Come abbiamo visto la Self Sovereign Identity è un modello innovativo di gestione dell’identità digitale ed è centrato sull’individuo e sul potere di controllo del medesimo sui propri dati.
Tale modello è conforme al GDPR?
Ci risponde l'avv. Marco Del Fungo in questo nuovo capitolo sull'argomento.
***
I modelli di identità digitale esistenti fino ad oggi non sono pienamente compliant rispetto alla normativa adottata del legislatore europeo in materia di dati personali.
L’adozione del nuovo modello della Self Sovereign Identity potrebbe rappresentare una vera e propria rivoluzione: i principi di protezione, limitazione e minimizzazione propri del protocollo informatico che compone SSI sono allineati con quelli del GDPR, teso alla tutela dei dati personali dei cittadini.
Il GDPR individua sei principi base relativi alla protezione dei dati personali:
- Correttezza e trasparenza nel trattamento dei dati personali degli utenti.
- Limitazione nel trattamento stesso dei dati rispetto alle finalità per il quale sono raccolti: ciò significa che i dati personali degli utenti possono essere utilizzati dalle diverse aziende solo per gli scopi necessari.
- Minimizzazione dei dati personali trattati. Come sopra, i dati devono essere trattati nel minimo modo possibile in base alle finalità del trattamento;
- Esattezza ed aggiornamento dei dati personali trattati, tra cui la tempestiva cancellazione di quelli che risultino inutili o errati in base alle finalità del trattamento;
- Conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- Garantire integrità e riservatezza dei dati personali oggetto del trattamento.
Per valutare la compliance al GDPR è necessario verificare come il concetto di SSI si comporti rispetto a detti principi:
- Correttezza e Trasparenza: le tecnologie utilizzate dalla SSI permettono agli utenti di conoscere esattamente le modalità attraverso le quali i dati personali vengono inviati verso terze parti.
- Limitazione: la SSI permette agli utenti di decidere quali sono i dati che vogliono condividere con le terze parti in relazione in quel momento e quindi conoscere quali sono i dati in mano alle terze parti stesse.
- Minimizzazione: la SSI permette di realizzare quello che tecnicamente viene definito come selective disclosure. Ciò significa che l’utente è in grado di inviare solamente i dati necessari, by design.
- Aggiornamento: come per la limitazione, la SSI permette che i dati possano essere verificati da terze parti senza che quest’ultime debbano necessariamente conservarli. In questo modo, i servizi online e le aziende possono essere sicure di aver verificato i dati necessari, senza la necessità di dover preoccuparsi di gestire e proteggere dati personali.
- l Conservazione: la SSI permette agli utenti di conservare in prima persona le proprie informazioni senza dover riporre fiducia verso terze parti. Si può affermare quindi che la SSI potrebbe portare diversi benefici rispetto alle attuali pratiche di conservazione dei dati per tutti gli stakeholders coinvolti.
- l Riservatezza: la riservatezza dei dati nell’SSI è permessa grazie alla selective disclosure e al fatto che i dati personali degli utenti possano essere conservati solo in caso di necessità e solo dopo l’approvazione dell’utente stesso.
Attraverso questa analisi possiamo affermare che la Self Sovereign Identity si sovrappone perfettamente con i principi di protezione dei dati espressi nel GDPR. Come evidenziato la SSI sembra poter essere un paradigma davvero interessante per proteggere i dati personali degli utenti.