Quattro chiacchiere su GDPR e BlockChain
Carissimi, Visto che è un argomento che interessa molti, volevo condividere con voi una lunga chiacchierata con l’amico Marco Tullio Giordano sul tema delle (in)compatibilità del GDPR con le tecnologie di BlockChain. Lungi dall’essere al livello di approdonimento tipico di questa lista, credo ci possano essere spunti interessanti su cui dibattere (e ovviamente con cui dissentire) ;) #MIC - Matteo Flora e Marco Tullio Giordano parlano di "#BlockChain e #GDPR" https://youtu.be/P71BOs0ixD0 Un caro saluto. M -- Matteo G.P. Flora Founder and CEO at The Fool srl A Via Merano, 16 Milano (MI) M +39.347.9676430 E mf@thefool.it W http://thefool.it
Per continuare sull’argomento, in allegato, vi fornisco un documento del CNIL (Autorità francese). Aldo Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Matteo G.P. Flora Inviato: venerdì 30 novembre 2018 11:18 A: Alessandro Cappai <nexa@server-nexa.polito.it> Oggetto: [nexa] Quattro chiacchiere su GDPR e BlockChain Carissimi, Visto che è un argomento che interessa molti, volevo condividere con voi una lunga chiacchierata con l’amico Marco Tullio Giordano sul tema delle (in)compatibilità del GDPR con le tecnologie di BlockChain. Lungi dall’essere al livello di approdonimento tipico di questa lista, credo ci possano essere spunti interessanti su cui dibattere (e ovviamente con cui dissentire) ;) #MIC - Matteo Flora e Marco Tullio Giordano parlano di "#BlockChain e #GDPR" https://youtu.be/P71BOs0ixD0 Un caro saluto. M -- Matteo G.P. Flora Founder and CEO at The Fool srl A Via Merano, 16 Milano (MI) M +39.347.9676430 E mf@thefool.it<mailto:mf@thefool.it> W http://thefool.it
Ho apprezzato il video e condivido in senso generale il contenuto. Però, se non mi è sfuggita, mi sembra che manchi una premessa: il GDPR riguarda persone fisiche identificate o identificabili. A prescindere dal fatto che sia o meno utile o opportuno impostarla, se io organizzo una blockchian per i polli, o per le opere d'arte, o per il controllo delle foreste o dei cantieri (tutte proposte o applicazioni reali, basta una ricerca in Internet) il problema GDPR non si pone, poiché non sono inclusi dati personali. Chiedere se "la blockchain" è compatibile con il GDPR è come chiedere se è legale circolare armati: dipende. Se sei un poliziotto, una guardia giurata o svolgi una professione che ti consente di avere il porto d'armi sì, altrimenti no. Buona settimana a tutti D. ________________________________ From: nexa <nexa-bounces@server-nexa.polito.it> on behalf of Matteo G.P. Flora <mf@thefool.it> Sent: Friday, November 30, 2018 10:17 AM To: Alessandro Cappai Subject: [nexa] Quattro chiacchiere su GDPR e BlockChain Carissimi, Visto che è un argomento che interessa molti, volevo condividere con voi una lunga chiacchierata con l’amico Marco Tullio Giordano sul tema delle (in)compatibilità del GDPR con le tecnologie di BlockChain. Lungi dall’essere al livello di approdonimento tipico di questa lista, credo ci possano essere spunti interessanti su cui dibattere (e ovviamente con cui dissentire) ;) #MIC - Matteo Flora e Marco Tullio Giordano parlano di "#BlockChain e #GDPR" https://youtu.be/P71BOs0ixD0 Un caro saluto. M -- Matteo G.P. Flora Founder and CEO at The Fool srl A Via Merano, 16 Milano (MI) M +39.347.9676430 E mf@thefool.it<mailto:mf@thefool.it> W http://thefool.it
In data domenica 2 dicembre 2018 17:45:34 CET, Diego Giorio ha scritto:
se io organizzo una blockchian per i polli, o per le opere d'arte, Le opere d'arte sono fatte da persone fisiche. Spesso il valore di un'opera dipende in modo significativo dall'identità di chi l'ha creata (che, salvo che si tratti di opera di autore anonimo, è circostanza nota a prescindere da quel che si scrive nella blockchain). IMHO anche chi usa una blockchain per le opere d'arte deve rispettare le norme sulla privacy. m.c.
Sì, certo, mi riferivo naturalmente a quelle opere d'arte o anonime o di autori oramai deceduti, dato che il GDPR non coinvolge i defunti, che trovano tutela nelle legislazioni nazionali. Comunque credo che il senso del mio discorso fosse chiaro: se la blockchain non contiene dati personali non ricade nel GDPR. D. ________________________________ From: Marco Ciurcina <ciurcina@studiolegale.it> Sent: Sunday, December 2, 2018 6:03 PM To: nexa@server-nexa.polito.it Cc: Diego Giorio; Matteo G.P. Flora Subject: Re: [nexa] Quattro chiacchiere su GDPR e BlockChain In data domenica 2 dicembre 2018 17:45:34 CET, Diego Giorio ha scritto:
se io organizzo una blockchian per i polli, o per le opere d'arte, Le opere d'arte sono fatte da persone fisiche. Spesso il valore di un'opera dipende in modo significativo dall'identità di chi l'ha creata (che, salvo che si tratti di opera di autore anonimo, è circostanza nota a prescindere da quel che si scrive nella blockchain). IMHO anche chi usa una blockchain per le opere d'arte deve rispettare le norme sulla privacy. m.c.
In data domenica 2 dicembre 2018 18:09:21 CET, Diego Giorio ha scritto:
dato che il GDPR non coinvolge i defunti, che trovano tutela nelle legislazioni nazionali Mah!
In Italia, l'art. 2-terdecies dice "I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione". Non mi sbilancio ad interpretare perché aspetto che chi ha più autorevolezza di me spieghi se questo implica che in Italia il GDPR si applica anche ai dati personali dei defunti (e fino a che grado di parentela, e se anche con effetto retroattivo). m.c.
Concordo sul mah. Anzitutto il GDPR definisce "interessato" "persona fisica identificata o identificabile". A me avevano insegnato che l'uomo prima della nascita si chiama "feto", dopo la nascita si chiama "persona" dopo la morte si chiama "cadavere". Ora, che il deceduto possa essere "interessato" mi sembra una contraddizione in termini, poiché non è più "persona", quindi ho parecchi dubbi sul modo in cui il 101 è stato scritto. Quello che posso dire è che lo Stato Civile equipara gli atti dei defunti a quelli dei viventi per 70 anni, poi diventano dati storici ed anche le copie integrali possono essere rilasciate senza particolari cautele, fatti salvi alcuni casi particolari. Per il grado di parentela, in assenza di altre indicazioni, farei riferimento all'art. 77 C.C. (6°grado) Comunque ho parlato di GDPR, e questo è piuttosto netto (vedasi considerando 158 e 160), ad escludere i dati dei deceduti. Se vuoi fare una blockchain con i dati dei defunti, ti conviene piazzare i nodi fuori dall'Italia e ti risolvi tutti i problemi! 😊 Buona serata e buona settimana a tutti D. ________________________________ From: Marco Ciurcina <ciurcina@studiolegale.it> Sent: Sunday, December 2, 2018 6:39 PM To: Diego Giorio Cc: nexa@server-nexa.polito.it; Matteo G.P. Flora Subject: Re: [nexa] Quattro chiacchiere su GDPR e BlockChain In data domenica 2 dicembre 2018 18:09:21 CET, Diego Giorio ha scritto:
dato che il GDPR non coinvolge i defunti, che trovano tutela nelle legislazioni nazionali Mah!
In Italia, l'art. 2-terdecies dice "I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione". Non mi sbilancio ad interpretare perché aspetto che chi ha più autorevolezza di me spieghi se questo implica che in Italia il GDPR si applica anche ai dati personali dei defunti (e fino a che grado di parentela, e se anche con effetto retroattivo). m.c.
Il giorno dom 2 dic 2018 alle ore 20:43 Diego Giorio <dgiorio@hotmail.com> ha scritto:
Se vuoi fare una blockchain con i dati dei defunti, ti conviene piazzare i nodi fuori dall'Italia e ti risolvi tutti i problemi!
Ma a quel punto, perché usare una blockchain? Spesso osservo con sconcerto analizzare la tecnologia senza considerare gli aspetti sociali o legali, qui proponi un obbiezione sensata dal punto di vista legale (forse meno da quello etico, se la Legge ha senso di esistere) ma che non tiene conto della tecnologia di cui parla. Perché usare una tecnologia distribuita se non si può distribuirla liberamente? Giacomo
Sì, certo, l'ultima frase era una battuta, infati l'ho chiusa con l'emoticon Quello che penso sulla blockchain, anche se applicata all'eletorale, l'ho illustrato ad e-privacy lo scorso sabato: https://urna.winstonsmith.org/materiali/2018we/atti/2018W_SAMA_GIORIO_MA-PDF... Buana setitmana D. ________________________________ From: Giacomo Tesio <giacomo@tesio.it> Sent: Monday, December 3, 2018 8:20 AM To: Diego Giorio Cc: Marco Ciurcina; Matteo G.P. Flora; Nexa Subject: Re: [nexa] Quattro chiacchiere su GDPR e BlockChain Il giorno dom 2 dic 2018 alle ore 20:43 Diego Giorio <dgiorio@hotmail.com> ha scritto:
Se vuoi fare una blockchain con i dati dei defunti, ti conviene piazzare i nodi fuori dall'Italia e ti risolvi tutti i problemi!
Ma a quel punto, perché usare una blockchain? Spesso osservo con sconcerto analizzare la tecnologia senza considerare gli aspetti sociali o legali, qui proponi un obbiezione sensata dal punto di vista legale (forse meno da quello etico, se la Legge ha senso di esistere) ma che non tiene conto della tecnologia di cui parla. Perché usare una tecnologia distribuita se non si può distribuirla liberamente? Giacomo
Il giorno lun 3 dic 2018 alle ore 10:03 Diego Giorio <dgiorio@hotmail.com> ha scritto:
Quello che penso sulla blockchain, anche se applicata all'eletorale, l'ho illustrato ad e-privacy lo scorso sabato:
https://urna.winstonsmith.org/materiali/2018we/atti/2018W_SAMA_GIORIO_MA-PDF...
Ho letto con attenzione. Prima di proporti alcune obbiezioni, voglio sottoscrivere una delle tue conclusioni:
studiando e sbagliando si potrà arrivare forse ad una svolta
Su questo sono totalmente d'accordo. Studiando e sbagliando si impara. Basta NON vendere gli esperimenti come tecnologia disponibile. Per quanto possiamo apprendere sulla credulità umana attraverso le truffe, queste vanno comunque perseguite. Due obbiezioni: 1. l'ordine delle transazioni ed il loro timestamp potrebbe essere utilizzata per svelare l'identità del votante - con ovvie conseguenze sul voto di scambio - in modo incompatibile con il GDPR 2. chi si occuperebbe del mining? - la macchina di voto? facciamo votare una persona ogni 10 minuti? - lo stato? ma allora perché blockchain e non db relazionale? - terze parti in Cina? :-o Ad un certo punto scrivi:
Per ciò che riguarda la blockchain in senso assoluto, sicuramente si tratta di un approccio innovativo e dalle grandi potenzialità [...] si tratta di uno strumento da studiare, da utilizzare quando può veramente servire, ma che si deve applicare in modo corretto
Mi rendo conto che la mia posizione è (spesso) un po' controcorrente, ma io queste potenzialità non le vedo. E' un hack interessante, divertente, intellettualmente stimolante. Vale la pena studiarlo per un ingegnere software, nel caso si dovesse davvero incontrare un caso d'uso in cui tale hack fosse la soluzione migliore fra quelle disponibili. Per il momento però, nonostante l'attenta ricerca (:-D), tale caso d'uso non appare ancora all'orizzonte. Giacomo
Trattandosi di una relazione introduttiva ad una tavola rotonda ho dovuto necessariamente essere sintetico, anzi, nel parlare sono stato ancora più stringato, per non togliere tempo agli altri relatori, ma concordo in pieno con le tue considerazioni: oggi la blockchian è venduta appunto come la teriaca veneziana, che prometteva la cura a tutti i mali; quando ho scritto sinteticamente "distribuita dove?" intendevo appunto riferirmi al problema del mining e della distribuzione dei nodi. Anche nella comparazione col pollo ho appunto suggerito che un DB classico porti allo stesso risultato. D'altra parte la blockchain è stata teorizzata inzialmente in ambito ciberpunk, ovvero in una comunità anarchica, per superare il problema (secondo la loro visione) di un'autorità centrale di controllo. Come abbiamo detto in conferenza, se è proprio l'autorità centrale a proporla, significa che non si fida di se stessa? Interessante l'osservazione sul timestamp, ma, dato che un ipotetico sistema blockchain raccoglierebbe i voti di tutta Italia, non credo che sarebbe ragionevolmente possibile associare ad un'ora esatta una persona specifica. Potrebbe forse accadere con l'ultimo che vota alle 22.59.59, ma, per quanto poco simpatico, che un solo elettore in tutta Italia sia potenzialmente identificabile non sarebbe il problema centrale, né varrebbe la pena di mettere in piedi un sistema di hacking per un solo caso. Però potrebbe, in effetti, porsi il problema per l'elezione comunale di un piccolo centro. La blockchain, come diceva Marco Calamari, in ultima analisi è un servizio di notariato elettronico che non soggiace ad un'autorità centrale. Se serve un servizio di notariato elettronico e non si vuole ricorrere ad un'autorità centrale ha delle grandi potenzialità, altrimenti, come diceva (mi sembra) Gianbattista Vieri, vale la conclusione a cui è giunto Fantozzi riguardo la Corazzata Potemkin. Saluti D. ________________________________ From: Giacomo Tesio <giacomo@tesio.it> Sent: Monday, December 3, 2018 10:51 AM To: Diego Giorio Cc: Marco Ciurcina; Matteo G.P. Flora; Nexa Subject: Re: [nexa] Quattro chiacchiere su GDPR e BlockChain Il giorno lun 3 dic 2018 alle ore 10:03 Diego Giorio <dgiorio@hotmail.com> ha scritto:
Quello che penso sulla blockchain, anche se applicata all'eletorale, l'ho illustrato ad e-privacy lo scorso sabato:
https://urna.winstonsmith.org/materiali/2018we/atti/2018W_SAMA_GIORIO_MA-PDF...
Ho letto con attenzione. Prima di proporti alcune obbiezioni, voglio sottoscrivere una delle tue conclusioni:
studiando e sbagliando si potrà arrivare forse ad una svolta
Su questo sono totalmente d'accordo. Studiando e sbagliando si impara. Basta NON vendere gli esperimenti come tecnologia disponibile. Per quanto possiamo apprendere sulla credulità umana attraverso le truffe, queste vanno comunque perseguite. Due obbiezioni: 1. l'ordine delle transazioni ed il loro timestamp potrebbe essere utilizzata per svelare l'identità del votante - con ovvie conseguenze sul voto di scambio - in modo incompatibile con il GDPR 2. chi si occuperebbe del mining? - la macchina di voto? facciamo votare una persona ogni 10 minuti? - lo stato? ma allora perché blockchain e non db relazionale? - terze parti in Cina? :-o Ad un certo punto scrivi:
Per ciò che riguarda la blockchain in senso assoluto, sicuramente si tratta di un approccio innovativo e dalle grandi potenzialità [...] si tratta di uno strumento da studiare, da utilizzare quando può veramente servire, ma che si deve applicare in modo corretto
Mi rendo conto che la mia posizione è (spesso) un po' controcorrente, ma io queste potenzialità non le vedo. E' un hack interessante, divertente, intellettualmente stimolante. Vale la pena studiarlo per un ingegnere software, nel caso si dovesse davvero incontrare un caso d'uso in cui tale hack fosse la soluzione migliore fra quelle disponibili. Per il momento però, nonostante l'attenta ricerca (:-D), tale caso d'uso non appare ancora all'orizzonte. Giacomo
Il giorno lun 3 dic 2018 alle ore 12:33 Diego Giorio <dgiorio@hotmail.com> ha scritto:
La blockchain, come diceva Marco Calamari, in ultima analisi è un servizio di notariato elettronico che non soggiace ad un'autorità centrale.
Oibò! Questa mi è nuova: un notaio non verifica le dichiarazioni che firma? Se non lo fa... se non risponde della veridicità delle stesse... ehm... a cosa serve? Perché la blockchain, come spieghi nell'esempio della tracciatura del pollo, non è garanzia di veridicità dei dati. Giacomo
Sì, hai ragione. Infatti il punto debole di tutte le applicazioni proposte (verifica dei cantieri, delle foreste, delle opere d'arte, della rete elettrica...) è proprio che, mancando la possibilità di un abbinamento certo fra una situazione o un oggetto fisico e la blockchain, si tratta di sistemi GIGO (Garbage in - Garbage out). Io posso bloccare il dato che un pollo è stato allevato per tre mesi in un allevamento ideale, ma nessuno mi garantisce che quel dato si riferisca al pollo che ho nella confezione, nè che quel dato sia autentico all'origine. Ho riportato le sue parole e credo che il senso sia condivisibile, forse piò che "notariato" avrebbe dovuto dire "ufficio del registro". Per quanto mi siano capitati dei casi di notai che hanno stipultato contratti sulla base di documenti falsi (ovviamente inconsapevolmente), o ai quali sia sfuggita qualche ipoteca, per cui anche il controllo che esercitano è relativo. Ma non ampliamo il raggio della disussione, che già così c'è molto materiale. D. ________________________________ From: Giacomo Tesio <giacomo@tesio.it> Sent: Monday, December 3, 2018 11:49 AM To: Diego Giorio Cc: Marco Ciurcina; Matteo G.P. Flora; Nexa Subject: Re: [nexa] Quattro chiacchiere su GDPR e BlockChain Il giorno lun 3 dic 2018 alle ore 12:33 Diego Giorio <dgiorio@hotmail.com> ha scritto:
La blockchain, come diceva Marco Calamari, in ultima analisi è un servizio di notariato elettronico che non soggiace ad un'autorità centrale.
Oibò! Questa mi è nuova: un notaio non verifica le dichiarazioni che firma? Se non lo fa... se non risponde della veridicità delle stesse... ehm... a cosa serve? Perché la blockchain, come spieghi nell'esempio della tracciatura del pollo, non è garanzia di veridicità dei dati. Giacomo
Ciao Matteo, anzitutto complimenti per la trasmissione: al di là del contenuto, ho trovato il formato veramente piacevole. Aggiungo due note sul tema. Anzitutto ad un certo punto Marco Tullio Giordano (cui spero potrai girare questa email) fa una affermazione che mi ha lasciato basito (in particolare perché viene da un avvocato):
Temo che dovremo attendere il 2020, data prevista per la prima rettifica e revisione del GDPR a quel punto spero che qualcuno faccia presente a questi signori che la tecnologia non si può fermare e che se è diffusa o cambiano le norme o saremmo...
vedi a https://youtu.be/P71BOs0ixD0?t=1243 Che io sappia, la tecnologia come fonte del diritto costituisce una teoria giuridica inedita. Dubito che sia una fonte riconosciuta dalla nostra Costituzione o dal diritto Europeo, per ovvie ragioni pratiche, facilmente osservabili nelle esternalità della Eternit o del ILVA a Taranto. Tuttavia, tecnicamente, affermare che la "la tecnologia non si può fermare" mostra una scarsa comprensione della tecnologia stessa. Il Grande Firewall della Cina mostra che si può, per qualsiasi tecnologia e oltre ogni ragionevole dubbio. Quanto alla modificabilità della blockchain, avete dimenticato nella vostra chiacchierata un'aspetto fondamentale (per quanto ovvio): ogni rete di blockchain è anzitutto un software e come tale viene aggiornato. La blockchain in sé è il formato del file che tale software gestisce. Le regole di consistenza di tale file le determina il software stesso. Dunque si può semplicemente distribuire un aggiornamento di quel software che prevede un nuovo tipo di transazione che AZZERA i byte di un'altra transazione nel passato dopo averne verificato la consistenza con le successive al momento della cancellazione. Non conosco la codebase di bitcoin, ma se ci vuole più di due settimane a fare una modifica di questo genere, è meglio smettere di usare bitcoin semplicemente per l'incompetenza di chi la sviluppa. Giacomo Il giorno ven 30 nov 2018 alle ore 11:18 Matteo G.P. Flora <mf@thefool.it> ha scritto:
Carissimi,
Visto che è un argomento che interessa molti, volevo condividere con voi una lunga chiacchierata con l’amico Marco Tullio Giordano sul tema delle (in)compatibilità del GDPR con le tecnologie di BlockChain.
Lungi dall’essere al livello di approdonimento tipico di questa lista, credo ci possano essere spunti interessanti su cui dibattere (e ovviamente con cui dissentire) ;)
#MIC - Matteo Flora e Marco Tullio Giordano parlano di "#BlockChain e #GDPR" https://youtu.be/P71BOs0ixD0
Un caro saluto.
M
-- Matteo G.P. Flora Founder and CEO at The Fool srl
A Via Merano, 16 Milano (MI) M +39.347.9676430 E mf@thefool.it W http://thefool.it _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Cari iscritti buongiorno, sono Tommaso Caldarelli, seguo sempre con piacere le discussioni su Nexa. Questa mail per allegarvi il materiale stampa relativo all'European Opensource & Free software Law Event (Eole 2018) che si terrà mercoledì 5 dicembre a Parigi; l'evento che è stato segnalato in precedenza dall'avv.Ciurcina e che sto sostenendo per comunicazione e diffusione, si occuperà di fare il punto sui processi di conformità e compliance nell'ecosistema FLOSS europeo e, dunque, anche italiano. Vi viene in mente qualche destinatario o rete a cui può essere interessante segnalare l'evento? Il materiale stampa è disponibile anche in inglese. Resto a disposizione per ogni e grazie Tc -- Tommaso Caldarelli 3386765100 <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_camp...> Mail priva di virus. www.avg.com <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_camp...> <#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>
Se sei d’accordo, posso inserire su Linkedin il link del sito ... mandamelo se ti può interessare Aldo Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Tommaso Caldarelli Inviato: lunedì 3 dicembre 2018 14:53 A: Nexa <nexa@server-nexa.polito.it> Oggetto: [nexa] European Opensource & Free software Law Event Cari iscritti buongiorno, sono Tommaso Caldarelli, seguo sempre con piacere le discussioni su Nexa. Questa mail per allegarvi il materiale stampa relativo all'European Opensource & Free software Law Event (Eole 2018) che si terrà mercoledì 5 dicembre a Parigi; l'evento che è stato segnalato in precedenza dall'avv.Ciurcina e che sto sostenendo per comunicazione e diffusione, si occuperà di fare il punto sui processi di conformità e compliance nell'ecosistema FLOSS europeo e, dunque, anche italiano. Vi viene in mente qualche destinatario o rete a cui può essere interessante segnalare l'evento? Il materiale stampa è disponibile anche in inglese. Resto a disposizione per ogni e grazie Tc -- Tommaso Caldarelli 3386765100 [https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png]<http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail> Mail priva di virus. www.avg.com<http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_camp...>
participants (6)
-
Aldo Pedico -
Diego Giorio -
Giacomo Tesio -
Marco Ciurcina -
Matteo G.P. Flora -
Tommaso Caldarelli