Blockchain: quali sono i limiti in fatto di privacy?
In occasione del decimo anniversario dell’”invenzione” di Satoshi Nakamoto, abbiamo davvero bisogno di parlare ancora di Bitcoin? Secondo Kasperky Lab ha ancora senso e, in occasione di questo compleanno tecnologico, la software house russa ha voluto concentrarsi su un aspetto di questa tecnologia non ancora sufficientemente approfondito: la privacy.
La base della blockchain (ogni transazione è aggiunta alla cronologia e scritta in “blocchi”) si è ritorta contro molti cybercriminali. Il grande successo nel rintracciare gli esecutori materiali di un cybercrimine dipende dal fatto che le loro transazioni rimangono registrate per sempre nella blockchain. Emerge, quindi, un’importante domanda: perché le autorità di regolamentazione finanziaria non hanno ancora implementato l’uso delle criptomonete?
A volte la totale chiarezza non sempre è la benvenuta e, come esempio, considerate un attimo il tema privacy. Questo diritto umano fondamentale è protetto gelosamente dalle leggi di molti Paesi. In Europa, ad esempio, il Regolamento Generale per la protezione dei dati (GDPR) stabilisce che ogni persona ha diritto di ritirare il consenso in qualsiasi momento e in modo permanente all’uso dei dati personali o persino richiedere la cancellazione di questi dati condivisi con le aziende. Come si può conciliare questo atteggiamento con la registrazione permanente nella blockchain?
Kaspersky Lab prende come esempio la startup MedRec, che grazie alla blockchain consente ai medici di accedere ai dati dei pazienti che si trovano su diversi sistemi di storage in locale. Ovviamente è necessario il consenso del paziente, ma cosa succede se il paziente cambia idea? A essere precisi, i dati dei pazienti non sono mantenuti nella blockchain in sé, all’interno della quale sono invece presenti informazioni che riguardano il rapporto medico-paziente.
Tuttavia, i cittadini della UE dovrebbero avere la possibilità di revocare il permesso di usare anche questo genere di informazioni e ciò non è possibile, a meno che questi dati vengano custoditi in una blockchain privata. Vale la pena sottolineare che, se il settore sanitario dovesse sposare questo approccio, i referti medici dovrebbero essere custoditi nella blockchain pubblica, in quanto uno degli elementi fondamentali per che fanno propendere per questo sistema è proprio la sua interoperabilità.
Un altro esempio viene dal settore dell’istruzione. L’università di Nicosia, Cipro, è stata la prima istituzione educativa ad accettare bitcoin per il pagamento dei corsi online. E ha fatto un passo in più, inserendo nella blockchain i certificati dei corsi completati dagli studenti.
In questo modo, chiunque abbia l’informazione specifica (l’hash) fornita dal proprietario del certificato potrà verificare se ha completato il corso in questione. Il registro è stato creato in modo da contenere solo l’hash ed è difficile invertirlo se non si è il diretto interessato. Ciò significa che, in quanto a pseudonimia, siamo più o meno agli stessi livelli dei Bitcoin. Come è stato evidenziato all’inizio dell’articolo, questo sistema è utile rintracciare i cybercriminali.
In realtà, aver completato un corso online potrebbe non essere considerato da alcuni un vero e proprio dato personale. Non entriamo nella questione, ma vale la pena sottolineare che la definizione di dati privati o non privati si evolve nel tempo e, invece, ciò che si trova nella blockchain rimarrà lì per sempre.
Alcune startup sono andate oltre, proponendo servizi extra per le Risorse Umane. L’idea principale è quella di offrire ai responsabili delle assunzioni le informazioni dei candidati verificate da un distributed ledger. Tali dati, compresi dettagli molto personali quali esperienze personali, lavori svolti in precedenza e traguardi raggiunti, non potrebbero essere cancellati se il candidato decidesse di ritirare il proprio consenso all’uso di queste informazioni. Per fortuna sembra che questo tipo di startup stia sparendo dalla circolazione, anche se non ci stupiremmo se idee di questo tipo si ripresentassero in seguito o in qualche altra forma.
Ricapitolando, l’idea di ciò che può essere considerata informazione personale e cosa non lo è evolve nel tempo, di pari passo con il settore IT. Al giorno d’oggi abbiamo una definizione legale di ciò che sono le cosiddette “informazioni personalmente identificabili”, il che è un buon punto di partenza. Tuttavia, quando la blockchain viene applicata per risolvere problemi che coinvolgo aziende e business, non dobbiamo mai dimenticare che la privacy è un diritto umano fondamentale.
Se i vostri dati si trovano su vari computer, come possono essere considerati privati? E se né voi, né un’altra persona in particolare avete il controllo diretto su questi computer, cosa si deve fare per rimuovere questi dati? La blockchain è utile in molte situazioni ma non in tutte e se ci sono dati personali che non possono essere eliminati, allora siamo davvero agli antipodi della privacy.