Grazie Alberto. Aldo -----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Alberto Cammozzo Inviato: mercoledì 21 novembre 2018 16:14 A: nexa@server-nexa.polito.it Oggetto: Re: [nexa] R: R: GDPR - Blockchain Le difficoltra tra GDPR e BC su titolarità e cancellazione non sono nuove. Per alcuni sono inconciliabili: "Storing personal data on a blockchain is not an option anymore according to GDPR. " <https://medium.com/wearetheledger/the-blockchain-gdpr-paradox-fc51e663d047> "Can Blockchains and the GDPR be Reconciled? Not for open blockchains and not easily for permissioned blockchains using currently available technology and current EU data protection interpretations. The two biggest hurdles are control and data removal." <https://www.tripwire.com/state-of-security/security-data-protection/blockcha...> Qualcuno tuttavia ritiene si possano pensare degli accorgimenti tecnici per renderle conciliabili, tra cui trusted computing e cifratura selettiva. "All in all, articulating the logic of the GDPR and the blockchain, using the “data processor”/ “data subject” divide, seems difficult. No doubt a strenuous legal debate lies ahead." "Combining trusted computing with public blockchains means that the privacy of data can be protected from outside threats, and stored off-chain, with the blockchain acting as the final judge for who can access that data or not. Because smart contracts mean no longer having to trust centralized service providers, data rights can be managed exclusively via the blockchain and trusted hardware, by users; returning control and privacy of their data back to them. Several projects currently pursue this idea, in the hope it could transform the blockchain from a GDPR nightmare to a fairytale. One such attempt is a joint effort of Imperial College London and Cornell University. Teechain, is a project which uses trusted hardware to enable secure and efficient off-chain transactions for a public blockchain. It takes an interesting step towards asking whether or not transaction privacy can be found on all public blockchains, not just those that provide anonymity by default. An alternative project, which also led to live demonstrations, is the collaboration between iExec and Intel initiated within the Enterprise Ethereum Alliance (EEA)." <https://cointelegraph.com/news/gdpr-and-blockchain-is-the-new-eu-data-protec...> “One option is to store personally identifiable information off the blockchain itself – that is, use the blockchain to store the transaction, but not all the details of the transaction,” Haff says. “But that at least partially defeats the purpose of using an immutable blockchain in the first place. Alternatively, personal data on the blockchain could be encrypted with a private key that could be revoked on request or after some interval. [...] What we can probably safely say is that immutability should be taken into account when deciding what data is to be stored,” Haff adds. “Simply deleting a database record at some future date isn’t really an option with blockchain.” <https://enterprisersproject.com/article/2018/5/blockchain-and-gdpr-can-they-...> Questa tesi prevede soluzioni tecnologiche (ad es. i chameleon hashes) oltre interpretazioni legali estensive: Reconciling the conflict between the ‘immutability’ of public and permissionless blockchain technology and the right to erasure under Article 17 of the General Data Protection Regulation <http://www.utupub.fi/handle/10024/146293> Di certo prima di mettere dati personali senza ulteriori accorgimenti in una BC occorre pensarci bene... ciao, Alberto On 21/11/2018 15:31, Aldo Pedico wrote:
Giacomo, sei gentilissimo e paziente, e ti sono grato. Ti rubo ancora qualche minuto perché vorrei descrivere la mia posizione. Io seguo tutte le tematiche inerenti gli aspetti tecnici di adeguamento al GDPR e da qualche tempo mi sono avventurato nello studio della blockchain. Nello studio della tecnologia, mi son posto delle domande: titolarità, consenso, cancellazione, rettifica, ecc., che impattano col GDPR. In modo particolare, per future esigenze di lavoro, sto vagliando l'applicabilità della blockchain in ambiti diversi dalla gestione dei Bitcoin. Ed ecco la mia esigenza di sapere e di conseguenza di domandare.
Grazie Aldo
-----Messaggio originale----- Da: Giacomo Tesio [mailto:giacomo@tesio.it] Inviato: mercoledì 21 novembre 2018 15:11 A: Aldo Pedico <a.pedico@teleion.it> Cc: Marco <marco.crepaldi@ymail.com>; Luca Cappelletti <luca.cappelletti@gmail.com>; Nexa <nexa@server-nexa.polito.it> Oggetto: Re: [nexa] R: GDPR - Blockchain
Il giorno mer 21 nov 2018 alle ore 14:22 Aldo Pedico <a.pedico@teleion.it> ha scritto:
Prerequisito tecnico e logico: tutte le informazioni che permettono la tua identificazione sia direttamente sia indirettamente, all'interno di una transazione (nell'esempio: l'acquisto del pane) che definisce il trattamento, sono mascherate attraverso una tecnica affidabile. Intendi se invece della blockchain stessimo parlando di un'altra tecnologia che non esiste ancora? Cosa intendi esattamente per "mascherate"?
L'acquisto del pane (o di qualunque bene che debba essere consegnato ad un indirizzo in qualche modo riconducibile alla mia persona) rivela inevitabilmente la mia relazione con un indirizzo bitcoin.
Domanda: secondo te, anche in questo caso è necessario sostituire la transazione nella catena? Temo di essermi spiegato male. Nel momento in cui l'appartenena di un indirizzo viene identificata, tutte le transazioni ad esso associabili sono parimenti identificabili. Dunque supponiamo che io, nonostante il severo divieto di mia moglie, abbia giocato ad un MUD online pagando con bitcoin da un certo indirizzo.
In un qualunque momento ho il diritto di richiedere la cancellazione di TUTTE le transazioni ad esso riconducibili. A chi? A tutti i miner che detengono e distribuiscono questa informazione. Perché? Perché l'indirizzo è una informazione IDENTIFICABILE che mi riguarda, e le transazioni sono informazioni personali.
Dunque, fin tanto che le informazioni sono IDENTIFICABILI, sono soggette al mio diritto di cancellazione.
Qualunque cosa tu intenda con "mascherate attraverso una tecnica affidabile", per far venir meno o soddisfare il mio diritto, deve trattarsi di una tecnica in grado di resistere ad un data branch.
Polverizzare il supporto che contiene l'unica copia di una chiave di cifratura privata è una tecnica affidabile per ottenere questo scopo se tale chiave è necessaria per la IDENTIFICABILITA' (NON per la IDENTIFICAZIONE) del mio dato personale.
Mi scuso per la lunghezza, ma spero di essere stato chiaro.
Giacomo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa