La ley de privacidad europea (GDPR) mataría a la cadena de bloques
Los fundamentos de blockchain son la transparencia y la inmutabilidad, las cuales, aparentemente, están directamente opuestas a la privacidad de los datos de los usuarios.
En 2018 las dos palabras que más se han escuchado en el mundo tecnológico son «blockchain» y «GDPR». Teniendo en cuenta que ya hemos hablado de sobra acerca de la cadena de bloques sugiero mirar este artículo si es que quieres conocer más sobre esta innovadora tecnología. El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) aprobado el 25 de mayo de 2018, es una normativa de la Unión Europea de alcance global que busca garantizar el cumplimiento de ciertos derechos básicos de los usuario relacionados con el almacenamiento en línea de sus datos personales.
Imagen: Pixabay.com
La discusión sobre el contenido del GDPR comenzó en 2012, en aquel entonces, la aplicación de la tecnología de la cadena de bloques se limitaba a las criptomonedas. Hoy, la historia es muy diferente, ya que esta tecnología se está aplicando a ámbitos que van más allá del dinero, muchos de ellos tienen que ver precisamente con la gestión y almacenamiento de información personal. En este sentido, podríamos afirmar sin temor a equivocarnos que los objetivos de blockchain y el GDPR son totalmente opuestos.
¿Qué es el GDPR?
El objetivo principal del GDPR es dar control a los ciudadanos y residentes europeos sobre quién está autorizado para recopilar y almacenar sus datos y qué puede hacer con ellos. Esta es la razón por la que cada vez que se ingresa a un sitio web aparece una ventana flotante que pide autorización para captar los datos del usuario. Lo mismo ocurre con las confirmaciones de suscripción a las listas de correo y a la disponibilidad de descargar los datos personales que las empresas almacenan. El alcance del GDPR es global teniendo en cuenta que, gracias al Internet, cualquier empresa, sin importar su localización, puede gestionar y almacenar datos de ciudadanos europeos. El incumplimiento de esta ley significa el pago de altísimas multas.
El cuerpo legal completo puede ser consultado en este enlace. Los cuatro puntos clave de esta ley son:
- Que los datos del usuario deben ser privados
- Que el usuario tiene el derecho a solicitar la rectificación de sus datos
- Que el usuario tiene derecho a ser olvidado, es decir, que sus registros en línea puedan ser borrados
- Que el usuario tiene el derecho de restringir el procesamiento de sus datos
Nota: Los artículos 15, 16, 17 y 18 del GDPR hacen referencia a estos temas.
Dentro de la terminología que emplea el GDPR, se denomina «controladores de datos» a quienes almacenan los datos de los usuarios; por otro lado, aquellos que analizan esa información son llamados «procesadores de datos». En algunos casos estos roles pueden ser asumidos por una sola organización, pero también puede tratarse de diferentes organizaciones. El responsable de cumplir con el GDPR es el controlador de datos.
Imagen: Pixabay.com
El GDPR considera datos personales a cualquier tipo de información relacionada con una personal natural identificada o que pueda identificarse directa o indirectamente por medio de su nombre, número de identificación, ubicación, teléfono, número de IP, información financiera, genética, física, fisiológica, mental o económica, incluso una dirección de bitcoin. Todos estos datos pueden vincularse con la identidad de una persona.
¿La ley de privacidad europea (GDPR) mataría a la cadena de bloques?
Repasemos, de una en una, ciertas características de la cadena de bloques que estarían en discordancia con lo planteado por el GDPR.
Inmutabilidad
Indudablemente, esta es una de las principales características de la cadena de bloques. Una vez que cualquier tipo de información es registrada en una blockchain no puede ser modificada, borrada o censurada. Esta inmutabilidad concede a los datos contenidos en una blockchain de una dimensión de confianza por sí mismos. El hecho de que la información no pueda ser borrada de un sistema de gestión de información digital viola expresamente una de las premisas del GDPR: el derecho de cualquier usuario a ser olvidado.
Transparencia
Otra de las principales características de una cadena de bloques es que los datos que contiene son públicos, dicho de otro modo, no es necesario contar con una autorización expresa para poder acceder a ellos. Estos son visibles para todos los nodos de la red y, por tanto, pueden ser consultados y auditados públicamente en tiempo real sin la participación de un intermediario de confianza.
El artículo 15 del GDPR, establece que «el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información». Esta cuestión nunca puede ser garantizada en una blockchain pública.
Almacenamiento de datos
En una cadena de bloques pública como Bitcoin o Ethereum no hay control sobre quienes pueden correr un nodo, es decir, son redes abiertas y no discriminatorias, los usuarios tienen la libertad de correr el software para unirse a la red. El GDPR establece que los datos personal de ciudadanos europeos no deberían ser gestionados fuera del territorio de la UE, en el caso de que eso ocurra, estos datos solo pueden ser almacenados en ciertos países autorizados por la UE. Esta garantía puede otorgarse en blockchains privadas exclusivamente en las que se puede definir la ubicación geográfica de los nodos. Los nodos de las cadenas de bloques públicas pueden localizarse en cualquier lugar del mundo.
¿Cuál es la solución?
La primera alternativa es codificar los datos personales a través de ciertas técnicas criptográficas que permitan que el usuario tenga absoluto control sobre sus datos por medio de claves privadas y públicas. Esto quiere decir que quien pretenda usar esos datos debe tener la clave que permita decodificar dicha información. Si es que se desea borrar la información solo se requiere eliminar u olvidar las claves, de esta forma, esa información ya no puede ser consultada por más que siga existiendo de forma codificada. En este caso, existe el riesgo de que esta información pueda ser decodificada conforme el poder computacional vaya en aumento.
Imagen: Pixabay.com
La segunda solución es el modelo de almacenamiento híbrido. Se podría almacenar datos personales en una blockchain privada —que restringe el acceso a usuarios no autorizados— o bien fuera de una cadena de bloques pública —como Bitcoin o Ethereum—, en una base de datos convencional que corre en servidores centralizados cuya ubicación geográfica sea conocida y que la información privada pueda ser modificada o borrada y que su acceso sea restringido. Este modelo ya se utiliza en cadenas de bloques que manejan una gran cantidad de datos, donde el almacenamiento de los datos en la cadena no es técnicamente factible debido a la capacidad limitada de los bloques. En este caso, solo una referencia o enlace a los datos (un hash criptográfico) se almacena en la blockchain. Un hash es unidireccional, lo que quiere decir que puede ser creado a partir de cualquier tipo de datos, una vez generado ya no puede ser revertido a su estado original.
A pesar de que esta solución es factible, tiene algunos inconvenientes importantes ya que va en contra de todos los principios de la cadena de bloques: descentralización o distribución, apertura, neutralidad, transparencia, inmutabilidad y resistencia a la censura. Dicho todo esto, cabe hacerse la siguiente pregunta que, por lo pronto, quedará abierta: ¿Vale la pena implementar una cadena de bloques?
La tercera solución tiene relación con las Pruebas de Cero Conocimiento (ZKP, por sus siglas en inglés). Esta tecnología permite demostrar que algo es cierto sin la necesidad de revelar los datos involucrados como un requisito para demostrar su conocimiento. Esta tecnología es empleada por la criptomoneda Zcash (ZEC). Para aprender más sobre las ZKP sugiero visitar este enlace.
Bajo la normativa del GDPR, la cadena de bloques podría ser utilizada simplemente como un mecanismo de clasificación o indexación de datos en lugar de ser un libro mayor distribuido que puede gestionar todo tipo de datos, esto siempre y cuando contenga información considerada como privada y personal por la antedicha ley.
Juan Francisco Bolaños
@criptoEstratega
Referencias:
- Decuyper, X. (20 de noviembre de 2018). Will GDPR kill blockchains? – YouTube. Recuperado de http://bit.ly/2rbW3fA
- Johnson, S. (4 de julio de 2018). Will GDPR compliance kill Blockchain? – Servntire Global – Medium. Recuperado de http://bit.ly/2rd4rvf
Lecturas que vas a disfrutar
Una selección de mis mejores artículos:
- La importancia de la descentralización
- ¿Por qué deberías usar criptomonedas?
- Bitcoin, las criptomonedas y blockchain no tienen futuro
Academia Blockchain
Academia Blockchain es una iniciativa que crea un espacio para la difusión y conocimiento de la cadena de bloques y las criptomonedas en Latinoamérica.
Amigos, están cordialmente invitados a visitarnos en nuestros canales digitales:
Web | YouTube | Twitter | Facebook | Instagram | Telegram | Patreon | Steemit
Compra en Amazon y paga con Bitcoin
Compra lo que más te gusta en Amazon y paga con Bitcoin y otras criptodivisas a través de Purse.io. Recibe descuentos del 5 al 15 % en tus compras. Regístrate aquí.
Bueno si lo vemos desde ese punto de vista legal, ciertamente afectaría la cadena de bloques pero hay que esperar a ver los efectos que causara y si esto de la «blockchain» desaparece a se encuentran soluciones para seguir funcionando...
Interesante!!
Congratulations @juanfb! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :
Click here to view your Board of Honor
If you no longer want to receive notifications, reply to this comment with the word
STOPTo support your work, I also upvoted your post!