Ciao Giacomo, i tuoi esempi sono estremamente corretti ma vorrei farti un'altra domanda, prima però vorrei porre il seguente prerequisito.

 

Prerequisito tecnico e logico: tutte le informazioni che permettono la tua identificazione sia direttamente sia indirettamente, all'interno di una transazione (nell'esempio: l'acquisto del pane) che definisce il trattamento, sono mascherate attraverso una tecnica affidabile.

 

Domanda: secondo te, anche in questo caso è necessario sostituire la transazione nella catena?

 

Aldo

 

-----Messaggio originale-----
Da: Giacomo Tesio [mailto:giacomo@tesio.it]
Inviato: mercoledì 21 novembre 2018 12:22
A: Aldo Pedico <a.pedico@teleion.it>
Cc: Marco <marco.crepaldi@ymail.com>; Luca Cappelletti <luca.cappelletti@gmail.com>; Nexa <nexa@server-nexa.polito.it>
Oggetto: Re: [nexa] R: GDPR - Blockchain

 

Ciao Aldo,

purtroppo nella magioranza dei casi d'uso, sebbene corretta, l'affermazione del CNIL non è rilevante.

 

Facciamo due esempi per chiarire:

 

1. supponiamo che l'azienda X carichi su una blockchain un dato che mi riguarda, in forma CRITTATA: come dice il CNIL la distruzione della chiave privata è SUFFICIENTE a garantire il diritto di cancellazione.

 

2. supponiamo che io effettui una transazione sulla blockchain con un certo indirizzo: non c'è chiave privata che, una volta cancellata, possa evitare che tutte le transazioni riconducibili al proprietario di quell'indirizzo siano ricondotte a me se anche solo UNA delle transazioni viene ricondotta a me.

 

Dunque se io compro il pane attraverso una transazione riconducibile a quell'indirizzo, chi me lo consegna può ricostruire tutte le mie transazioni precedenti e future attraverso di esso.

La rimozione di QUESTI dati personale (che costituiscono la maggioranza delle transazioni) è possibile, ma SOLO sostituendo la transazione nella catena con una che garantisca alle controparti lo stesso bilancio ma non sia riconducibile all'interessato e ricostruendo la catena da lì.

Possibile, ma estremamente costoso ed error prone.

 

 

Giacomo

 

 

Il giorno mer 21 nov 2018 alle ore 10:54 Aldo Pedico <a.pedico@teleion.it> ha scritto:

> 

> Ciao.

> 

> Nel documento “The UE Blockchain Observatory and Forum - Blockchain e GDPR”, capitolo “Blockchain e diritti e obblighi del GDPR”, nel punto “2. Minimizzazione dei dati e diritto di cancellazione e rettifica” c’è la seguente precisazione in merito alla cancellazione dei dati personali nella rete blockchain.

> 

> “In questo contesto, CNIL riconosce che alcune tecniche di crittografia, associate alla distruzione delle chiavi, possono essere considerate come una cancellazione anche se non è una cancellazione nel senso più stretto”.

> 

> Quindi si può dedurre che la cancellazione “logica”, attraverso la crittografia, nel momento in cui non permette la stretta correlazione “interessato-informazioni” è, salvo precisazioni del Garante o di un tribunale, al lato pratico una asportazione.

> 

> Aldo