Ciao Giacomo, i tuoi esempi sono estremamente corretti ma vorrei farti un'altra domanda, prima però vorrei porre il seguente prerequisito. Prerequisito tecnico e logico: tutte le informazioni che permettono la tua identificazione sia direttamente sia indirettamente, all'interno di una transazione (nell'esempio: l'acquisto del pane) che definisce il trattamento, sono mascherate attraverso una tecnica affidabile. Domanda: secondo te, anche in questo caso è necessario sostituire la transazione nella catena? Aldo -----Messaggio originale----- Da: Giacomo Tesio [mailto:giacomo@tesio.it] Inviato: mercoledì 21 novembre 2018 12:22 A: Aldo Pedico <a.pedico@teleion.it> Cc: Marco <marco.crepaldi@ymail.com>; Luca Cappelletti <luca.cappelletti@gmail.com>; Nexa <nexa@server-nexa.polito.it> Oggetto: Re: [nexa] R: GDPR - Blockchain Ciao Aldo, purtroppo nella magioranza dei casi d'uso, sebbene corretta, l'affermazione del CNIL non è rilevante. Facciamo due esempi per chiarire: 1. supponiamo che l'azienda X carichi su una blockchain un dato che mi riguarda, in forma CRITTATA: come dice il CNIL la distruzione della chiave privata è SUFFICIENTE a garantire il diritto di cancellazione. 2. supponiamo che io effettui una transazione sulla blockchain con un certo indirizzo: non c'è chiave privata che, una volta cancellata, possa evitare che tutte le transazioni riconducibili al proprietario di quell'indirizzo siano ricondotte a me se anche solo UNA delle transazioni viene ricondotta a me. Dunque se io compro il pane attraverso una transazione riconducibile a quell'indirizzo, chi me lo consegna può ricostruire tutte le mie transazioni precedenti e future attraverso di esso. La rimozione di QUESTI dati personale (che costituiscono la maggioranza delle transazioni) è possibile, ma SOLO sostituendo la transazione nella catena con una che garantisca alle controparti lo stesso bilancio ma non sia riconducibile all'interessato e ricostruendo la catena da lì. Possibile, ma estremamente costoso ed error prone. Giacomo Il giorno mer 21 nov 2018 alle ore 10:54 Aldo Pedico <a.pedico@teleion.it<mailto:a.pedico@teleion.it>> ha scritto:
Ciao.
Nel documento “The UE Blockchain Observatory and Forum - Blockchain e GDPR”, capitolo “Blockchain e diritti e obblighi del GDPR”, nel punto “2. Minimizzazione dei dati e diritto di cancellazione e rettifica” c’è la seguente precisazione in merito alla cancellazione dei dati personali nella rete blockchain.
“In questo contesto, CNIL riconosce che alcune tecniche di crittografia, associate alla distruzione delle chiavi, possono essere considerate come una cancellazione anche se non è una cancellazione nel senso più stretto”.
Quindi si può dedurre che la cancellazione “logica”, attraverso la crittografia, nel momento in cui non permette la stretta correlazione “interessato-informazioni” è, salvo precisazioni del Garante o di un tribunale, al lato pratico una asportazione.
Aldo