Domanda:
La crittografia usa e getta è consentita dal GDPR?
Matt Thomas
2018-05-29 23:44:05 UTC
view on stackexchange narkive permalink

L'articolo 15 del GDPR recita:

L'interessato ha il diritto di ottenere [...] i dati personali [se sono in corso di "elaborazione "]

L'articolo 4 afferma che" l'elaborazione "include l'archiviazione.

Pertanto, tutti i dati personali archiviati dovrebbero essere disponibili su richiesta.

Quindi il GDPR non consente il seguente scenario?

  1. Mi dai i tuoi dati personali.
  2. Cifro i tuoi dati personali utilizzando una chiave di crittografia casuale.
  3. memorizzo i dati crittografati e gli assegno un ID casuale per riferimento.
  4. Ti do copie della chiave di crittografia e l'ID e getta via le mie copie.
  5. Successivamente mi fornisci l'ID e la chiave di crittografia e mi chiedi di decrittografare i tuoi dati e di lavorarci sopra.

Nota alcune cose:

  • Niente sui dati crittografati, chiavi di crittografia, ID, lavoro svolto, registri, ecc. Lascia alcuna informazione correlata a te. Solo i tuoi dati personali non crittografati esistono.
  • I tuoi dati personali esistono ancora per tutto il tempo: li memorizzo in forma crittografata (sono stati resi anonimi?).
  • I tuoi dati personali è immediatamente disponibile, se mi dai l'ID e la chiave di crittografia corretti .

È importante sottolineare che non sarò mai in grado di soddisfare la tua richiesta di tutti i tuoi dati personali memorizzati . È tecnicamente impossibile poiché mi manca qualcosa che lo possa correlare a te e non ho chiavi di crittografia. Sarei in grado di soddisfare la richiesta solo se mi fornissi tutte le chiavi di crittografia e gli ID che ti ho mai inviato.

Un esempio concreto:

Per accedere a un sito Web è necessario disporre di un indirizzo email affidabile. Gli indirizzi e-mail hanno la forma di nome.lastname@example.com, quindi sono dati personali. Accedi fornendo questi dati personali e facendo clic su un pulsante. Facendo clic sul pulsante vengono archiviati i dati personali crittografati secondo lo schema sopra riportato, quindi viene inviato un collegamento tramite posta elettronica contenente l'ID di riferimento e la chiave di crittografia. Si stabilisce la fiducia facendo clic sul collegamento, inviando al sito Web tutto ciò di cui ha bisogno per trovare e decrittografare i propri dati personali. Quindi il sito web interviene sui tuoi dati personali, accedendoti. Per inciso, i dati personali crittografati sono monouso e scadono, quindi vengono eliminati dopo l'accesso o se diventano troppo vecchi.

Mi rendo conto che gli obiettivi di questo esempio potrebbero essere realizzati in un modo diverso. Ma spero che aiuti a rendere chiaro lo scenario.

Una risposta:
reed
2018-05-31 01:55:02 UTC
view on stackexchange narkive permalink

In teoria non c'è niente di sbagliato nel tuo metodo, è solo un modo per autenticare l'utente, e senza autenticazione un utente non ha il diritto di richiedere comunque nulla . Ma in pratica sembra che il tuo metodo non abbia un modo per affrontare le situazioni in cui gli utenti perdono o dimenticano i propri dati di autenticazione e vogliono essere in grado di recuperare il proprio account. Non riuscire a gestirlo in un sistema moderno potrebbe essere considerato una cattiva pratica inaccettabile e quindi essere contro i principi di sicurezza e privacy by design del GDPR.

VERSIONE ESTESA

Potrei sbagliarmi o non capire correttamente la domanda, ma non vedo come questo sia diverso da molti altri casi comuni in cui la crittografia non è coinvolta. Pensaci, non sei in grado di fornire all'utente i propri dati personali a meno che non fornisca l'ID e le chiavi di crittografia. In che modo questo è significativamente diverso dal fatto che non sei in grado (o meglio non dovresti) mostrare a un utente i propri dati a meno che non fornisca il proprio nome utente e password, o si autentichi in modo convincente in qualsiasi modo?

Proprio come non puoi chiedere a Facebook di mostrarti tutti i dati raccolti su Donald Trump solo sostenendo che sei Donald Trump, non ti può essere richiesto di fornire a un utente i propri dati a meno che non fornisca la chiave di crittografia. Può essere visto come il tuo modo per autenticare gli utenti (tra le altre cose).

Modificato: più ID / chiavi

Non ho capito il tuo metodo coinvolto più ID e chiavi. In teoria, la situazione è sempre la stessa, solo con più pezzi di dati per l'autenticazione, come l'utente doveva ricordare più nomi utente e password. La mancata fornitura di tutti gli ID e di tutte le chiavi comporterà un'autenticazione parziale.

Ma con un tale approccio un potenziale problema diventa più evidente: il tuo schema di autenticazione potrebbe essere contrario ai principi GDPR di "sicurezza e privacy fin dalla progettazione e per impostazione predefinita". Fondamentalmente, i tuoi metodi potrebbero essere considerati una cattiva pratica perché non riescono a gestire il problema comune delle password perse o dimenticate. Se un utente ti dice che ha perso un'unità USB contenente tutti i suoi ID e chiavi e non li ha più, cosa fai? Non puoi eliminare i loro dati perché non sei in grado di sapere quali sono i loro dati, senza un altro modo di autenticare. E i loro dati ora sono a rischio, perché qualcun altro potrebbe avere i loro ID e chiavi. Se avevi un indirizzo email associato a tutti gli ID e i dati dell'utente, potresti essere in grado di confermare la sua identità (ad esempio inviando un'email con un collegamento) ed eliminare tutti i suoi dati. Come vedi, le cose possono diventare piuttosto complicate, tutto dipende dai dettagli della tua implementazione e la semplice aggiunta o rimozione di un dettaglio potrebbe cambiare l'intero scenario.

La differenza è che anche se un utente potrebbe dimostrare la propria identità dandomi una delle coppie ID / chiave che gli ho fornito, non sarò comunque in grado di fornirgli tutti i suoi dati personali. Potrei fornire loro solo i dati personali a cui fa riferimento quell'ID. Dire che è come dover dimostrare l'identità dell'utente è dire che il resto dei dati di quella persona appartiene a un'identità / individuo diverso.
@MattThomas, Non mi ero reso conto che in realtà hai più ID. Ho modificato la mia risposta.
Grazie per aver sottolineato la dimensione di non essere in grado di proteggere gli utenti da dispositivi smarriti / rubati.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...