La ley de protección de datos europea (GDPR) y la cadena de bloques

Los fundamentos de blockchain son la transparencia y la inmutabilidad, las que entran en conflicto directo con el GDPR.

0
Las dos palabras que más se han escuchado en el entorno de la tecnología y el debate público durante 2018 son blockchain y GDRP. Esta última hace referencia al Reglamento General de Protección de Datos aprobado por la Unión Europea el 25 de mayo de este año y busca garantizar el cumplimiento de derechos básicos de privacidad con respecto al almacenamiento en línea de datos personales. La discusión sobre el contenido del GDPR comenzó en 2012, cuando la aplicación de la tecnología de la cadena de bloques se limitaba a las criptomonedas. Hoy, la historia es muy diferente, ya que esta tecnología se está aplicando en ámbitos que van más allá del dinero. Muchos de ellos tienen que ver precisamente con la gestión de información personal. Entonces, podríamos afirmar sin temor a equivocarnos que los objetivos de blockchain y el GDPR son totalmente opuestos.

¿Qué es el GDPR?

El objetivo principal del GDPR es dar control a los ciudadanos y residentes europeos sobre quién está autorizado para recopilar y almacenar sus datos y qué puede hacer con ellos. Esta es la razón por la que cada vez que se ingresa a un sitio web aparece una ventana flotante que pide autorización para captar los datos del usuario. Lo mismo ocurre con las confirmaciones de suscripción a las listas de correo y a la disponibilidad de descargar los datos personales que las empresas almacenan. El alcance del GDPR es global, puesto que, gracias al Internet, cualquier empresa, sin importar su localización, puede gestionar y almacenar datos de ciudadanos europeos. El incumplimiento de esta ley significa el pago de altísimas multas. Mira también: ¿Cómo afecta a blockchain el nuevo reglamento de datos de la UE? El cuerpo legal completo del GDPR puede ser consultado en este enlace. No obstante, los cuatro puntos clave de esta ley son: 1. Los datos del usuario deben ser privados. 2. El usuario tiene el derecho a solicitar la rectificación de sus datos. 3. El usuario tiene derecho a que sus registros en línea sean borrados. 4. El usuario tiene el derecho de restringir el procesamiento de sus datos. Nota: Los artículos 15, 16, 17 y 18 del GDPR hacen referencia a estos temas. Dentro de la terminología que emplea el GDPR, se denomina «controladores de datos» a quienes almacenan la información de los usuarios. Aquellos que analizan ese contenido son llamados «procesadores de datos». Una o varias organizaciones pueden asumir estos roles, y los responsables directos de cumplir con el GDRP son los controladores de datos. El GDPR considera datos personales a cualquier tipo de información relacionada con una persona natural identificada directa o indirectamente por medio de su nombre, número de identificación, ubicación, teléfono, número de IP, información financiera, genética, física, fisiológica, mental o económica, incluso una dirección de bitcoin. Todos estos datos pueden vincularse con la identidad de una persona.

¿La ley de privacidad europea (GDPR) mataría a la cadena de bloques?

Repasemos, de una en una, ciertas características de la cadena de bloques que estarían en discordancia con lo planteado por el GDPR.
Inmutabilidad
Indudablemente, esta es una de las principales características de la cadena de bloques. Una vez que se registra cualquier tipo de información en una blockchain, no puede ser modificada, borrada o censurada. Esta inmutabilidad concede mayor legitimidad a los datos contenidos es esa cadena de bloques. El hecho de que la información no pueda ser borrada de un sistema de gestión de información digital viola expresamente una de las premisas del GDPR: el derecho de cualquier usuario a ser olvidado.
Transparencia
Otra de las principales características de una cadena de bloques es que los datos que contiene son públicos, dicho de otro modo, no es necesario contar con una autorización expresa para poder acceder a ellos. Estos son visibles para todos los nodos de la red y, por tanto, pueden ser consultados y auditados públicamente en tiempo real sin la participación de un intermediario de confianza. El artículo 15 del GDPR, establece que “el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información”. Esta cuestión nunca puede ser garantizada en una blockchain pública.
Almacenamiento de datos
En una cadena de bloques pública como Bitcoin o Ethereum no hay control sobre quienes pueden correr un nodo, es decir, son redes abiertas y no discriminatorias. Los usuarios tienen la libertad de correr el software para unirse a la red. El GDPR establece que los datos personales de ciudadanos europeos no deberían ser gestionados fuera del territorio de la UE. En el caso de que eso ocurra, estos datos solo pueden ser almacenados en ciertos países autorizados por la UE. Esta garantía exclusivamente puede otorgarse en las cadenas de bloques privadas que cuentan con la función de determinar la ubicación geográfica de los nodos. En el caso de las cadenas de bloques públicas, usuarios de cualquier lugar del mundo pueden unirse a la red de nodos.

¿Cuál es la solución?

La primera alternativa es codificar los datos personales a través de ciertas técnicas criptográficas que permitan al usuario tener el absoluto control sobre sus datos por medio de claves privadas y públicas. Quien pretenda usar esos datos deberá tener la clave que permita decodificar dicha información. Para eliminar las datos, solamente se requiere eliminar u olvidar la clave que permite su acceso. La información no podrá ser consultada por más que siga existiendo de forma codificada. Sin embargo, existe el riesgo de que esta información pueda ser decodificada conforme el poder computacional vaya en aumento. La segunda solución es el modelo de almacenamiento híbrido. Se podría custodiar datos personales en una blockchain privada que restringe el acceso a usuarios no autorizados o en una base de datos convencional con acceso restringido que corre en servidores centralizados —fuera de una cadena de bloques pública—, cuya ubicación geográfica sea conocida y que la información privada pueda ser modificada o borrada. Este modelo ya se utiliza en cadenas de bloques que manejan una gran cantidad de datos, donde el almacenamiento en la cadena no es técnicamente factible por la capacidad limitada de los bloques. En este caso, solo una referencia o enlace a los datos —un hash criptográfico— se almacena en la blockchain. Un hash es unidireccional, lo que quiere decir que puede ser creado a partir de cualquier tipo de datos y, una vez generado, ya no puede ser revertido a su estado original. A pesar de que esta solución es factible, tiene algunos inconvenientes importantes, puesto que va en contra de todos los principios de la cadena de bloques: descentralización o distribución, apertura, neutralidad, transparencia, inmutabilidad y resistencia a la censura. Dicho todo esto, cabe hacerse la siguiente pregunta que, por lo pronto, quedará abierta: ¿Vale la pena implementar una cadena de bloques? La tercera solución tiene relación con las Pruebas de Cero Conocimiento (ZKP, por sus siglas en inglés), con las cuales se puede demostrar que algo es cierto sin la necesidad de revelar los datos involucrados como un requisito para demostrar su conocimiento. Esta tecnología es empleada por la criptomoneda Zcash (ZEC). Mira también: Las pruebas de cero conocimiento y la privacidad de Zcash Bajo la normativa del GDPR, la cadena de bloques podría ser utilizada simplemente como un mecanismo de clasificación o indexación de datos y no como un libro mayor distribuido que gestiona todo tipo de datos. Esto es factible, siempre y cuando contenga información considerada como privada y personal por la antedicha ley.

Deje un Comentario

Su correo electrónico no será publicado.