Giacomo, sei gentilissimo e paziente, e ti sono grato. Ti rubo ancora qualche minuto perché vorrei descrivere la mia posizione. Io seguo tutte le tematiche inerenti gli aspetti tecnici di adeguamento al GDPR e da qualche tempo mi sono avventurato nello studio della blockchain. Nello studio della tecnologia, mi son posto delle domande: titolarità, consenso, cancellazione, rettifica, ecc., che impattano col GDPR. In modo particolare, per future esigenze di lavoro, sto vagliando l'applicabilità della blockchain in ambiti diversi dalla gestione dei Bitcoin. Ed ecco la mia esigenza di sapere e di conseguenza di domandare. Grazie Aldo -----Messaggio originale----- Da: Giacomo Tesio [mailto:giacomo@tesio.it] Inviato: mercoledì 21 novembre 2018 15:11 A: Aldo Pedico <a.pedico@teleion.it> Cc: Marco <marco.crepaldi@ymail.com>; Luca Cappelletti <luca.cappelletti@gmail.com>; Nexa <nexa@server-nexa.polito.it> Oggetto: Re: [nexa] R: GDPR - Blockchain Il giorno mer 21 nov 2018 alle ore 14:22 Aldo Pedico <a.pedico@teleion.it> ha scritto:
Prerequisito tecnico e logico: tutte le informazioni che permettono la tua identificazione sia direttamente sia indirettamente, all'interno di una transazione (nell'esempio: l'acquisto del pane) che definisce il trattamento, sono mascherate attraverso una tecnica affidabile.
Intendi se invece della blockchain stessimo parlando di un'altra tecnologia che non esiste ancora? Cosa intendi esattamente per "mascherate"? L'acquisto del pane (o di qualunque bene che debba essere consegnato ad un indirizzo in qualche modo riconducibile alla mia persona) rivela inevitabilmente la mia relazione con un indirizzo bitcoin.
Domanda: secondo te, anche in questo caso è necessario sostituire la transazione nella catena?
Temo di essermi spiegato male. Nel momento in cui l'appartenena di un indirizzo viene identificata, tutte le transazioni ad esso associabili sono parimenti identificabili. Dunque supponiamo che io, nonostante il severo divieto di mia moglie, abbia giocato ad un MUD online pagando con bitcoin da un certo indirizzo. In un qualunque momento ho il diritto di richiedere la cancellazione di TUTTE le transazioni ad esso riconducibili. A chi? A tutti i miner che detengono e distribuiscono questa informazione. Perché? Perché l'indirizzo è una informazione IDENTIFICABILE che mi riguarda, e le transazioni sono informazioni personali. Dunque, fin tanto che le informazioni sono IDENTIFICABILI, sono soggette al mio diritto di cancellazione. Qualunque cosa tu intenda con "mascherate attraverso una tecnica affidabile", per far venir meno o soddisfare il mio diritto, deve trattarsi di una tecnica in grado di resistere ad un data branch. Polverizzare il supporto che contiene l'unica copia di una chiave di cifratura privata è una tecnica affidabile per ottenere questo scopo se tale chiave è necessaria per la IDENTIFICABILITA' (NON per la IDENTIFICAZIONE) del mio dato personale. Mi scuso per la lunghezza, ma spero di essere stato chiaro. Giacomo