SlideShare a Scribd company logo

Blockchain e GDPR: un binomio possibile - Smau Napoli 2019

Download as PPTX, PDF
A
ALESSIA PALLADINO

La Blockchain è divenuta nota quale tecnologia impiegata per la generazione e circolazione dei Bitcoin, sebbene si presti a molteplici profili applicativi. Il suo utilizzo, infatti, non si esaurisce nel mero pagamento ovvero scambio di beni e servizi, ma consente qualsiasi altra forma di collaborazione tra uomini legata alle possibilità offerte dalla rete internet. Il seminario si propone di analizzare il binomio “Blockchain – GDPR”, per evidenziare tutte le potenzialità operative sottese all’utilizzo di tale tecnologia; al contempo, mira ad analizzare le principali questioni giuridiche connesse al difficile bilanciamento con la tutela della privacy. A tal proposito, verranno esaminati i principali punti critici, connessi alla tutela della privacy, per delineare opportune linee operative affinché lo sviluppo della Blockchain possa supportare e rispettare le regole sulla protezione dei dati personali introdotte dal GDPR.

Law
1 of 49
Blockchain e GDPR: un binomio possibile Alessia Palladino
2 DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di sviluppare attività di studio, ricerca e approfondimento nell'ambito delle tematiche di interesse comune per il mondo giuridico e informatico Web site: www.diricto.it
3 ICT for Law and Forensics è il laboratorio di Informatica Forense del Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari. Aree di interesse: e-commerce e contrattazione telematica, la tutela giuridica dei domain names, privacy e protezione dei dati personali nel mondo telematico, cyber crimes, digital forensics Web site: ict4forensics.diee.unica.it
4 DI COSA PARLEREMO? 1. Introduzione e ambito di indagine; 2. Il sistema Blockchain: DLT pubblici e privati; 3. Aspetti di natura soggettiva relativi al meccanismo “associativo – partecipazionale”; 4. Le principali ricadute in tema di diritto alla Protezione dei Dati Personali; 5. Adempimenti collegati .
Che cos’è la Blockchain?  Registro aperto e distribuito che può memorizzare le transazioni tra due parti in modo sicuro, verificabile e permanente.  È una tecnologia che consente lo scambio, attraverso la rete, di informazioni e di diverse tipologie di valori  Catena di blocchi, contenente dati che retroattivamente alterati senza che vengano modificati tutti i blocchi successivi ad esso, il che, per la natura del protocollo e dello schema di validazione, necessiterebbe il consenso della maggioranza della rete.
Che cos’è la Blockchain? Il database assume le seguente caratteristiche: • Sicurezza: criptato con precise regole di sicurezza e aggiornabile solo attraverso il consenso «distribuito» • Immutabilità: le informazioni registrate non possono essere cancellate, modificate e/o corrotte • Trasparenza: aperto a tutti i partecipanti
Le principali applicazioni
Dalla logica centralizzata alla “Distributed Ledger Technology” ● LEDGER = libro mastro La metafora del Libro mastro come memoria storica di azioni e operazioni commerciali  Blockchain come «archivio tecnologico». 8
Registro organizzato in “blocchi” separati, che raggruppano insiemi di transazioni, tra loro collegati per formare una catena sequenziale e marcata temporalmente. 9 È UN REGISTRO IMMODIFICABILE LE CUI COPIE SONO DISTRIBUITE SUI VARI NODI DELLA RETE provenienza e destinazione della transazione sono verificate tramite l’utilizzo di CHIAVI PUBBLICHE CRITTOGRAFICHE
Ogni blocco ha un header (ai fini dell’organizzazione del database distribuito) e al suo interno: 10 È UN REGISTRO IMMODIFICABILE LE CUI COPIE SONO DISTRIBUITE SUI VARI NODI DELLA RETE • l’hash di tutte le transazioni registrate nel blocco; • la marcatura temporale; • l’hash del blocco precedente
Due differenti modelli di gestione ● DTL PUBBLICI - tenuta del registro affidata a tutti i nodi del network. - ogni partecipante contribuisce all’aggiornamento dei dati. 11 DTL PRIVATI - presenza di un proprietario (gestore unico, pubblico o privato). - nuovo inserimento di informazioni vincolato all’approvazione di un numero limitato di attori.
12 Tecnologie basate su registri distribuiti (ovvero Distributed Ledger Techlogies) Smart Contract Sono le tecnologie e i protocolli informatici che usano un registro: - condiviso; - distribuito; - replicabile; - accessibile simultaneamente; - architetturalmente decentralizzato su basi crittografiche, tali da consentire: - la registrazione; - la convalida; - l’aggiornamento; - l’archiviazione di dati – sia in chiaro che ulteriormente protetti da crittografia – verificabili da ciascun partecipante, non alterabili e non modificabili. È un “programma per elaboratore” che opera su tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse. Soddisfa il requisito della forma scritta previa identificazione informatica delle parti interessate, attraverso un processo avente i requisiti fissati dall’Agenzia per l’Italia Digitale con linee guida da adottarsi entro 90 giorni dall’entrata in vigore della legge di conversione del decreto legge. L. n. 12/2019 (Legge di conversione del Decreto Semplificazioni) Art.8-ter “Tecnologie basate su registri distribuiti e smart contract”
Blockchain Vs GDPR
Accesso e visibilità dei dati – I dati inseriti nelle Blockchain sono pubblici e fruibili da chiunque partecipi alla catena Identificazione dei Titolari del trattamento – Il controllo sui dati non può essere centralizzato ed è in capo a tutti i partecipanti alla Blockchain Immutabilità dei dati nel tempo – I dati sono conservati illimitatamente e non possono essere modificati, manomessi o cancellati. Compressione diritti dell’interessato – I dati archiviati in una Blockchain sono di impossibile manomissione, e cancellazione I maggiori punti critici… 14
 Potenzialità Blockchain, ma anche profili critici: ○  dati pseudonimi e non anonimi  conseguente applicazione del GDPR. ○ Riconoscimento delle difficoltà insite nel corretto esercizio dei diritti dell’interessato; ○ Necessità di un quadro più approfondito sul punto  il Parlamento Europeo ha invitato la Commissione Europea e il Garante Europeo per la Protezione dei Dati a fornire, a mezzo soft law, ulteriori orientamenti sul punto. 15 Risoluzione Parlamento Europeo 3 ottobre 2018
Uno sguardo al GDPR…
Il GDPR inaugura un nuovo approccio… 17 Non si tratta di soluzioni formalistiche!
Oggetto e finalità 18 Articolo 1 Oggetto e finalità (C1-14, C170, C172) 1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. 2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. 3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. GPDR Protezione delle persone fisiche con riguardo al trattamento dei dati personali Libera circolazione dei dati personali delle persone fisiche Protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali
19 I principi del RGPD PRINCIPIO DI FINALITÀ o di limitazione della finalità (art. 5, par. 1, lett. b) I DATI PERSONALI DEVONO ESSERE RACCOLTI PER FINALITÀ DETERMINATE, ESPLICITE E LEGITTIME, E SUCCESSIVAMENTE TRATTATI IN MODO CHE NON SIA INCOMPATIBILE CON TALI FINALITÀ. PERTANTO, OGNI ATTIVITÀ DI TRATTAMENTO È CONSENTITA SOLO SE È ANCORATA AD UNA FINALITÀ (SCOPO) OVVERO SE INERENTE CON L’ATTIVITÀ PRESTATA 20M 4%
20 I principi del GDPR LICEITÀ (art. 5, par. 1, lett. a) I DATI PERSONALI DEVONO ESSERE TRATTATI IN MODO LECITO, CORRETTO E TRASPARENTE NEI CONFRONTI DELL’INTERESSATO I DATI PERSONALI OGGETTO DI TRATTAMENTO DEVONO ESSERE ADEGUATI, PERTINENTI E LIMITATI A QUANTO NECESSARIO RISPETTO ALLE FINALITÀ PER LE QUALI SONO TRATTATI MINIMIZZAZIONE DEI DATI (Proporzionalità) (art. 5, par. 1, lett. c) 20M 4% 20M 4%
21 I principi del GDPR ESATTEZZA (art. 5, par. 1, lett. d) I DATI TRATTATI DEVONO ESSERE SEMPRE ESATTI E, SE NECESSARIO, AGGIORNATI; INOLTRE, DEVONO ESSERE ADOTTATE TUTTE LE MISURE RAGIONEVOLI PER CANCELLARE O RETTIFICARE TEMPESTIVAMENTE I DATI INESATTI RISPETTO ALLE FINALITÀ PER LE QUALI SONO TRATTATI 20M 4%
22 I principi del GDPR LIMITAZIONE DELLA CONSERVAZIONE (art. 5, par. 1, lett. d) I DATI PERSONALI DEVONO ESSERE CONSERVATI IN UNA FORMA CHE CONSENTA L’IDENTIFICAZIONE DEGLI INTERESSATI PER UN ARCO DI TEMPO NON SUPERIORE AL CONSEGUIMENTO DELLE FINALITÀ PER LE QUALI SONO TRATTATI. I DATI PERSONALI POSSONO ESSERE CONSERVATI PER PERIODI PIÙ LUNGHI A CONDIZIONE CHE SIANO TRATTATI ESCLUSIVAMENTE A FINI DI ARCHIVIAZIONE NEL PUBBLICO INTERESSE, DI RICERCA SCIENTIFICA O STORICA O A FINI STATISTICI, […] FATTA SALVA L’ATTUAZIONE DI MISURE TECNICHE E ORGANIZZATIVE ADEGUATE RICHIESTE DAL PRESENTE REGOLAMENTO A TUTELA DEI DIRITTI E DELLE LIBERTÀ DELL’INTERESSATO 20M 4%
23 I principi del GDPR INTEGRITÀ E RISERVATEZZA (art. 5, par. 1, lett. f) I DATI PERSONALI DEVONO ESSERE TRATTATI IN MANIERA DA GARANTIRE UN’ADEGUATA SICUREZZA DEI DATI PERSONALI, COMPRESA LA PROTEZIONE, MEDIANTE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE, DA TRATTAMENTI NON AUTORIZZATI O ILLECITI E DALLA PERDITA, DALLA DISTRUZIONE O DAL DANNO ACCIDENTALI IL TITOLARE DEL TRATTAMENTO È COMPETENTE PER IL RISPETTO DEI PRINCIPI E DEVE ESSERE IN GRADO DI COMPROVARLO Responsabilizzazion e del titolare del trattamento 20M 4%
24 I principi del GDPR I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione dei dati personali e dei dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. PRINCIPIO DI NECESSITÀ (art. 3, D. Lgs. 196/2003) Principio ancora valido Data protection by design and by default Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78) 10M 2%
○ Il GDPR in sintesi:  principi guida di liceità, correttezza, trasparenza, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza;  predisposizione registro trattamenti (art.30)  obbligo in ambito sanitario;  regole più dettagliate in materia di informativa e consenso;  diritti dell’interessato  accesso, rettifica e cancellazione (c.d. diritto all’oblio, art.17) diritto alla portabilità dei dati, diritto di opposizione; 25
Blockchain e accessibilità dei dati
27 1. Come la protezione dei dati personali, in generale, potrà conciliarsi con un sistema all’interno del quale confluiscono enormi quantità di dati? 2. Come rispettare le regole sul tempo di conservazione dei dati all’interno di un sistema che ne prevede un’archiviazione a tempo indeterminato?
Blockchain e GDPR: punti di forza
Blockchain e GDPR – Punti di forza Fornisce informazioni strettamente necessarie (minimizzazione dei dati); . Rende modulabile il consenso a determinati trattamenti specifici Rende il trattamento più trasparente Minor rischio di perdita dei dati rispetto alla logica centralizzata. Il consenso stesso è a sua volta verificabile da parte di diversi attori La decentralizzazione e la distribuzione rendono molto più difficili gli attacchi di cybercrimes 29
Blockchain e GDPR – Punti di forza Possibilità di garantire la pseudonimizzazione: disaccoppiamenti dati-entità individuale (concetto di “data protection by design”, oltre alla “data protection by default”);. 30 Possibilità di fare ampio uso della crittografia.
Blockchain e GDPR. Le questioni principali
LA BLOCKCHAIN È «DISRUPTIVE» irrompe nei tradizionali sistemi, sostituendo i tradizionali operatori attraverso un processo di reintermediazione, basata sui peers. 32 Sistema basato su un DATABASE DECENTRALIZZATO e condiviso dagli utenti. DECENTRALIZZAZIONE delle funzioni amministrative e di supervisione, le quali vengono affidate agli utenti stessi (cd. miners), che monitorano ed autorizzano ogni scambio, elaborando autonomamente le operazioni attraverso un meccanismo di consenso diffusoogni nodo ha il compito e il potere di aggiornare il database distribuito
33  Chi è il Titolare del Trattamento in una blockchain?  In caso di controversie, quale diritto e quale giurisdizione?  Cosa può ritenersi dato personale in una blockchain?  Logica distribuita e circolazione transfrontaliera di dati: quali tutele?  Come tutelare i diritti dell’interessato?  Mantenimento dei dati su ogni nodo della rete: quale finalità?
34  Chi è il Titolare del Trattamento in una blockchain? (soprattutto in caso di DTL pubbliche) • La CNIL (Commission Nationale de l’Informatique et des Libertés. ) osserva che i partecipanti, che scrivono sulla catena, possano essere inquadrati come titolari del trattamento perché ne definiscono le finalità (obiettivi perseguiti dall'elaborazione) e i mezzi (formato dei dati, uso della tecnologia blockchain, ecc.). • La CNIL raccomanda ai partecipanti di individuare un titolare, ovvero un soggetto giuridico scelto appositamente per svolgere la funzione di titolare. In caso contrario, tutti i partecipanti potrebbero essere considerati contitolari (ex art. 26 GDPR), con tutto ciò che ne consegue in termini di distribuzione del potere decisionale (e delle relative responsabilità) sul trattamento da terminare “in modo trasparente, mediante un accordo interno”, con particolare riguardo all’esercizio dei diritti dell'interessato. (Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data, 06 November 2018)
35  Chi è il Titolare del Trattamento in una blockchain? (soprattutto in caso di DTL pubbliche) • FINCK sostiene che i nodi non possano essere inquadrati come contitolari ai sensi dell'articolo 26, paragrafo 1, del GDPR in quanto essi non “determinano congiuntamente le finalità e le modalità del trattamento”. • I nodi sono, infatti, liberi di determinare se aderire al libro mastro e non ne determinerebbero le regole. In base a tale orientamento, l’inquadramento di ciascun nodo come titolare solleva considerevoli complicazioni, tra le quali, la definizione del loro esatto numero, della posizione e dell’identità. I nodi sono, inoltre, partecipanti passivi soggetti alle regole del software progettato dagli sviluppatori. (M. Finck, Blockchains and Data Protection in the European Union (2017))
36  In caso di controversie, quale diritto e quale giurisdizione?  Regole contrattuali  In situazioni in cui non è possibile identificare i soggetti che elaborano i dati personali e il luogo in cui i dati vengono elaborati (tanti soggetti e altrettanti luoghi), è difficile individuare la giurisdizione e la legge nazionale applicabile.
37 – la chiave pubblica del mittente della transazione; – la chiave pubblica del destinatario della transazione; – un hash crittografico del contenuto della transazione (che potrebbe essere dato da qualsiasi cosa: un certificato di nascita, un diploma accademico, un copyright, un capo di abbigliamento, una valuta, una quantità di metallo prezioso, ecc.); – la data e l’ora della transazione INFATTI, è impossibile ricostruire il contenuto di una transazione dall’hash crittografico monodirezionale. E a meno che una delle parti della transazione non decida di collegare una chiave pubblica a un’identità conosciuta, non è possibile mappare e collegare le transazioni a singoli individui o organizzazioni. Ciò significa che anche se la Blockchain è “pubblica” (dove chiunque può vedere tutte le transazioni su di essa), nessuna informazione personale viene resa pubblica.
38  Cosa può ritenersi dato personale in una blockchain?  DATO PERSONALE: indicazioni del Gruppo di Lavoro ex art. 29, parere WP136 del 2007  Approccio analitico: (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”). Il Gruppo ha individuato le tre parole che forniscono la sua chiave di lettura: “informazione”, “riguardante” e “identificabile Considerando 26 del GDPR (conforme al considerando 26 della precedente Direttiva): “per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”.
39  Come tutelare i diritti dell’interessato?  Conservazione illimitata di dati vs diritto all’oblio;  fisiologica pubblicità dei dati e accessibilità da parte dei partecipanti alla catena (quantomeno prima facie) vs tutela della riservatezza;  immodificabilità vs diritto alla correzione dei dati errati e diritto alla limitazione;
40 Le funzioni hash rendono impossibile la reidentificazione creando, in genere, dati anonimi. Da notare che con l’inciso “in genere”, il Gruppo fa riferimento probabilmente alla possibilità di associare i digest a liste di corrispondenza il che ovviamente, al ricorrere degli altri elementi del test WP136 (ad esempio, il rendere facilmente disponibili tali liste), rende vano l’impiego di funzioni hash nel processo di anonimizzazione). RIFLESSIONE: sembra che i Garanti, in linea di principio, in questo parere ritengono l’applicazione di una funzione unidirezionale circostanza sufficiente per anonimizzare i dati e quindi per procedere al trattamento in modo sicuro. Anche a proposito della funzione hash, quindi, deve concludersi che essa non implica un trattamento di dati personali, a condizione ovviamente, come per le chiavi asimmetriche, che ricorrano (o non ricorrano) certi elementi a contorno che costituiscono sufficiente garanzia di protezione dei dati.
41 il Gruppo dei Garanti europei ha chiarito che l’hashing è una tecnica di pseudonimizzazione, di conseguenza può affermarsi che la blockchain è idonea a registrare dati personali riferiti ad individui potenzialmente identificabili. La caratteristica appena illustrata è, di per se sola, sufficiente per rendere applicabile la disciplina in materia di dati personali. In senso opposto!!!!
42  Logica distribuita e circolazione transfrontaliera di dati (rispetto delle regole del GDPR per il trasferimento di dati all’estero)  Principio generale per il trasferimento (art. 44 GDPR): Condizioni per il trasferimento dei dati personali Decisione di adeguatezza della Commissione Altre forme di garanzie adeguate Altre deroghe
43  Mantenimento dei dati su ogni nodo della rete: quale finalità?
PROSPETTIVE RISOLUTIVE
45  STOCCAGGIO FUORI DALLA CATENA  memorizzazione dei dati personali fuori dalla blockchain e memorizzazione solo di un riferimento (collegamento) all’interno di essa;  DISTRUZIONE DELLE CHIAVI CRITTOGRAFICHE  ma: inaccessibilità e non distruzione.  LIMITAZIONE del numero di nodi che “vedono” le informazioni;  ampio uso della CRITTOGRAFIA.
Sviluppare e progettare secondo l’approccio della «data protection by design and by default» In conclusione… 46 • Competitività • Riduzione dei costi di intervento a posteriori Vantaggi per i produttori • Compliance • Basso rischio di sanzioni • Risparmio costi di gestione di data breaches, risarcimenti danni • Migliore reputazione Vantaggi per le aziende e le P.A. (titolari/responsabili del trattamento):
CI SONO DOMANDE? Alessia Palladino alessiadiana.palladino@gmail.com info@diricto.it 47 Grazie
48 …e i nostri siti web: http://www.diricto.it http://ict4forensics.diee.unica.it http://www.marcafoto.it
Licenza Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale o Tu sei libero di: Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale con qualsiasi mezzo e formato; Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere; Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza Alle seguenti condizioni:  Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.  Non commerciale. Non puoi usare il materiale per fini commerciali.  Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale originario. o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare. o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.

Recommended

Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)SMAU
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiDigital Law Communication
 
Data protection e blockchain
Data protection e blockchainData protection e blockchain
Data protection e blockchainmarcomaglio
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano LovatiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano LovatiDigital Law Communication
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoFrancesco Paolo Micozzi
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 

Recommended

Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)SMAU
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiDigital Law Communication
 
Data protection e blockchain
Data protection e blockchainData protection e blockchain
Data protection e blockchainmarcomaglio
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano LovatiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano LovatiDigital Law Communication
 
GDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoGDPR - congresso giuridico Trento
GDPR - congresso giuridico TrentoFrancesco Paolo Micozzi
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
Equilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiEquilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiFernanda Faini
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Andrea Maggipinto [+1k]
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Blockchain e mercato internazionale - Pietro Marchionni
Blockchain e mercato internazionale - Pietro MarchionniBlockchain e mercato internazionale - Pietro Marchionni
Blockchain e mercato internazionale - Pietro MarchionniCSI Piemonte
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazionemichelemanzotti
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceDiritto & Information and Communication Technology
 
Hr paradigma
Hr paradigmaHr paradigma
Hr paradigmaSalvo Reina
 

More Related Content

What's hot

#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
Equilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiEquilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiFernanda Faini
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Andrea Maggipinto [+1k]
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Blockchain e mercato internazionale - Pietro Marchionni
Blockchain e mercato internazionale - Pietro MarchionniBlockchain e mercato internazionale - Pietro Marchionni
Blockchain e mercato internazionale - Pietro MarchionniCSI Piemonte
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazionemichelemanzotti
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 

What's hot (18)

#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
 
Equilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiEquilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_faini
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
Blockchain e mercato internazionale - Pietro Marchionni
Blockchain e mercato internazionale - Pietro MarchionniBlockchain e mercato internazionale - Pietro Marchionni
Blockchain e mercato internazionale - Pietro Marchionni
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazione
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticità
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 

Similar to Blockchain e GDPR: un binomio possibile - Smau Napoli 2019

OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)Simone Aliprandi
 
Smau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSmau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSMAU
 
Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...GELLIFY
 
INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»Edoardo E. Artese
 
Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Agostino Pedone
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
 
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)Andrea Maggipinto [+1k]
 
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Andrea Rossetti
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato
 
La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...
La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...
La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...Gilberto Cavagna
 
Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017SMAU
 

Similar to Blockchain e GDPR: un binomio possibile - Smau Napoli 2019 (20)

OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Hr paradigma
Hr paradigmaHr paradigma
Hr paradigma
 
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Smau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-TorinoSmau Milano 2019 CSIG Ivrea-Torino
Smau Milano 2019 CSIG Ivrea-Torino
 
Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...
 
INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»
 
Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
 
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
 
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy
 
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
 
La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...
La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...
La strategia aziendale sulle informazioni segrete: i diversi tipi di informaz...
 
Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017Alessia Palladino Diricto - SMAU NAPOLI 2017
Alessia Palladino Diricto - SMAU NAPOLI 2017
 

Blockchain e GDPR: un binomio possibile - Smau Napoli 2019

  • 1. Blockchain e GDPR: un binomio possibile Alessia Palladino
  • 2. 2 DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di sviluppare attività di studio, ricerca e approfondimento nell'ambito delle tematiche di interesse comune per il mondo giuridico e informatico Web site: www.diricto.it
  • 3. 3 ICT for Law and Forensics è il laboratorio di Informatica Forense del Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari. Aree di interesse: e-commerce e contrattazione telematica, la tutela giuridica dei domain names, privacy e protezione dei dati personali nel mondo telematico, cyber crimes, digital forensics Web site: ict4forensics.diee.unica.it
  • 4. 4 DI COSA PARLEREMO? 1. Introduzione e ambito di indagine; 2. Il sistema Blockchain: DLT pubblici e privati; 3. Aspetti di natura soggettiva relativi al meccanismo “associativo – partecipazionale”; 4. Le principali ricadute in tema di diritto alla Protezione dei Dati Personali; 5. Adempimenti collegati .
  • 5. Che cos’è la Blockchain?  Registro aperto e distribuito che può memorizzare le transazioni tra due parti in modo sicuro, verificabile e permanente.  È una tecnologia che consente lo scambio, attraverso la rete, di informazioni e di diverse tipologie di valori  Catena di blocchi, contenente dati che retroattivamente alterati senza che vengano modificati tutti i blocchi successivi ad esso, il che, per la natura del protocollo e dello schema di validazione, necessiterebbe il consenso della maggioranza della rete.
  • 6. Che cos’è la Blockchain? Il database assume le seguente caratteristiche: • Sicurezza: criptato con precise regole di sicurezza e aggiornabile solo attraverso il consenso «distribuito» • Immutabilità: le informazioni registrate non possono essere cancellate, modificate e/o corrotte • Trasparenza: aperto a tutti i partecipanti
  • 8. Dalla logica centralizzata alla “Distributed Ledger Technology” ● LEDGER = libro mastro La metafora del Libro mastro come memoria storica di azioni e operazioni commerciali  Blockchain come «archivio tecnologico». 8
  • 9. Registro organizzato in “blocchi” separati, che raggruppano insiemi di transazioni, tra loro collegati per formare una catena sequenziale e marcata temporalmente. 9 È UN REGISTRO IMMODIFICABILE LE CUI COPIE SONO DISTRIBUITE SUI VARI NODI DELLA RETE provenienza e destinazione della transazione sono verificate tramite l’utilizzo di CHIAVI PUBBLICHE CRITTOGRAFICHE
  • 10. Ogni blocco ha un header (ai fini dell’organizzazione del database distribuito) e al suo interno: 10 È UN REGISTRO IMMODIFICABILE LE CUI COPIE SONO DISTRIBUITE SUI VARI NODI DELLA RETE • l’hash di tutte le transazioni registrate nel blocco; • la marcatura temporale; • l’hash del blocco precedente
  • 11. Due differenti modelli di gestione ● DTL PUBBLICI - tenuta del registro affidata a tutti i nodi del network. - ogni partecipante contribuisce all’aggiornamento dei dati. 11 DTL PRIVATI - presenza di un proprietario (gestore unico, pubblico o privato). - nuovo inserimento di informazioni vincolato all’approvazione di un numero limitato di attori.
  • 12. 12 Tecnologie basate su registri distribuiti (ovvero Distributed Ledger Techlogies) Smart Contract Sono le tecnologie e i protocolli informatici che usano un registro: - condiviso; - distribuito; - replicabile; - accessibile simultaneamente; - architetturalmente decentralizzato su basi crittografiche, tali da consentire: - la registrazione; - la convalida; - l’aggiornamento; - l’archiviazione di dati – sia in chiaro che ulteriormente protetti da crittografia – verificabili da ciascun partecipante, non alterabili e non modificabili. È un “programma per elaboratore” che opera su tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse. Soddisfa il requisito della forma scritta previa identificazione informatica delle parti interessate, attraverso un processo avente i requisiti fissati dall’Agenzia per l’Italia Digitale con linee guida da adottarsi entro 90 giorni dall’entrata in vigore della legge di conversione del decreto legge. L. n. 12/2019 (Legge di conversione del Decreto Semplificazioni) Art.8-ter “Tecnologie basate su registri distribuiti e smart contract”
  • 14. Accesso e visibilità dei dati – I dati inseriti nelle Blockchain sono pubblici e fruibili da chiunque partecipi alla catena Identificazione dei Titolari del trattamento – Il controllo sui dati non può essere centralizzato ed è in capo a tutti i partecipanti alla Blockchain Immutabilità dei dati nel tempo – I dati sono conservati illimitatamente e non possono essere modificati, manomessi o cancellati. Compressione diritti dell’interessato – I dati archiviati in una Blockchain sono di impossibile manomissione, e cancellazione I maggiori punti critici… 14
  • 15.  Potenzialità Blockchain, ma anche profili critici: ○  dati pseudonimi e non anonimi  conseguente applicazione del GDPR. ○ Riconoscimento delle difficoltà insite nel corretto esercizio dei diritti dell’interessato; ○ Necessità di un quadro più approfondito sul punto  il Parlamento Europeo ha invitato la Commissione Europea e il Garante Europeo per la Protezione dei Dati a fornire, a mezzo soft law, ulteriori orientamenti sul punto. 15 Risoluzione Parlamento Europeo 3 ottobre 2018
  • 16. Uno sguardo al GDPR…
  • 17. Il GDPR inaugura un nuovo approccio… 17 Non si tratta di soluzioni formalistiche!
  • 18. Oggetto e finalità 18 Articolo 1 Oggetto e finalità (C1-14, C170, C172) 1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. 2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. 3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. GPDR Protezione delle persone fisiche con riguardo al trattamento dei dati personali Libera circolazione dei dati personali delle persone fisiche Protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali
  • 19. 19 I principi del RGPD PRINCIPIO DI FINALITÀ o di limitazione della finalità (art. 5, par. 1, lett. b) I DATI PERSONALI DEVONO ESSERE RACCOLTI PER FINALITÀ DETERMINATE, ESPLICITE E LEGITTIME, E SUCCESSIVAMENTE TRATTATI IN MODO CHE NON SIA INCOMPATIBILE CON TALI FINALITÀ. PERTANTO, OGNI ATTIVITÀ DI TRATTAMENTO È CONSENTITA SOLO SE È ANCORATA AD UNA FINALITÀ (SCOPO) OVVERO SE INERENTE CON L’ATTIVITÀ PRESTATA 20M 4%
  • 20. 20 I principi del GDPR LICEITÀ (art. 5, par. 1, lett. a) I DATI PERSONALI DEVONO ESSERE TRATTATI IN MODO LECITO, CORRETTO E TRASPARENTE NEI CONFRONTI DELL’INTERESSATO I DATI PERSONALI OGGETTO DI TRATTAMENTO DEVONO ESSERE ADEGUATI, PERTINENTI E LIMITATI A QUANTO NECESSARIO RISPETTO ALLE FINALITÀ PER LE QUALI SONO TRATTATI MINIMIZZAZIONE DEI DATI (Proporzionalità) (art. 5, par. 1, lett. c) 20M 4% 20M 4%
  • 21. 21 I principi del GDPR ESATTEZZA (art. 5, par. 1, lett. d) I DATI TRATTATI DEVONO ESSERE SEMPRE ESATTI E, SE NECESSARIO, AGGIORNATI; INOLTRE, DEVONO ESSERE ADOTTATE TUTTE LE MISURE RAGIONEVOLI PER CANCELLARE O RETTIFICARE TEMPESTIVAMENTE I DATI INESATTI RISPETTO ALLE FINALITÀ PER LE QUALI SONO TRATTATI 20M 4%
  • 22. 22 I principi del GDPR LIMITAZIONE DELLA CONSERVAZIONE (art. 5, par. 1, lett. d) I DATI PERSONALI DEVONO ESSERE CONSERVATI IN UNA FORMA CHE CONSENTA L’IDENTIFICAZIONE DEGLI INTERESSATI PER UN ARCO DI TEMPO NON SUPERIORE AL CONSEGUIMENTO DELLE FINALITÀ PER LE QUALI SONO TRATTATI. I DATI PERSONALI POSSONO ESSERE CONSERVATI PER PERIODI PIÙ LUNGHI A CONDIZIONE CHE SIANO TRATTATI ESCLUSIVAMENTE A FINI DI ARCHIVIAZIONE NEL PUBBLICO INTERESSE, DI RICERCA SCIENTIFICA O STORICA O A FINI STATISTICI, […] FATTA SALVA L’ATTUAZIONE DI MISURE TECNICHE E ORGANIZZATIVE ADEGUATE RICHIESTE DAL PRESENTE REGOLAMENTO A TUTELA DEI DIRITTI E DELLE LIBERTÀ DELL’INTERESSATO 20M 4%
  • 23. 23 I principi del GDPR INTEGRITÀ E RISERVATEZZA (art. 5, par. 1, lett. f) I DATI PERSONALI DEVONO ESSERE TRATTATI IN MANIERA DA GARANTIRE UN’ADEGUATA SICUREZZA DEI DATI PERSONALI, COMPRESA LA PROTEZIONE, MEDIANTE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE, DA TRATTAMENTI NON AUTORIZZATI O ILLECITI E DALLA PERDITA, DALLA DISTRUZIONE O DAL DANNO ACCIDENTALI IL TITOLARE DEL TRATTAMENTO È COMPETENTE PER IL RISPETTO DEI PRINCIPI E DEVE ESSERE IN GRADO DI COMPROVARLO Responsabilizzazion e del titolare del trattamento 20M 4%
  • 24. 24 I principi del GDPR I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione dei dati personali e dei dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. PRINCIPIO DI NECESSITÀ (art. 3, D. Lgs. 196/2003) Principio ancora valido Data protection by design and by default Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78) 10M 2%
  • 25. ○ Il GDPR in sintesi:  principi guida di liceità, correttezza, trasparenza, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza;  predisposizione registro trattamenti (art.30)  obbligo in ambito sanitario;  regole più dettagliate in materia di informativa e consenso;  diritti dell’interessato  accesso, rettifica e cancellazione (c.d. diritto all’oblio, art.17) diritto alla portabilità dei dati, diritto di opposizione; 25
  • 27. 27 1. Come la protezione dei dati personali, in generale, potrà conciliarsi con un sistema all’interno del quale confluiscono enormi quantità di dati? 2. Come rispettare le regole sul tempo di conservazione dei dati all’interno di un sistema che ne prevede un’archiviazione a tempo indeterminato?
  • 28. Blockchain e GDPR: punti di forza
  • 29. Blockchain e GDPR – Punti di forza Fornisce informazioni strettamente necessarie (minimizzazione dei dati); . Rende modulabile il consenso a determinati trattamenti specifici Rende il trattamento più trasparente Minor rischio di perdita dei dati rispetto alla logica centralizzata. Il consenso stesso è a sua volta verificabile da parte di diversi attori La decentralizzazione e la distribuzione rendono molto più difficili gli attacchi di cybercrimes 29
  • 30. Blockchain e GDPR – Punti di forza Possibilità di garantire la pseudonimizzazione: disaccoppiamenti dati-entità individuale (concetto di “data protection by design”, oltre alla “data protection by default”);. 30 Possibilità di fare ampio uso della crittografia.
  • 31. Blockchain e GDPR. Le questioni principali
  • 32. LA BLOCKCHAIN È «DISRUPTIVE» irrompe nei tradizionali sistemi, sostituendo i tradizionali operatori attraverso un processo di reintermediazione, basata sui peers. 32 Sistema basato su un DATABASE DECENTRALIZZATO e condiviso dagli utenti. DECENTRALIZZAZIONE delle funzioni amministrative e di supervisione, le quali vengono affidate agli utenti stessi (cd. miners), che monitorano ed autorizzano ogni scambio, elaborando autonomamente le operazioni attraverso un meccanismo di consenso diffusoogni nodo ha il compito e il potere di aggiornare il database distribuito
  • 33. 33  Chi è il Titolare del Trattamento in una blockchain?  In caso di controversie, quale diritto e quale giurisdizione?  Cosa può ritenersi dato personale in una blockchain?  Logica distribuita e circolazione transfrontaliera di dati: quali tutele?  Come tutelare i diritti dell’interessato?  Mantenimento dei dati su ogni nodo della rete: quale finalità?
  • 34. 34  Chi è il Titolare del Trattamento in una blockchain? (soprattutto in caso di DTL pubbliche) • La CNIL (Commission Nationale de l’Informatique et des Libertés. ) osserva che i partecipanti, che scrivono sulla catena, possano essere inquadrati come titolari del trattamento perché ne definiscono le finalità (obiettivi perseguiti dall'elaborazione) e i mezzi (formato dei dati, uso della tecnologia blockchain, ecc.). • La CNIL raccomanda ai partecipanti di individuare un titolare, ovvero un soggetto giuridico scelto appositamente per svolgere la funzione di titolare. In caso contrario, tutti i partecipanti potrebbero essere considerati contitolari (ex art. 26 GDPR), con tutto ciò che ne consegue in termini di distribuzione del potere decisionale (e delle relative responsabilità) sul trattamento da terminare “in modo trasparente, mediante un accordo interno”, con particolare riguardo all’esercizio dei diritti dell'interessato. (Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data, 06 November 2018)
  • 35. 35  Chi è il Titolare del Trattamento in una blockchain? (soprattutto in caso di DTL pubbliche) • FINCK sostiene che i nodi non possano essere inquadrati come contitolari ai sensi dell'articolo 26, paragrafo 1, del GDPR in quanto essi non “determinano congiuntamente le finalità e le modalità del trattamento”. • I nodi sono, infatti, liberi di determinare se aderire al libro mastro e non ne determinerebbero le regole. In base a tale orientamento, l’inquadramento di ciascun nodo come titolare solleva considerevoli complicazioni, tra le quali, la definizione del loro esatto numero, della posizione e dell’identità. I nodi sono, inoltre, partecipanti passivi soggetti alle regole del software progettato dagli sviluppatori. (M. Finck, Blockchains and Data Protection in the European Union (2017))
  • 36. 36  In caso di controversie, quale diritto e quale giurisdizione?  Regole contrattuali  In situazioni in cui non è possibile identificare i soggetti che elaborano i dati personali e il luogo in cui i dati vengono elaborati (tanti soggetti e altrettanti luoghi), è difficile individuare la giurisdizione e la legge nazionale applicabile.
  • 37. 37 – la chiave pubblica del mittente della transazione; – la chiave pubblica del destinatario della transazione; – un hash crittografico del contenuto della transazione (che potrebbe essere dato da qualsiasi cosa: un certificato di nascita, un diploma accademico, un copyright, un capo di abbigliamento, una valuta, una quantità di metallo prezioso, ecc.); – la data e l’ora della transazione INFATTI, è impossibile ricostruire il contenuto di una transazione dall’hash crittografico monodirezionale. E a meno che una delle parti della transazione non decida di collegare una chiave pubblica a un’identità conosciuta, non è possibile mappare e collegare le transazioni a singoli individui o organizzazioni. Ciò significa che anche se la Blockchain è “pubblica” (dove chiunque può vedere tutte le transazioni su di essa), nessuna informazione personale viene resa pubblica.
  • 38. 38  Cosa può ritenersi dato personale in una blockchain?  DATO PERSONALE: indicazioni del Gruppo di Lavoro ex art. 29, parere WP136 del 2007  Approccio analitico: (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”). Il Gruppo ha individuato le tre parole che forniscono la sua chiave di lettura: “informazione”, “riguardante” e “identificabile Considerando 26 del GDPR (conforme al considerando 26 della precedente Direttiva): “per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”.
  • 39. 39  Come tutelare i diritti dell’interessato?  Conservazione illimitata di dati vs diritto all’oblio;  fisiologica pubblicità dei dati e accessibilità da parte dei partecipanti alla catena (quantomeno prima facie) vs tutela della riservatezza;  immodificabilità vs diritto alla correzione dei dati errati e diritto alla limitazione;
  • 40. 40 Le funzioni hash rendono impossibile la reidentificazione creando, in genere, dati anonimi. Da notare che con l’inciso “in genere”, il Gruppo fa riferimento probabilmente alla possibilità di associare i digest a liste di corrispondenza il che ovviamente, al ricorrere degli altri elementi del test WP136 (ad esempio, il rendere facilmente disponibili tali liste), rende vano l’impiego di funzioni hash nel processo di anonimizzazione). RIFLESSIONE: sembra che i Garanti, in linea di principio, in questo parere ritengono l’applicazione di una funzione unidirezionale circostanza sufficiente per anonimizzare i dati e quindi per procedere al trattamento in modo sicuro. Anche a proposito della funzione hash, quindi, deve concludersi che essa non implica un trattamento di dati personali, a condizione ovviamente, come per le chiavi asimmetriche, che ricorrano (o non ricorrano) certi elementi a contorno che costituiscono sufficiente garanzia di protezione dei dati.
  • 41. 41 il Gruppo dei Garanti europei ha chiarito che l’hashing è una tecnica di pseudonimizzazione, di conseguenza può affermarsi che la blockchain è idonea a registrare dati personali riferiti ad individui potenzialmente identificabili. La caratteristica appena illustrata è, di per se sola, sufficiente per rendere applicabile la disciplina in materia di dati personali. In senso opposto!!!!
  • 42. 42  Logica distribuita e circolazione transfrontaliera di dati (rispetto delle regole del GDPR per il trasferimento di dati all’estero)  Principio generale per il trasferimento (art. 44 GDPR): Condizioni per il trasferimento dei dati personali Decisione di adeguatezza della Commissione Altre forme di garanzie adeguate Altre deroghe
  • 43. 43  Mantenimento dei dati su ogni nodo della rete: quale finalità?
  • 45. 45  STOCCAGGIO FUORI DALLA CATENA  memorizzazione dei dati personali fuori dalla blockchain e memorizzazione solo di un riferimento (collegamento) all’interno di essa;  DISTRUZIONE DELLE CHIAVI CRITTOGRAFICHE  ma: inaccessibilità e non distruzione.  LIMITAZIONE del numero di nodi che “vedono” le informazioni;  ampio uso della CRITTOGRAFIA.
  • 46. Sviluppare e progettare secondo l’approccio della «data protection by design and by default» In conclusione… 46 • Competitività • Riduzione dei costi di intervento a posteriori Vantaggi per i produttori • Compliance • Basso rischio di sanzioni • Risparmio costi di gestione di data breaches, risarcimenti danni • Migliore reputazione Vantaggi per le aziende e le P.A. (titolari/responsabili del trattamento):
  • 47. CI SONO DOMANDE? Alessia Palladino alessiadiana.palladino@gmail.com info@diricto.it 47 Grazie
  • 48. 48 …e i nostri siti web: http://www.diricto.it http://ict4forensics.diee.unica.it http://www.marcafoto.it
  • 49. Licenza Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale o Tu sei libero di: Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale con qualsiasi mezzo e formato; Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere; Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza Alle seguenti condizioni:  Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.  Non commerciale. Non puoi usare il materiale per fini commerciali.  Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale originario. o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare. o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.