Procedura di cancellazione/rettifica/limitazione dei Dati Personali ai sensi del GDPR

 

Ai sensi del Regolamento UE 2016/679 (“GDPR”), per “Dati Personali” si intende congiuntamente:

  • “Dati Personali Comuni”, ovverosia qualunque informazione riguardante una persona fisica, identificata o identificabile, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati di ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, eco-nomica, culturale o sociale (art. 4 n. 1 del GDPR);
  • “Categorie Particolari di Dati Personali”, ovverosia dati che rilevano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o fisiologiche, l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale (art. 6 del GDPR); e
  • “Dati Giudiziari”, ovverosia dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art. 10 del GDPR).

Pablock è un sistema interamente decentralizzato e non utilizza database centrali per salvare i File Digitali (contenenti dati tra cui Dati Personali e informazioni sensibili) caricati dai suoi Utenti, nessun File Digitale durante l’intero processo di Validazione Blockchain (“notarizzazione”), ed utilizzo della Web-app, viene salvato da Pablock internamente su un proprio database. La Validazione Blockchain di File Digitali avviene mediante transazioni sulla blockchain di Polygon, e successivamente avviene l’ancoraggio sulla mainnet di Ethereum. Una volta “notarizzati” su Polygon, i File Digitali sono già caricati su blockchain e diventano dunque immutabili (NB).

NB: la tecnologia blockchain, che fa parte della più ampia famiglia delle DLT (Distributed Ledger Technology), è definita come un registro pubblico distribuito, dove tutti possono scrivere e aggiungere informazioni. Le principali caratteristiche sono dunque la decentralizzazione, verificabilità e trasparenza. Proprio per queste caratteristiche, una volta aggiunte al registro le informazioni non possono essere più cancellate da nessuno, sono dunque immutabili.

All’interno della transazione, però, i File Digitali caricati sono visibili solamente in maniera criptata. Infatti, la transazione contiene unicamente l’Hash dei File Digitali inseriti dall’Utente di Pablock (NB).

NB: la funzione di hash è un algoritmo che trasforma una stringa di dati di lunghezza arbitraria, come un File Digitale, in una stringa di lunghezza fissa, composta da lettere e numeri, pari a 32 caratteri. Questo algoritmo è una funzione unidirezionale, quindi partendo dai dati si può produrre un hash, ma non viceversa, dunque da un hash non si può risalire ai dati. Ogni hash è univoco e non replicabile, una determinata stringa di dati produce sempre il medesimo hash se non ci sono modifiche nel File Digitale, mentre una minima modifica al File Digitale produce un hash diverso dal precedente. Se vuoi scoprire come funziona la crittografia mediante hash puoi utilizzare il nostro tool gratuito per crittare i dati (link al tool).

Dunque sulla blockchain non vengono salvati File Digitali (contenenti dati ivi inclusi i Dati Personali) in “chiaro”, ma unicamente i relativi Hash File Digitali, che permettono, in caso fosse necessario, di dimostrare il possesso di un determinato File Digitale ad una data certa. I File Digitali caricati vengono tuttavia salvati su IPFS (NB).

NB: IPFS (InterPlanetary File System) è un protocollo e un network peer-to-peer per l’archiviazione e la condivisione di dati in maniera distribuita e decentralizzata. IPFS è la versione decentralizzata di un database, dunque che utilizza un sistema di nodi connessi anziché un nodo centrale, del protocollo HTTPS, per l’archiviazione di dati. Proprio come per HTTPS, ogni dato caricato viene identificato mediante un address, che è univoco e associato unicamente a quel dato.

Su IPFS tutti coloro che sono in possesso di un address di un File Digitale possono vederne il contenuto, in quanto pubblico e distribuito sui nodi della rete. Per proteggere il contenuto dei File Digitali (in particolare qualora relativo a Dati Personali o informazioni sensibili), Pablock invita gli Utenti, laddove possibile*, ad utilizzare le seguenti funzioni:

  1. Funzione Documento privato: prima di eseguire la Validazione Blockchain (“notarizzazione”) di un File Digitale, proteggerne il contenuto mediante una password. In questo modo il contenuto non sarà caricato e conservato da IPFS, bensì sarà visibile solo ed esclusivamente da coloro che saranno selezionati dall’Utente, possessore del File Digitale, a cui l’Utente stesso comunica l’address e la password;
  2. Funzione Hash File Digitale: eseguire la Validazione Blockchain (“notarizzazione”) soltanto dell’hash del File Digitale e non del File Digitale stesso. In questo modo, il File Digitale non verrà caricato e conservato da IPFS e il relativo contenuto non sarà accessibile dagli Utenti (diversi dal possessore del File Digitale) o da chiunque altro interessato.

*Per ragioni tecniche, la Funzione Documento Privato e la Funzione Validazione Hash sono disponibili solo per la Validazione File Digitale e la Validazione Multi-firma e non per la Validazione NFT.

Data la natura della blockchain, e per i motivi elencati sopra, una volta caricati File Digitali su blockchain, e quindi su IPFS, l’Utente o qualunque interessato può esercitare i diritti di cancellazione dei Dati Personali (art. 17 del GDPR), di rettifica dei Dati Personali (art. 16 del GDPR) e di limitazione del trattamento (art. 18 del GDPR), tenuto conto delle caratteristiche di immutabilità delle DLT (Distributed Ledger Technology), nei limiti di quanto segue:

  • Cancellazione: in caso di richiesta di cancellazione dei Dati Personali contenuti nei File Digitali caricati su blockchain e dunque su IPFS, è tecnicamente impossibile cancellare o rimuovere il contenuto da IPFS. Pablock può solamente smettere di pingare (richiamare) l’address del File Digitale. In questo modo, dato che l’address e dunque anche il suo contenuto non vengono richiamati dalla rete, vengono “dimenticati” dalla rete. Questo processo non equivale a una cancellazione vera e propria, in quanto il contenuto sarà sempre presente sulla rete, ma non viene richiamato e dunque visualizzato sulla rete.
  • Modifica: in caso di richiesta di modifica dei Dati Personali contenuti nei File Digitali caricati su blockchain e dunque su IPFS, è tecnicamente impossibile modificare il contenuto presente su IPFS. Pablock può solamente effettuare una seconda Validazione Blockchain in cui si sottolinea che un determinato File Digitale e/o dato ivi contenuto è stato modificato e che una è disponibile una versione modificata/aggiornata del File Digitale a un nuovo address. Il vecchio File Digitale non viene modificato direttamente, ma “sovrascritto” con un nuovo File Digitale.
  • Limitazione: in caso di richiesta di limitare il trattamento dei Dati Personali contenuti nei File Digitali caricati su blockchain e dunque su IPFS, è tecnicamente impossibile limitare il trattamento di Dati Personali presenti nei File Digitali conservati su IPFS. Pablock può solamente: (i) smettere di pingare (richiamare) l’address del File Digitale. In questo modo, dato che l’address e dunque anche il suo contenuto non vengono richiamati dalla rete, vengono “dimenticati” dalla rete (come indicato per la cancellazione); e (ii) effettuare una seconda Validazione Blockchain in cui si sottolinea che l’utilizzo dei dati personali contenuti in un determinato File Digitale è stato limitato e che è disponibile una versione modificata/aggiornata del File Digitale a un nuovo address (come indicato per la rettifica).

Ciascun Utente è invitato ad attivare la Funzione Documento Privato o la Funzione Hash File Digitale, prima di caricare un File Digitale contenente Dati Personali, per impedire a chiunque di accedere ai File Digitali (e ai Dati Personali ivi contenuti) caricati su blockchain e IPFS. In caso di attivazione della Funzione Documento Privato o della Funzione Hash File Digitale non sarà necessario attivare nella rete le procedure di cancellazione, rettifica e limitazione sopra descritte, ma l’Utente o qualunque interessato potrà procedere con le richieste di cancellazione, rettifica e limitazione solo nei confronti delle persone a cui l’Utente ha fornito il File Digitale al di fuori di IPFS.