L’introduzione della GDPR può mettere fuorilegge la Blockchain?

scritto da il 29 Maggio 2018

Oramai tutti sappiamo che il 25 maggio 2018 ha rappresentato il “giorno del giudizio” almeno per il garante della privacy. Infatti è entrato in vigore il famoso GDPR di cui numerosi autori si sono occupati, una novità che sicuramente non è sfuggita a chi, come spesso capita, trovandosi iscritto a diverse newsletter o servizi di informazione in generale, ha registrato un notevole traffico sulla propria casella email di comunicazioni provenienti perfino da mittenti o servizi di cui si scordava l’esistenza.

Diversi gli stili utilizzati e la richiesta, talvolta, di azioni quali confermare di essere proprio sicuri di voler ricevere informazioni (utili) in futuro, hanno probabilmente creato un certa confusione tra gli utenti. Il messaggio che sembra comune a tutte le email ricevute recita la medesima attestazione: “tu sei proprietario dei tuoi dati personali”. Fin qui pare legittimo, anche se qualcuno potrebbe obiettare che, in caso di ricezione di messaggi pubblicitari non graditi, la responsabilità sia da attribuire all’utente che non si è attivato per mettere in atto una serie di modifiche ai settaggi del proprio account online.

L’aggiornamento dei termini di servizio e delle connesse privacy policy ha comportato, per tutti i siti web interessati, una serie di adempimenti normativi di vario genere. Un onere certamente di carattere formale ma anche sostanziale in quanto ha avuto delle implicazioni di tipo tecnologico. Si pensi ad esempio alla necessità di profilare in maniera più dettagliata le preferenze degli utenti e la possibilità di modificarle in futuro.

Con il GDPR il Regulator ha cercato di disciplinare e tutelare un patrimonio non tangibile ma di immenso valore economico quale quello dei dati personali.

data_economy_value

Tuttavia, c’è un aspetto da considerare. La tecnologia è veloce, mutevole, e stare al passo con i cambiamenti tecnologici non è semplice per il legislatore. Pensiamo al dibattito ancora in corso sull’utilizzo dei Bitcoin e più recentemente con il diffondersi delle ICO (Initial Coin Offer).

Focalizziamoci però sulla “tecnologia” sottostante alle cripto-monete: la Blockchain. Nata già nel 2008 rappresenta oggi un nuovo paradigma nell’ambito della così detta “Digital Transformation” di cui sviluppi ed impatti sulla crescita appaiono di notevole interesse, come sostenuto in più occasioni dal think tank Smart Institute.

In particolare, si è detto che una delle caratteristiche o se vogliamo dei vantaggi competitivi della Blockchain è rappresentata dal livello di sicurezza connesso alla sua immodificabilità dei dati contenuti in essa.

Per questo, la domanda che si pone è la seguente, se i dati della Blockchain non possono essere cancellati, l’utilizzo di questa tecnologia può risultare illegale?

La Blockchain rappresenta un nuovo paradigma in quanto proprio il suo funzionamento si basa sulla novità che nessuna autorità governativa può rivendicare un controllo delle informazioni registrate, infatti viene definito un database distribuito. Tutti i blocchi di informazione, che includono anche i dati personali, non possono essere cancellati, per cui appare non possibile esercitare i diritti garantiti dal quadro normativo della GDPR. Dunque la Blockchain non è compatibile con la nuova policy?

Tale interrogativo solleva peraltro il vero problema di fondo, sovente il Regulator interviene affidandosi allo specchietto retrovisore piuttosto che al parabrezza. Assistiamo ancora una volta alla doppia velocità, quella lenta del quadro regolamentare rispetto alla velocità dei cambiamenti tecnologici.

“Technology shifts, pivots and morphs at a speed much greater than laws and regulations are designed to move.”

Anne Toth (Head of Data Policy, WEF).

Va detto però che non per questo dobbiamo cedere sull’importanza dei principi di responsabilità e accountability, in particolare con riferimento all’utilizzo dei dati personali per fini illeciti.

Sicuramente l’approccio corretto da seguire deve prevedere un’ampia cooperazione tra più soggetti, nel difficile processo di creazione delle policy.

Il Regulator, in altri termini, deve essere tanto smart quanto le tecnologie che vuole regolare!

Twitter @pasqualemerella