Es necesario el sandbox mientras la UE aprueba una normativa
¿Pueden cumplir las redes blockchain con GDPR, el Reglamento General de Protección de Datos? ¿Son visibles a todos los usuarios en las blockchain públicas? ¿Se podrán cambiar o borrar los datos, dado que la inmutabilidad es la característica principal de esta tecnología? ¿Es legal guardar datos de ciudadanos europeos en las redes con nodos ubicados fuera de la Unión Europea? Cristina Villasante, manager de Ecija Abogados, y Carlos Pastor, experto en innovación de Grupo BME y líder de Identidad Digital de Alastria respondieron en la reciente jornada organizada por Blockchain Intelligence, el instituto líder en formación e investigación blockchain del mundo jurídico.
“Los expertos coinciden en la necesidad de tener pautas de conducta aprobadas por los reguladores, para dar claridad y seguridad al uso de la tecnología blockchain. Protocolos que velen por el cumplimiento de los derechos de los usuarios recogidos en el GDPR”, aseguró Cristina Villasante. Antes, deberá haber redes blockchain en uso porque “es una tecnología trasversal a muchos sectores e industrias, y necesitamos ver su impacto en los derechos de las personas, para ver la forma de regularlo”. Mientras se realiza este encaje, “es fundamental la implantación del sandbox”, y deberá analizarse cada desarrollo de red blockchain para comprobar que cumple con GDPR.
Distintas protecciones
El propio desarrollo tecnológico aclarará las dudas. Los tratamientos de protección serán distintos para una blockchain pública con mineros, una blockchain permisionada de socios o una blockchain privada. Villasante habló de la posibilidad de tener los datos en un servidor externo a los nodos de la red blockchain como fórmula de seguridad, de la anonimización de los datos, y del cifrado de datos con técnicas criptográficas. Aconsejó regular un modelo de Gobernanza que, entre otras cosas, obligue al tratamiento de los datos acorde al GDPR para los nodos ajenos al área regulatoria de la UE, y determine responsabilidades en caso de conflictos, también para los wallets.
Villasante reiteró la evolución tecnológica para que blockchain cumpla con el derecho de supresión de los datos. “Se están desarrollando técnicas para modificar los datos, sin que el sistema se corrompa”. Por otra parte, la trazabilidad inmutable de las transacciones realizadas sobre un sistema soportado por esta tecnología “puede ayudar a generar evidencias del tratamiento de los datos hasta la finalización de su vida”.
La ID soberana con GDPR
Carlos Pastor abogó por estandarizar la forma de uso de la tecnología de bloques, porque “el coste de analizar cada proyecto, y la inseguridad que ello genera será un gran freno”. Alastria tiene en cuenta el GDPR desde el principio, y Pastor expuso su modelo de Identidad Digital (ID) soberana, como el máximo exponente de la protección de datos. “El usuario controla sus datos en la ID soberana, y da solo los que le piden. Por ejemplo, solo enseñaré el dato de tener carnet de conducir, ser mayor de edad y el número de su tarjeta bancaria para alquilar un coche, no deberá dar ni su nombre. Hoy debe dar todos los datos contenidos en el Documento Nacional de Identidad”.
Además, la ID soberana de Alastria añade fehaciencia a la situación actual de los datos. Está diseñada para que cada persona reciba los datos en formato digital, directamente de cada emisor. Así, recibirá los datos de identidad, bancarios, de salud, de sus propiedades, sus titulaciones o de sus habilidades, para guardarlos en su ordenador o en su wallet (la cartera móvil).
Cambiar o borrar los datos de la ID
Cada ID tiene un número identificador DID, y los emisores lo utilizan al “escribir” (como referencia numérica) en la blockchain de Alastria, los posibles cambios sufridos por los datos. Por ejemplo, la Dirección General de Tráfico “escribirá” que ese DID ha sido modificado sí ha retirado el carnet de conducir a su dueño, o la entidad financiera “escribirá” con el DID la carencia de fondos o de crédito de su cliente. A su vez, el alquilador usará el DID para comprobar en la blockchain de Alastria que todo está conforme. La dinámica allana la actual complejidad de entrar en el sistema de cada emisor para corroborar los datos.
Para cumplir con la eliminación de los datos exigida en el GDPR, el proceso de alquilar el vehículo tiene una clave específica que se sube a la blockchain. A través de ella se comunican el alquilador y el cliente para anunciar modificaciones, como el borrado de los datos del cliente cuando termina el contrato. Y se puede hacer porque los datos de la ID soberana no se guardan en la blockchain.
Hay varios proyectos en marcha con la ID soberana de Alastria. Digitalis (para 150.000 instaladores), Dalion, Uport by Consensys para el pueblo suizo de Zug, MyTrust de Everis o proyectos aduaneros de varios países latinoamericanos. Las empresas Validated ID y Vottun la utilizan en sus soluciones. Organismos europeos la tienen como base para desarrollar la ID europea.
