Il GDPR (Regolamento UE 2016/679), ossia la normativa europea in materia di protezione dei dati personali, per prevenire il verificarsi di possibili violazioni, all’art. 25 introduce i principi della privacy by design e privacy by default.
In cosa consistono i principi della privacy by design e privacy by default ?
L’applicazione del principio della privacy by design comporta che le aziende e le pubbliche amministrazioni avviino i loro progetti introducendo sin dalla loro progettazione gli strumenti a tutela dei dati personali.
La privacy by default, invece, impone al titolare del trattamento di mettere in atto “misure tecniche e organizzative adeguate, per garantire che siano trattati, per impostazione predefinita, di default, appunto, solo i dati personali necessari per ogni specifica finalità del trattamento”.
In particolare, la protezione di default riguarda: la quantità dei dati raccolti; l’estensione del trattamento; il periodo di conservazione; l’accessibilità.
Le impostazioni di privacy by default garantiscono che l’utilizzo di determinati dati sia eseguito dall’utente seguendo una scelta già impostata dal sistema, in automatico, pur residuando la possibilità per quest’ultimo di modificare le impostazioni già previste.
La tecnologia blockchain può essere considerata un sistema di privacy by design?
Negli ultimi tempi, si discute sulla possibilità di considerare la tecnologia blockchain in linea con il principio della privacy by design per le sue caratteristiche peculiari.
Nel dettaglio, infatti, le blockchain sono:
– decentralizzate e distribuite, dunque, molto meno attaccabili da parte di cyber-criminali;
– pubbliche e trasparenti, poichè le informazioni sulle transazioni sono pubbliche ed accessibili da parte di chiunque.
Inoltre, le blockchain fanno ampio uso della crittografia per tutelare l’identità ed i dati personali e sfruttano il meccanismo delle ricompense ai miner, ossia coloro che controllano il funzionamento corretto della blockchain e delle transazioni che avvengono su di essa, garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni.
Dunque, mentre di solito sul web se un utente concede il consenso al trattamento dei propri dati, di fatto, non ha poi il controllo su ciò che succede dopo e su come effettivamente essi siano utilizzati ed elaborati, al contrario, il sistema blockchain consente di poter tracciare lungo tutta la catena distribuita dove e come sono usate le informazioni oggetto di una transazione.
Quali problemi comporta l’adozione di questa tecnologia?
Questa tecnologia, pur avendo notevoli aspetti positivi, presenta, tuttavia, ancora alcuni interrogativi in campo di applicazione del GDPR.
In particolare, il carattere distribuito, decentralizzato e la condizione di pseudo-anonimato dei partecipanti, rende non sempre immediata l’individuazione del titolare del trattamento con riferimento alle blockchain di tipo permissionless, ossia quelle di tipo pubblico con struttura aperta e concepita per non essere controllata.
Inoltre, un altro rilievo attiene le modalità di cancellazione dei dati in caso di esercizio del diritto all’oblio da parte di un utente.
La distruzione della chiave crittografica potrebbe essere una delle soluzioni possibili, se eseguita in maniera conforme alle pratiche informatiche idonee ed in modo verificabile, ma occorre attendere al riguardo ulteriori linee guida da parte del Garante per la protezione dei dati.
Ci si trova, infatti, dinanzi ad una tecnologia in continua evoluzione che necessita lo sviluppo standard internazionali e prassi comuni da adottare per garantirne un corretto utilizzo.
Articolo a cura della Dott.ssa Camilla Marotta