albi pretori

Forse i duemila euro di sanzione comminata dal Garante al Comune di Baronissi possono sembrare ben poca cosa rispetto ai limiti massimi degli importi con cui possono essere sanzionate le violazioni del GDPR, ma le motivazioni del Provvedimento dello scorso Luglio fanno riflettere su come, verosimilmente, molte amministrazioni locali debbano rivedere le loro procedure interne, anche per l’effetto del GDPR…[…]