L'articolo 15 del GDPR recita:
L'interessato ha il diritto di ottenere [...] i dati personali [se sono in corso di "elaborazione "]
L'articolo 4 afferma che" l'elaborazione "include l'archiviazione.
Pertanto, tutti i dati personali archiviati dovrebbero essere disponibili su richiesta.
Quindi il GDPR non consente il seguente scenario?
- Mi dai i tuoi dati personali.
- Cifro i tuoi dati personali utilizzando una chiave di crittografia casuale.
- memorizzo i dati crittografati e gli assegno un ID casuale per riferimento.
- Ti do copie della chiave di crittografia e l'ID e getta via le mie copie.
- Successivamente mi fornisci l'ID e la chiave di crittografia e mi chiedi di decrittografare i tuoi dati e di lavorarci sopra.
Nota alcune cose:
- Niente sui dati crittografati, chiavi di crittografia, ID, lavoro svolto, registri, ecc. Lascia alcuna informazione correlata a te. Solo i tuoi dati personali non crittografati esistono.
- I tuoi dati personali esistono ancora per tutto il tempo: li memorizzo in forma crittografata (sono stati resi anonimi?).
- I tuoi dati personali è immediatamente disponibile, se mi dai l'ID e la chiave di crittografia corretti .
È importante sottolineare che non sarò mai in grado di soddisfare la tua richiesta di tutti i tuoi dati personali memorizzati . È tecnicamente impossibile poiché mi manca qualcosa che lo possa correlare a te e non ho chiavi di crittografia. Sarei in grado di soddisfare la richiesta solo se mi fornissi tutte le chiavi di crittografia e gli ID che ti ho mai inviato.
Un esempio concreto:
Per accedere a un sito Web è necessario disporre di un indirizzo email affidabile. Gli indirizzi e-mail hanno la forma di nome.lastname@example.com, quindi sono dati personali. Accedi fornendo questi dati personali e facendo clic su un pulsante. Facendo clic sul pulsante vengono archiviati i dati personali crittografati secondo lo schema sopra riportato, quindi viene inviato un collegamento tramite posta elettronica contenente l'ID di riferimento e la chiave di crittografia. Si stabilisce la fiducia facendo clic sul collegamento, inviando al sito Web tutto ciò di cui ha bisogno per trovare e decrittografare i propri dati personali. Quindi il sito web interviene sui tuoi dati personali, accedendoti. Per inciso, i dati personali crittografati sono monouso e scadono, quindi vengono eliminati dopo l'accesso o se diventano troppo vecchi.
Mi rendo conto che gli obiettivi di questo esempio potrebbero essere realizzati in un modo diverso. Ma spero che aiuti a rendere chiaro lo scenario.