SSI come strumento di conformità al GDPR

in ,

I dati personali rappresentano, ad oggi, uno dei beni maggiormente valutati sul mercato. Di conseguenza, chi li detiene può esercitare un potere non indifferente nei confronti di chi ne è il diretto proprietario, ossia l’individuo a cui tali dati sono riferiti.

La gestione delle identità, nell’era digitale, è stata interessata da un importante processo di evoluzione e rivoluzione, migrando da un approccio centralizzato verso un concetto sempre più decentralizzato di identità. Per anni, la nozione di identità digitale trovava ragione d’essere solamente alla luce di un’organizzazione impegnata nella gestione tali dati, ponendo quindi l’utente in una posizione subordinata.

Questa prospettiva si è completamente ribaltata con l’avvento di un nuovo approccio nella gestione dell’identità, guidato dal concetto di Self-Sovereign Identity. Ecco che l’individuo, primo possessore dei propri dati, ritorna ad avere il pieno controllo sulla propria identità, decidendo se e quali attributi certificati rendere disponibili a soggetti esterni. Si ottiene quindi un beneficio in termini di sicurezza e flessibilità dei dati, consentendo all’utente di condividere solamente i dati necessari (minimi) per la specifica necessità contingente, e senza la necessità di intermediari.

SSI & GDPR: prospettive a confronto

Tale prospettiva utente-centrica si dimostra pienamente in linea con quella promossa dal Regolamento Generale sulla Protezione dei Dati (GDPR), anch’esso incentrato sui concetti di sovranità individuale e sicurezza dei dati personali. Self-Sovereign Identity e GDPR collimano anche per l’importanza attribuita al concetto di flessibilità e libero movimento dei dati, insistendo da un lato sulla garanzia e sullo sviluppo di uno scambio di informazioni certificate tra individui ed enti, all’interno di un ecosistema basato sulla fiducia, dall’altro sul libero movimento dei dati personali all’interno dell’Unione Europea.

La comunanza tra le due prospettive diviene ancora più evidente se focalizziamo l’attenzione sui dieci principi cardine della Self-Sovereign Identity, delineati nel 2016 da Christopher Allen.

  • ESISTENZA: ogni identità digitale sottende sempre un’effettiva esistenza individuale, rendendo pubblici ed accessibili alcuni attributi della persona che esistono prima e a prescindere dal dato digitale. Alla stregua dell’approccio portato avanti dal GDPR, l’identità è quindi vista come un concetto inerentemente umano, ed i dati personali che la compongono sono e rimangono di proprietà dell’individuo a cui si riferiscono.
  • CONTROLLO: l’intento primario della Self-Sovereign Identity è quello di riportare nelle mani degli individui il controllo sugli attributi connessi alla propria identità e, di conseguenza, l’esercizio degli stessi. In linea con i dogmi del GDPR, è l’utente ad avere il diritto, in ogni momento, di pronunciarsi sulle modalità con cui i propri dati vengano utilizzati, concedendo o negando il consenso al trattamento delle proprie informazioni (art. 7- 16 – 18 del GDPR).
  • ACCESSO: Self-Sovereign Identity e GDPR (art. 15) concordano sul fatto che gli utenti devono avere il diritto di accedere alle proprie informazioni personali, richiamando facilmente a sé tutti gli attributi inerenti la propria identità. Per scongiurare un utilizzo scorretto dei propri dati, attraverso la tecnologia sottostante la Self-Sovereign Identity, gli utenti hanno la possibilità di accedere alle proprie informazioni personali senza intermediari.
  • TRASPARENZA: gli algoritmi ed i sistemi alla base del funzionamento dei network per la gestione delle identità devono essere aperti, trasparenti e consultabili. Similmente, il GDPR afferma che il trattamento di dati personali deve avvenire in maniera lecita, onesta e trasparente. Inoltre, l’interessato deve sempre essere a conoscenza delle finalità e delle modalità di trattamento in atto, attraverso la presa visione di un’informativa (art. 12-13-14). La trasparenza diviene quindi cruciale per la protezione dell’identità individuale e per prevenire trattamenti illeciti di dati personali.
  • PERSISTENZA: l’identità digitale dovrebbe accompagnare l’individuo durante tutta la sua esistenza, o perlomeno finché egli lo desidera. Come afferma Christopher Allen, questo aspetto non deve essere considerato in contrapposizione con il “diritto all’oblio” sancito dal GDPR (art. 17). L’individuo deve infatti poter disporre in ogni momento delle proprie informazioni, chiedendone la modifica o la rimozione. Ci si sta quindi riferendo a due concetti diversi: l’identità è persistente, mentre gli attributi ad essa collegati possono essere soggetti a modifiche/revoche. L’importante è che la decisione spetti sempre all’individuo, unico possessore dei propri dati.
  • PORTABILITÀ: l’identità digitale deve essere “trasportabile” affinché l’utente possa mantenere in ogni momento il controllo su di essa. Se così non fosse, ed un’entità terza potesse accentrare il controllo delle identità, questo costituirebbe una minaccia al carattere di persistenza che deve essere garantito alle identità, rappresentando quindi un rischioso Single Point of Failure. La portabilità assicura quindi che l’identità possa essere trasferita ed immagazzinata in diverse piattaforme, a completa discrezione dell’utente. È questo un principio su cui anche il GDPR si focalizza primariamente: i dati personali devono poter circolare liberamente all’interno del territorio dell’Unione Europea, rimanendo però sempre sotto il controllo degli interessati (art. 1).
  • INTEROPERABILITÀ: questo concetto della Self-Sovereign Identity, strettamente connesso con quelli di persistenza e portabilità, accentua il fatto che l’identità debba essere il più possibile considerata su vasta scala. Attraverso l’interoperabilità dei meccanismi di gestione degli attributi, l’identità può seguire l’individuo ovunque egli decida di spostarsi, al di là dei confini geografici. Se pur confinato ai territori UE, il GDPR afferma lo stesso principio con riguardo al trattamento dei dati personali (art. 1). È proprio garantendone e tutelandone la libera circolazione che si rafforzano, al contempo, i diritti dell’interessato.
  • CONSENSO: GDPR (art. 4 e art. 7) e Self-Sovereign Identity convergono sulla necessità che l’utente acconsenta al trattamento dei propri dati. È questo un aspetto che rafforza i concetti di autonomia e centralità dell’individuo, garantendo che egli sappia dove, per quale motivo ed in quale misura i propri dati sono trattati. Il consenso diviene elemento essenziale per la protezione dell’identità, assicurando che l’utente mantenga il livello di privacy che preferisce.
  • MINIMIZZAZIONE: la divulgazione di informazioni relative ad un’identità deve essere mantenuta sull’ammontare minimo necessario per raggiungere l’obiettivo in questione. Ancora una volta Self-Sovereign Identity e GDPR vanno nella stessa direzione. Nel Regolamento (art. 5 e art. 25) si ribadisce infatti che i dati raccolti devono essere adeguati e pertinenti rispetto al fine che si intende perseguire, ed essi non possono essere raccolti in misura maggiore a quella strettamente necessaria.
  • PROTEZIONE: i diritti dell’utente vanno protetti in ogni momento. In caso di conflitto tra i bisogni di un network di identità e quelli di un utente, vanno privilegiati e preservati i diritti di chi possiede l’identità, ossia dell’individuo. La protezione dei soggetti titolari di un’identità è quindi il fine primo della Self-Sovereign Identity, così come la protezione dei dati personali è il fulcro del GDPR (art. 1).

In questa prospettiva di affinità e sinergie, appare evidente come la Self-Sovereign Identity possa rappresentare uno strumento innovativo ed efficace per promuovere lo spirito e le finalità del Regolamento Generale sulla Protezione dei Dati.

Trovate qui la versione completa in pdf dell’infografica: SCARICA

SSI: potenzialità e scenari futuri di un mercato in crescita

Secondo diversi studiosi, è proprio la Self-Sovereign Identity a ricomporre le tensioni esistenti tra tecnologia blockchain e GDPR, dimostrando come un utilizzo ponderato di questa tecnologia possa addirittura rivelarsi al servizio della compliance. Fondamentale è comunque seguire alcune best practices del settore, prima fra tutte l’adozione di sistemi che siano in grado di proibire o prevenire l’immagazzinamento di dati personali su blockchain, oltre all’implementazione di un’analisi d’impatto preventiva caso per caso.

Un recente report realizzato da Juniper Research stima che il mercato legato alla Self-Sovereign Identity potrà contare dal 2024 su un fatturato globale di 1,1 miliardi di dollari. Si prevede infatti un’accelerazione importante in un periodo relativamente breve: le stime per fine 2020 attestano a 100 milioni di dollari il valore dello stesso mercato, prospettando quindi una crescita di + 1000% in quattro anni.

Alla base questa crescita esponenziale si delinea l’importanza sempre più rilevante di tutelare la protezione e la sicurezza delle identità.

Questo dimostra che sicurezza e privacy non sono più caratterizzate da un trade-off, dove ogni guadagno in termini di una dimensione comporta inevitabilmente un decremento in termini dell’altra.

Tramite la Self-Sovereign Identity è infatti possibile ottenere un incremento simultaneo su entrambi i fronti, tutelando fin dal principio l’individuo, possessore della propria identità e degli attributi ad essa collegati.

Potrebbero interessarti
MFA: l’importanza crescente dell’autenticazione a più fattori
Trust e data protection: le potenzialità della SSI in ambito privacy