Articolo di May Pang, Chief Compliance Officer
Quando i protocolli DeFi si confrontano con il diritto all’oblio del GDPR e quando le piattaforme NFT affrontano il diritto di cancellare dati del CCPA, l’industria blockchain vive una feroce collisione tra l’ideale della decentralizzazione e la realtà della regolamentazione. Secondo un rapporto di Chainalysis, le sanzioni imposte alle aziende blockchain globali per problemi di conformità alla privacy sono aumentate del 240% su base annua nel 2023.
Questo articolo analizza come i progetti blockchain possono costruire competitività in termini di conformità nell’era del Web3. Con la crescente importanza delle problematiche legate alla privacy dei dati, il CCPA della California, il PIPL della Cina e il GDPR dell’UE sono diventati tre regolamenti emblematici. Anche se tutti e tre mirano a proteggere i dati personali, le loro specificità e i requisiti sono significativamente diversi.
Confronto tra Normative
In termini di ambito di applicazione, il CCPA si applica solo ai residenti in California, mentre il PIPL e il GDPR hanno un effetto extraterritoriale, coprendo i casi in cui i dati dei cittadini del paese vengono trattati all’estero.
In termini di diritti fondamentali, il GDPR è il più completo, concedendo agli utenti il diritto all’oblio e il diritto alla portabilità dei dati; il PIPL enfatizza il diritto di controllare l’intero processo di elaborazione dei dati; il CCPA si concentra sul diritto di essere informati e sul diritto di rinunciare.
Nel trasferimento di dati transfrontaliero, il PIPL ha requisiti più severi e richiede valutazioni o certificazioni di sicurezza; il GDPR si basa su strumenti standardizzati; mentre il CCPA non prevede restrizioni speciali.
Sono notevoli anche le differenze nelle misure di conformità: sia il PIPL che il GDPR richiedono la localizzazione dei dati o la valutazione transfrontaliera, mentre il CCPA si concentra maggiormente sulla trasparenza.
Il Paradosso dell’Immutabilità e del Diritto di Cancellazione
La caratteristica principale della blockchain, ossia la sua immutabilità, ne costituisce la pietra angolare come macchina di fiducia. Tuttavia, questa proprietà è in conflitto diretto con il diritto all’oblio previsto dalle tre principali normative sulla privacy. Quando gli utenti richiedono la cancellazione dei dati, la funzione del registro blockchain, che serve solo per aggiungere e non per cambiare, porta a difficoltà di conformità. Come bilanciare l’immutabilità dei dati con il diritto legale alla cancellazione?
Di seguito sono esplorate alcune soluzioni tecniche:
1.1 Rete di Sovereignty dei Dati degli Utenti: Ceramic Protocol
L’idea centrale è separare i dati sensibili dalla blockchain, memorizzando solo gli hash e gestendo i dati originali dall’utente. Attraverso il protocollo Ceramic, i dati vengono archiviati in una rete di archiviazione decentralizzata (come IPFS), e la chiave privata è controllata dall’utente.
1.2 Cancellazione Logica: Arweave+ZK-Rollup
Un esempio reale è la rimozione di NFT infrattori da parte di Immutable X. L’idea centrale è memorizzare fisicamente i dati, ma ottenere invisibilità logica attraverso la prova a conoscenza zero (ZKP).
1.3 Permessi Dinamici su Catene di Consorzio: Dataset Privati di Hyperledger Fabric
L’idea centrale è controllare la visibilità dei dati tramite permessi dei nodi in una catena autorizzata.
1.4 Layer Privacy Programmabile: Meccanismo di Opt-Out di Aleo
L’idea centrale è supportare la divulgazione selettiva con intervento normativo rispettando la protezione della privacy.
Equilibrio tra Anonimizzazione e KYC
Le tre principali normative sulla privacy al mondo presentano requisiti rigorosi per l’anonimizzazione dell’elaborazione delle informazioni personali. Allo stesso tempo, le normative anti-riciclaggio (AML) richiedono anche la verifica KYC. Come può l’industria blockchain trovare un equilibrio tra queste due esigenze contraddittorie?
Ecco tre soluzioni innovative:
2.1 ENS + Identità Decentralizzata (DID): Divulgazione dell’Identità Controllabile
L’idea centrale è utilizzare il servizio di nomi di Ethereum (ENS) come identificatore di identità leggibile per evitare l’esposizione diretta del nome reale.
2.2 Polygon ID: Prova a Conoscenza Zero (ZKP) per Minimizzare il KYC
La tecnologia utilizza prove a conoscenza zero per consentire agli utenti di dimostrare di soddisfare i requisiti senza rivelare informazioni personali.
2.3 Circle TRUST Framework: Il Compromesso tra Conformità degli Stablecoin e Privacy
Il TRUST è un protocollo di conformità che consente ai VASPs di condividere i dati KYC in modo sicuro, senza esporli al pubblico.
Contratti Intelligenti e Diritti dei Soggetti dei Dati
Tutte e tre le normative sottolineano che gli individui, in quanto soggetti ai dati, hanno il diritto di decidere sulle proprie informazioni. Tuttavia, molti attuali progetti blockchain non possono ancora liberarsi dalla governance neutra.
Due soluzioni considerate includono:
3.1 Aave Introduce il Meccanismo di Valutazione dell’Impatto sulla Protezione dei Dati (DPIA) per il Voto DAO
Il DPIA è un processo di valutazione obbligatorio che richiede alle aziende di valutare gli impatti sulla privacy prima di elaborare dati ad alto rischio.
3.2 Filecoin Implementa la Gestione Automatizzata del Ciclo di Vita dei Dati
Il principio di limitazione della conservazione dei dati del GDPR richiede che i dati vengano conservati solo quando necessario, e Filecoin può realizzare la cancellazione automatica tramite contratti intelligenti.
Svolta nel Trasferimento Transfrontaliero del PIPL
Con l’implementazione ufficiale della Legge sulla Protezione delle Informazioni Personali (PIPL), l’ambiente normativo per i flussi di dati transfrontalieri ha subito cambiamenti fondamentali.
Innovazioni tecnologiche e pratiche di conformità adottate dalle aziende blockchain cinesi includono:
4.1 Modello di Sandbox Regolatoria della Changan Chain
La Changan Chain ha proposto un design architettonico a due livelli di catena principale domestica e sottocatena estera, fornendo una via di attuazione tecnica per la conformità al PIPL.
4.2 Oasis Network Privacy Computing Framework
L’Oasis Network è diventato il primo progetto blockchain all’estero a superare la valutazione di sicurezza dell’Amministrazione del Ciber Spazio della Cina.
4.3 Piattaforma Trusple di Ant Chain
La piattaforma di commercio internazionale Trusple di Ant Chain ha creato un caso di riferimento per la conformità al PIPL combinando contratti intelligenti e contratti standard.
