Blockchain: compatibile con la privacy?

31 Ott 2018

In occasione del decimo anniversario del documento di Satoshi Nakamoto, abbiamo davvero bisogno di parlare ancora di Bitcoin? Credo proprio di sì e oggi mi concentrerò su un aspetto di questa tecnologia non ancora sufficientemente approfondito: la privacy.

La base della blockchain (ogni transazione è aggiunta alla cronologia e scritta in “blocchi”) si è ritorta contro molti cybercriminali. Il grande successo nel rintracciare gli esecutori materiali di un cybercrimine dipende dal fatto che le loro transazioni rimangono registrate per sempre nella catena di blocchi. Emerge, quindi, un’importante domanda: perché le autorità di regolamentazione finanziaria non hanno ancora implementato l’uso delle criptomonete?

A volta, la totale chiarezza non sempre la benvenuta, prendete ad esempio il tema privacy. Questo diritto umano fondamentale è protetto gelosamente dalle leggi di molti paesi. In Europa, ad esempio, il Regolamento Generale per la protezione dei dati (GDPR) stabilisce che ogni persona ha diritto di ritirare il consenso in qualsiasi momento e in modo permanente all’uso dei dati personali o persino richiedere la cancellazione di questi dati condivisi con le aziende. Come si può conciliare questo atteggiamento con la registrazione permanente nella blockchain?

Facciamo un esempio: di recente abbiamo sentito parlare della startup MedRec, che consente ai medici di accedere ai dati dei pazienti che si trovano su diversi sistemi di immagazzinamento in locale, grazie alla blockchain. Ovviamente, è necessario il consenso del paziente… ma cosa succede se il paziente cambia idea?

A essere precisi, nella proof of concept i dati dei pazienti non sono mantenuti nella blockchain in sé, nei blocchi sono presenti informazioni che riguardano il rapporto medico-paziente. Tuttavia, i cittadini della UE dovrebbero avere la possibilità di revocare il permesso di usare anche questo genere di informazioni e ciò non è possibile, a meno che questi dati vengano custoditi in una blockchain privata. Vale la pena sottolineare che, se il settore sanitario dovesse sposare questo approccio, i referti medici dovrebbero essere custoditi nella blockchain pubblica, in quanto uno degli elementi fondamentali per che fanno propendere per questo sistema è proprio la sua interoperabilità.

Un altro esempio viene dal settore dell’istruzione. L’università di Nicosia, Cipro, è stata la prima istituzione educativa ad accettare bitcoin per il pagamento dei corsi online. E hanno fatto un passo in più, inserendo nella blockchain i certificati dei corsi completati dagli studenti.

In questo modo, chiunque abbia l’informazione specifica (l’hash) fornita dal proprietario del certificato potrà verificare se ha completato il corso in questione. Il registro è stato creato in modo da contenere solo l’hash, ed è difficile invertirlo se non si è il diretto interessato, il che vuol dire che, in quanto a pseudonimia, siamo più o meno agli stessi livelli dei bitcoin. Come è stato evidenziato all’inizio del post, questo sistema è utile rintracciare i cybercriminali.

In realtà, aver completato un corso online potrebbe non essere considerato da alcuni un vero e proprio dato personale. Non entriamo nella questione, ma vale la pena sottolineare che la definizione di dati privati o non privati si evolve nel tempo e, invece, ciò che si trova nella blockchain rimarrà lì per sempre.

Alcune startup sono andate oltre, proponendo servizi extra per le Risorse Umane. L’idea principale è quella di offrire ai responsabili delle assunzioni le informazioni dei candidati, verificate da un distributed ledger. Tali dati, compresi dettagli molto personali quali esperienze personali, lavori svolti in precedenza e traguardi raggiunti, non potrebbero essere cancellati se il candidato decidesse di ritirare il proprio consenso all’uso di queste informazioni. Per fortuna, sembra che questo tipo di startup stia sparendo dalla circolazione, anche se non mi sorprenderei se idee di questo tipo si ripresentassero in seguito o in qualche altra forma.

Ricapitolando, l’idea di ciò che può essere considerata informazione personale e cosa non lo è, evolve nel tempo, di pari passo con il settore IT. Al giorno d’oggi abbiamo una definizione legale di ciò che sono le cosiddette “informazioni personalmente identificabili”, il che è un buon punto di partenza. Tuttavia, quando la blockchain viene applicata per risolvere problemi che coinvolgo aziende e business, non dobbiamo mai dimenticare che la privacy è un diritto umano fondamentale.

Se i miei dati si trovano su vari computer, come possono essere considerati privati? E se né io, né un’altra persona in particolare ha il controllo diretto su questi computer, cosa devo fare per rimuovere questi dati? La blockchain è utile in molte situazioni, ma non in tutte, se ci sono dati personali che non possono essere eliminati, allora siamo agli antipodi della privacy.