¿Puede Blockchain coexistir con GDPR?

El 25 de mayo de 2018 entró en vigor una nueva ley sobre privacidad en Europa. GDPR o el Reglamento general de protección de datos y otorga a los ciudadanos de la UE el control sobre quién controla sus datos personales y qué sucede con ellos. Es por eso que lo bombardean con ventanas emergentes que le solicitan permiso para recopilar y procesar sus datos personales. Esta es la misma razón por la que los boletines informativos por correo electrónico le preguntan si todavía está interesado en ellos y por qué muchas empresas de repente facilitan la obtención de una copia de los datos que tienen.

Las empresas de todo el mundo están trabajando rápido para garantizar que cumplen con el GDPR, ya que de lo contrario corren el riesgo de pagar fuertes multas. Sin embargo, la tecnología Blockchain lo cambia todo, entonces, ¿qué sucede cuando una cadena de bloques contiene datos personales? El problema con los datos de blockchain es que:

  1. Abierto
  2. Transparente
  3. Es decir, inmutable. los datos almacenados en una cadena de bloques no se pueden modificar ni eliminar.

Estas son propiedades de esta tecnología que no se pueden cambiar y, al mismo tiempo, no lucen demasiado bien para imponer confidencialidad.

Comprensión del Reglamento general de protección de datos

Antes de sumergirnos en el GDPR, comprendamos algunos términos de uso común:

  1. Controladores de datos – Según la legislación de la UE, las empresas que almacenan sus datos se conocen como controladores de datos. Los ejemplos comunes serían Facebook, Google, Apple, etc.
  2. Procesadores de datos – Las empresas que trabajan con sus datos para analizarlos se conocen como procesadores de datos. Por ejemplo, Google Analytics, Moz Analytics, Socialblade, etc.

En la mayoría de los casos, el controlador de datos y el procesador de datos son la misma entidad, sin embargo, la tarea de cumplir con el GDPR recae en el controlador de datos. Observemos también aquí que el RGPD solo está en juego cuando se trata de datos personales de ciudadanos de la UE. Cualquier empresa que almacene información sobre ciudadanos de la UE debe cumplir con la regulación, incluidos Facebook o Apple.

La legislación de la UE establece que los datos personales son cualquier información relacionada con una persona física identificada o identificable (‘sujeto de datos’); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores físicamente específicos, fisiológicos, genéticos , identidad mental, económica, cultural o social de esa persona física. Esta es una definición amplia, que esencialmente significa que cualquier dato, como una dirección IP, una dirección de billetera Bitcoin, una tarjeta de crédito o cualquier intercambio, ya sea directa o indirectamente relacionado con usted, puede definirse como datos personales.

Los 3 artículos del RGPD que entran en conflicto con las propiedades de Blockchain

Hay tres artículos en el GDPR, a saber, los artículos 16, 17 y 18, que dificultan la vida a las empresas que pretenden utilizar una red de registros distribuidos para llevar a cabo sus negocios.

  1. Articulo 16: Este artículo del RGPD permite a los ciudadanos de la UE corregir o cambiar los datos que un controlador de datos tiene sobre usted. No solo puede cambiar los datos existentes que tienen, sino que también puede agregar nuevos datos si cree que los datos actuales son inexactos o incompletos. El problema es que en una red distribuida, agregar nuevos datos no es un problema, pero cambiarlos sí lo es.
  2. Articulo 17: Este artículo se refiere al “derecho al olvido”. No es posible eliminar datos de una cadena de bloques y, por lo tanto, este artículo entra en conflicto de inmediato con la regulación de protección de datos.
  3. Articulo 18: Este artículo se refiere al “derecho a restringir el procesamiento”. Básicamente, esto evita que las empresas utilicen sus datos si los datos son inexactos o si se recopilaron ilegalmente.

Una de las principales preocupaciones de una cadena de bloques es que están completamente abiertas, por lo que cualquier persona puede obtener una copia de sus datos y hacer lo que quiera con ella. Por lo tanto, no tiene control sobre quién procesa sus datos.

¡Posibles soluciones para la convivencia!

Cifrado – Una solución popular sería cifrar los datos personales antes de almacenarlos en una red distribuida. Lo que significa que solo aquellos con la clave de descifrado tienen acceso a los datos. Cuando se destruye esta clave, los datos se vuelven inútiles. Esto es aceptable en algunos países, como el Reino Unido, sin embargo, hay otros que argumentan que el cifrado fuerte todavía es reversible. Con los avances en computación, es solo cuestión de tiempo antes de que el cifrado pueda interrumpirse a velocidades más altas y los datos personales vuelvan a estar disponibles. El debate sobre el cifrado sigue ardiendo.

Blockchains de permisos – En una cadena pública, cualquiera puede poner nuevos datos en la cadena y los datos son visibles para todos. Sin embargo, en una cadena de bloques de permisos, el acceso se controla y se otorga solo a unas pocas partes conocidas y de confianza. Esto hace que el permiso de acuerdo con el artículo 18 de la red distribuida. Pero, lamentablemente, no respeta el artículo 17 y el derecho al olvido. Incluso en una cadena de permisos, los datos siguen siendo inmutables y no se pueden eliminar ni editar. Una posible solución a esto sería almacenar datos en un servidor seguro con acceso de lectura y escritura. Luego almacenamos una referencia a estos datos en nuestra cadena de bloques a través de un enlace usando una función hash. Podemos almacenar este hash en la cadena de bloques. Las funciones hash son populares para verificar la integridad de los archivos en nuestro servidor seguro. Además, las funciones hash no se pueden diseñar inversamente para revelar datos. Si borramos los datos del servidor, la función hash se vuelve inútil y ya no se convierte en datos personales.

Esta no es una solución inteligente, porque se usan blockchains porque están descentralizadas y, usando un servidor seguro, ha regresado a la centralización.

Prueba de conocimiento cero – El protocolo de conocimiento cero es un método mediante el cual una parte (probador) puede demostrar a otra parte (el verificador) que conoce un valor de x, sin transmitir ninguna información que no sea que conoce el valor de x. Esto es perfecto para verificar cosas como las puertas de edad, por ejemplo, sin revelar información de cumpleaños con los recolectores de datos. La resistencia cero del conocimiento puede ser una posible solución al GDPR fuera de las cadenas de bloques.