Introduzione alla Self-Sovereign Identity e GDPR

Torniamo oggi con una nuova guida, che stavolta ha l’obiettivo di affrontare un tema specifico in materia di privacy, digital identity e GDPR.

Cos’è la GDPR?

La privacy e la protezione dei dati personali sono un argomento sempre più importante all’interno del dibattito quotidiano. La crescita di consapevolezza degli “user” ha portato nell’arena politica internazionale la necessità di porre in essere regolamentazioni che mirano a salvaguardare alcuni principi cardine della cultura occidentale: l’importanza della privacy e la tutela della proprietà personale, durante l’epoca dell infosfera.

Una delle più importanti regolamentazioni in tale ambito, soprattutto per noi cittadini Europei, è sicuramente il regolamento (UE) n. 2016/679, che tutti conoscono come GDPR (General Data Protection Regulation). 

Il GDPR è stata sicuramente uno dei regolamenti a livello mondiale più importanti, legato alla protezione dei dati personali. Questo regolamento, attraverso la moltitudine dei suoi articoli, pone in essere un insieme di regole che mirano a fornire una sempre maggiore privacy e controllo verso i dati personali dei cittadini. Nello specifico, il GDPR nasce proprio per rispondere ai macro trend digitali ed alla protezione dei dati personali delle persone fisiche. Il regolamento è infatti specifico nel tutelare i diritti digitali dei cittadini, dei consumatori, ed in generale di tutti coloro che agiscono come “persone naturali” e non come professionisti (ad esempio le imprese o le persone giuridiche). 

Self-Sovereign e GDPR

Nelle precedenti guide vi abbiamo spiegato come invece i modelli di gestione dell’identità digitale non siano andati di pari passo con la regolamentazione… quante volte, solo in questo mese, avete sentito notizie di dati trafugati in episodi di hack o di perdita di dati personali degli utenti da parte di aziende?

Quello sotto è solo un esempio…

Per fortuna, come già abbiamo visto, una possibile soluzione ad alcuni dei problemi che oggi rendono meno “sicuro” il mondo delle identità digitali esiste: la Self Sovereign Identity (SSI).

Permettendo agli utenti di avere il pieno controllo sulla propria identità digitale, la SSI vuole rimettere al centro la necessità di garantire tutti i diritti fondamentali finora dimenticati nella progettazione e realizzazione del web conosciuto. Il principio cardine di questa nuova infrastruttura tecnologica è quello di rendere le persone finalmente “sovrane” dei propri dati personali.

La possibilità di non registrare e custodire nessun dato personale all’interno dei database o registri centralizzati (dove oggi vengono utilizzati maggiormente per detenere i dati personali degli utenti), rende questo nuovo modello di identity management più vicino alle esigenze degli user nel web e, come vedremo, anche per le aziende che si stanno avvicinando finalmente al web. 

Convivenza tra GDPR e Self-Sovereign Identity

I modelli di identità digitale esistenti fino ad oggi non convivono bene con la regolamentazione attuale in materia di dati personali. 

L’arrivo della SSI potrebbe rappresentare una vera e propria rivoluzione in questo caso: i principi di protezione, limitazione e minimizzazione propri del protocollo informatico che compone SSI sono allineati con quelli del GDPR, creati per proteggere e limitare l’utilizzo e il trattamento dei dati personali dei cittadini.

Normalmente, utilizzare la Blockchain per registrare dei dati personali potrebbe essere potenzialmente pericoloso e non allineato ai principi del GDPR. La Blockchain, come ricorderete dalla precedente guida, è infatti un registro immutabile dove i dati possono essere esposti pubblicamente. Ogni tipologia di dato, una volta inserito all’interno di un blocco,  rimanere non modificabili a posteriori ed, inoltre, non può più essere rimosso dalla catena. Queste due caratteristiche, se ci pensate, sono un grande problema; soprattutto quando un cittadino decide di voler eliminare alcuni dei suoi dati personali, per esempio dal web.

Anche Google, come mostrato sotto, per essere allineato alla normativa, permette ora agli utenti di richiedere la cancellazione dei propri dati personali:

Mostriamo ora come a livello generale la Self-Sovereign Identity potrebbe convivere con questa regolamentazione e offrire una soluzione in linea con i principi proposti.

Come definito dall’Articolo 5 del Regolamento, il GDPR è basata su sei principi base relativi alla protezione dei dati personali:

1. Correttezza e trasparenza nel trattamento dei dati personali degli utenti.
2. Limitazione nel trattamento stesso dei dati rispetto alle finalità per il quale sono raccolti: ciò significa che i dati personali degli utenti possono essere utilizzati dalle diverse aziende solo per gli scopi necessari.
3. Minimizzazione dei dati personali trattati. Come sopra, i dati devono essere trattati nel minimo modo possibile in base alle finalità del trattamento;
4. Esattezza ed aggiornamento dei dati personali trattati, tra cui la tempestiva cancellazione di quelli che risultino inutili o errati in base alle finalità del trattamento;
5. Conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
6. Garantire integrità e riservatezza dei dati personali oggetto del trattamento.

Vediamo ora come il concetto di SSI si comporta rispetto a tali principi:

1. 1. Correttezza e Trasparenza: le tecnologie utilizzate dalla SSI permettono agli utenti di conoscere esattamente le modalità attraverso le quali i dati personali vengono inviati verso terze parti.
   2. Limitazione: la SSI permette agli utenti di decidere quali sono i dati che vogliono condividere con le terze parti in relazione in quel momento e quindi conoscere quali sono i dati in mano alle terze parti stesse.
   3. Minimizzazione: la SSI permette di realizzare quello che tecnicamente viene definito come selective disclosure. Ciò significa che l’utente è in grado di inviare solamente i dati necessari, by design.
   4. Aggiornamento: come per la Limitazione, la SSI permette che i dati possano essere verificati da terze parti senza che quest’ultime debbano necessariamente conservarli. In questo modo, i servizi online e le aziende possono essere sicure di aver verificato i dati necessari, senza la necessità di dover preoccuparsi di gestire e proteggere dati personali.
   5. Conservazione: la SSI permette agli utenti di conservare il prima persona le proprie informazioni senza dover riporre fiducia verso terze parti. Si può affermare quindi che la SSI potrebbe portare diversi benefici rispetto alle attuali pratiche di conservazione dei dati per tutti gli stakeholders coinvolti.
   6. Riservatezza: la riservatezza dei dati nell’SSI è permessa grazie alla selective disclosure e al fatto che i dati personali degli utenti possano essere conservati solo in caso di necessità e solo dopo l’approvazione dell’utente stesso.

Attraverso questa analisi in sei punti possiamo affermare che la Self Sovereign Identity si sovrappone perfettamente con i principi di protezione dei dati espressi nel GDPR.

Conclusione SSI e GDPR

Il Regolamento GDPR è parte di un tema molto complesso che riguarda tutte le leggi che mirano a tutelare i dati personali dei cittadini. In questa prima e semplice analisi, abbiamo analizzato la vicinanza tra i principi proposti dalla SSI e quelli proposti dal regolamento europeo. Come evidenziato precedentemente, la SSI sembra poter essere un paradigma davvero interessante sia per proteggere i propri dati personali, sia facilitare le aziende stesse a rispettare il regolamento europeo attraverso che.

Nelle prossime guide il tema sarà ulteriormente espanso, così da cercare di comprendere se davvero, oltre ai principi base della normativa, SSI e GDPR possano davvero convivere.