La «Tecnología de libro mayor distribuido» (DLT) más conocida como Blockchain, está siendo el centro de atención en todos los sectores económicos debido a su potencial de transformación.

Blockchain tiene la capacidad de eliminar  los intermediarios en las transacciones, simplificar los procesos, crear nuevos modelos operativos con costos más reducidos. Todo esto repercute en un aumento potencial de las ganancias para las empresas.  Blockchain presenta características que nunca antes habían sido posibles: la inmutabilidad de las transacciones y la descentralización del mantenimiento de registros.

Sin embargo, todas estas características plantean algunos desafíos legales y reglamentarios en términos de protección de datos que deben abordarse.

En 2016, la Unión Europea aprobó el Reglamento General de Protección de Datos (RGPD) para dar a los residentes europeos más derechos y control sobre sus datos personales. Entró en vigencia el 25 de mayo de 2018 y afecta a cualquier empresa que tenga datos relacionados con ciudadanos o residentes privados de la UE, ya sea que la empresa que posee los datos tenga su sede o no en Europa. El cumplimiento es esencial, ya que las multas pueden ser tan altas como el 4% de la facturación mundial o 20 millones de euros.

La regulación tiene un profundo significado para los sistemas blockchain en dos aspectos principales:

  • Los datos almacenados en una cadena de bloques son a prueba de manipulaciones, por lo que eliminarlos más adelante no es una opción.
  • Las cadenas de bloques se distribuyen, por lo que se abandona el control de los datos puestos en ellas.

En este artículo, analizamos todos estos problemas  y examinamos algunos métodos potenciales para mantener el cumplimiento  de la RGPD. También veremos el tema del pseudoanonimato y cómo, en particular, en blockchains abiertos, el cumplimiento puede ser más simple que con un sistema tradicional basado en una base de datos.

Público vs. privado, abierto vs autorizado.

Para comprender los problemas que enfrentan las cadenas de bloques que no afectarán a las bases de datos tradicionales, es importante conocer los diferentes tipos de blockchains que se han propuesto en los últimos años. Los términos que deben entenderse son: público versus privado, y abierto versus autorizado.

  • El primer sistema blockchain fue Bitcoin, y como el sistema fue diseñado para permitir que cualquier persona con una computadora envíe transacciones o se una para mantener la red, es público (Bitcoin se ejecuta en Internet) y abierto (cualquiera puede crear un bitcoin direccionar, o descargar o diseñar software para ejecutar nodos que perpetúen la red de Bitcoin).
  • En el otro extremo, vemos cadenas de bloques privadas y autorizadas. Para estos sistemas, blockchain se ejecuta en una red privada, por ejemplo, una VPN o intranet, y un administrador debe otorgar permiso a cualquier persona que desee enviar transacciones o mantener un nodo blockchain. Dicha cadena de bloques podría, por ejemplo, utilizada por un departamento de recursos humanos dentro de una gran corporación, donde existe la necesidad de proporcionar un registro auditable de datos de recursos humanos, pero la empresa no quiere que cualquier empleado vea o agregue datos de la cadena, y ciertamente no quiere que el público vea el contenido abiertamente.

  • Completando las combinaciones básicas posibles, tenemos blockchain abiertas y autorizadas (cualquiera puede ver la cadena, pero solo agentes específicos pueden agregar datos; un caso de uso podría ser un sistema de redes sociales distribuidas o un sistema de gestión de derechos digitales) y blockchain privadas pero sin permiso (por ejemplo, una red corporativa de denuncia de irregularidades, en la que cualquier empleado puede presentar una queja o notificación, pero las personas fuera de la empresa no pueden ver los datos registrados en la blockchain y los funcionarios de la empresa no pueden identificar a la persona que informa).
  • Finalmente, también puede haber sistemas híbridos, por ejemplo, una blockchain abierta en la que cualquiera puede enviar una transacción, pero solo las computadoras autorizadas específicas pueden generar bloques y mantener el sistema.

Las dificultades a las que se enfrenta para cumplir con el RGPD aumentan aún más con respecto a un sistema de base de datos privado tradicional. Una blockchain privada autorizada es casi lo mismo que un sistema de base de datos privado, mientras que una blockchain pública abierta es un sistema muy diferente, y surgen un nuevo conjunto de problemas.

A prueba de manipulaciones y distribuido.

Uno de los grandes beneficios que aporta blockchain es el registro de datos a prueba de manipulaciones. Esto le otorga la capacidad de registrar transacciones financieras u otros datos de manera que permita una auditoría posterior para verificar su veracidad y autenticidad, y garantizar que, por ejemplo, cuando se registra una transferencia de propiedad o valor, la transacción no se pueda revertir posteriormente. Esta naturaleza a prueba de manipulaciones de blockchain es lo que le permite crear entidades digitales únicas, como las cryptomonedas.

¿Cómo funciona?

Los usuarios envían registros o datos a la red, y los nodos en la red empaquetan los datos no procesados en bloques, que se agregan a la cadena existente a intervalos regulares. Así, la cadena crece con el tiempo.

Para garantizar que la cadena de bloques no pueda ser manipulada, cada bloque contiene una referencia al bloque anterior al incluir un hash criptográfico de los datos dentro del bloque anterior. Si se modifican los datos en un bloque, el hash del bloque también cambia y, por lo tanto, se puede detectar esta falsificación de los registros.

Además, debido a que todos los nodos que mantienen la cadena,  conservan un registro completo, si un nodo individual tiene una copia de los datos que han sido alterados, no solo se puede detectar, sino que se puede solicitar una copia válida. de uno de los otros nodos. El nodo con datos falsificados incluso puede ser incluido en la lista negra por los nodos restantes y expulsado del sistema blockchain. Debido a que los datos en la cadena no se pueden eliminar ni modificar en una fecha posterior, a primera vista parece que no es posible cumplir con algunos de los edictos del RGPD, en particular el «derecho de borrado», por el cual un residente de la UE puede solicitar que se eliminen sus detalles del sistema.

 

CÓMO RESOLVER EL CONFLICTO.

Habiendo detallado las propiedades técnicas y las capacidades de blockchain que son relevantes para el RGPD, ahora dirigimos nuestra atención a posibles soluciones al problema de conciliar los edictos de RGPD con el sistema blockchain.

El derecho a ser olvidado.

Aunque hay una cantidad sustancial de condiciones bajo las cuales los datos privados pueden ser retenidos, por ejemplo, para el cumplimiento de obligaciones legales, cuando los datos son de interés público, o cuando la libertad de expresión tiene prioridad, en general los residentes de la UE pueden solicitar que sus datos se transfieran a otro proveedor de almacenamiento, o incluso se eliminen por completo. Esto presenta claramente un problema para un sistema blockchain, en el que los datos no se pueden eliminar. Hay varias soluciones:

  1. No registre datos personales en una cadena de bloques. El método más obvio para eludir el RGPD es simplemente no colocar ningún dato individual en la cadena de bloques relacionado con ningún ciudadano privado o residente de la UE. Sin embargo, esto reduce drásticamente la utilidad de blockchain para cualquier aplicación pública, como el seguimiento de registros de salud, las redes sociales, los sistemas de informes de reputación asociados con las ventas en línea y los sistemas de identidad como un pasaporte internacional. El RGPD no especifica si las correcciones posteriores a los datos son aceptables, si los datos incorrectos originales todavía están presentes en bloques anteriores.
  2. Registre datos personales de forma seudoanónima. Blockchain permite que los datos se asocien con individuos de forma seudoanónima. Por ejemplo, en Bitcoin es posible ver qué direcciones de bitcoin tienen saldos y de qué otras direcciones se transfirieron los bitcoins, pero sin una investigación forense no es posible determinar la identidad de la persona que controla la dirección de bitcoin. Del mismo modo, siempre que los datos que se graban en la cadena no identifican al individuo, se puede establecer un sistema mediante el cual, sus preferencias, se pueden registrar y vincular a través de una dirección pseudoanónima. Sin embargo, las direcciones postales, los números de teléfono e incluso las direcciones IP no se pueden registrar con este método, ya que se pueden usar para localizar a la persona detrás de los datos.
  3. Cifre los datos en la cadena de bloques. Otra posibilidad es garantizar que todos los datos privados almacenados en la cadena de bloques estén encriptados. En tal situación, la empresa responsable del cuidado de los datos puede proporcionar evidencias de la eliminación de los datos al garantizar que se destruya la clave de descifrado. Otro enfoque puede ser transferir la responsabilidad de proteger la clave privada a la persona cuyos datos se almacenan en la cadena de bloques. Sin embargo, esta es una estrategia arriesgada, porque si se filtra la clave, los datos ya no están protegidos y no se pueden eliminar. Esto nos lleva a nuestra solución preferida actual, el siguiente punto.
  4. Utilizar base de datos cifrada referenciada. Otro enfoque es almacenar los datos relevantes en una base de datos encriptada privada e incluir un hash de los datos en la cadena de bloques. El hash se puede usar para confirmar que los datos en la base de datos no han sido alterados, pero no hay datos identificables reales en la red. Las copias de la clave de descifrado de los datos también se pueden almacenar en blockchain, con cada copia de clave cifrada con la clave pública de los diversos agentes que tienen permiso para acceder a los datos. Si hay un requisito para eliminar datos, los registros o tablas relevantes en la base de datos pueden descartarse. Si es necesario cambiar o restringir el acceso, los datos se pueden descifrar y luego volver a cifrar con nuevas claves. Curiosamente, esto también proporciona un método para la transferencia de datos entre controladores, sin tener que moverlo físicamente.

Concurso de decisiones automatizadas.

Dado que el fallo otorga a las personas de la UE el derecho de impugnar decisiones automatizadas, y los contratos inteligentes que se ejecutan en una cadena de bloques efectivamente toman decisiones automatizadas, el RGPD debe tenerse en cuenta al desarrollar e implementar contratos inteligentes que utilizan datos personales en la toma de decisiones proceso y producir un efecto legal u otro efecto similarmente significativo.

  • Contrato inteligente. El medio más simple para garantizar el cumplimiento inteligente del contrato es incluir un código dentro del contrato que permita al propietario del contrato revertir cualquier transacción realizada. Sin embargo, hay una serie de problemas que podrían surgir de esto. Por ejemplo, si las transacciones posteriores se han llevado a cabo en función de la decisión original, todas estas deben revertirse también. Como el tiempo de apelación puede ser largo, muchas de esas acciones pueden haberse tomado después de la decisión original del contrato, y puede que ni siquiera sea posible revertir todas las acciones.
  • Consentimiento y derecho contractual. Un segundo enfoque es garantizar que los usuarios que activan el contrato inteligente sean conscientes de que están celebrando dicho contrato y que brindan su consentimiento explícito. El RGPD ofrece la posibilidad de renunciar a la impugnación de decisiones automatizadas bajo tales términos, pero el contrato inteligente requeriría suspender cualquier acción posterior que se tome hasta que se obtenga el consentimiento.

Aplicaciones descentralizadas y el RGPD.

No todo es simple navegar en el otro lado tampoco. ¿Qué sucede si una aplicación descentralizada (Dapp) se lanza de forma anónima en una cadena de bloques pública, por ejemplo, en Ethereum, que recopila información sobre ciudadanos, recolecta y redistribuye fondos y toma decisiones automatizadas basadas en los datos y fondos disponibles? Según la decisión de la UE, los usuarios de Dapp tienen derecho a que se eliminen sus datos de la cadena de bloques y a impugnar las decisiones tomadas por Dapp. Pero en un verdadero Dapp no hay una junta directiva o CEO que rinda cuentas, ni una cuenta bancaria que pueda congelarse, ni un controlador de datos para solicitar. Es poco probable que prohibir la cadena de bloques relevante y hacer cumplir la prohibición presionando a los proveedores de servicios de Internet y a los proveedores de VPN. Como dice el viejo adagio: Internet trata la censura como un mal funcionamiento y simplemente en ruta.