GDPR y Blockchain: ¿el nuevo Reglamento de Protección de Datos de la UE es una amenaza o un incentivo?

El Reglamento General de Protección de Datos (GDPR), un amplio marco jurídico extenso y riguroso de la Unión Europea (UE) para la privacidad de datos personales, se hizo efectivo el 25 de mayo. Listo o no, este marco va a transformar radicalmente el negocio de cualquier empresa digital. La Asociación Internacional de Profesionales de la Privacidad (IAPP) proyecta que al menos 75.000 empleos de privacidad se crearán como resultado, y que las empresas de Fortune Global 500 invertirán cerca de $8 mil millones, a fin de asegurar que sean compatibles con el GDPR. Pero, ¿qué significa esto para la blockchain?   

Los objetivos del GDPR son: crear un marco de regulación uniforme de datos dentro de Europa, y reforzar el control de los individuos sobre el almacenamiento y uso de sus datos personales. Fue adoptado en 2016, y después de un período de transición de dos años, ya está en vigor.

Obligaciones y derechos

El GDPR introduce nuevas obligaciones procedimentales y organizacionales para "procesadores de datos" – incluyendo entidades empresariales, así como públicas, y le da más derechos a los "titulares de los datos”- término que se utiliza para los individuos.

Las organizaciones públicas y privadas, cuando se les deja a su suerte, tienden a acumular datos, incluso antes de saber lo que van a hacer con ellos, una especie de "fiebre del oro" en la adquisición de datos personales. El GDPR va contra este hábito, especificando que los procesadores de datos no deben recopilar información más allá de lo que es directamente útil para su inmediata interacción con los consumidores. En efecto, la recolección de datos deben ser "adecuada, pertinente y limitada al mínimo necesario en relación con los fines para lo que se procesa" (Artículo 39 del GDPR).

Además de establecer qué es lo que está permitido o no, el GDPR también especifica las directrices organizacionales que los procesadores de datos tendrán que adoptar a partir de ahora. Por ejemplo, su arquitectura tecnológica tendrá que borrar de manera predeterminada los datos del consumidor después de usarlos; "privacidad por diseño".

En segundo lugar, a cualquier entidad considerada un "nexus de datos" se le exigirá que tenga un Agente de Protección de Datos (DPO), responsable de gestionar el cumplimiento de la GDPR. Este DPO estará bajo la obligación legal de alertar a la autoridad supervisora cada vez que surja un riesgo para la privacidad del titular de datos (Artículo 33).

Nuevo Reglamento de Protección de Datos europeo

Los titulares de los datos, por otro lado, estarán mejor informados sobre cómo sus datos personales se almacenan y procesan (Artículo 15). Por ejemplo, tendrán el derecho de pedir una copia de la información que las empresas tienen sobre ellos. Además, los procesadores de datos tienen que informar a los titulares de los datos con más detalle sobre el procesamiento de la información y cómo se comparten o adquieren.

Además de la transparencia, el GDPR ofrece a los ciudadanos un mayor control sobre la forma en que sus datos se utilizan. El Artículo 17 enumera las condiciones bajo las cuales podrán solicitar la eliminación de sus datos de bases de datos empresariales, o el llamado "derecho de borrado".

Sin embargo, como Sarah Gordon y Ram Aliya señalaron en el Financial Times, "en última instancia, el impacto del GDPR dependerá de si los individuos deciden ejercer el mayor poder que las leyes les otorgan". Cuándo fue la última vez que le negaste el permiso a la política de privacidad de Facebook?

Un arma cargada con alcance globa

El GDPR impone cuotas extremadamente altas para las empresas que no lo acaten. Además, su alcance va mucho más allá de las fronteras de la UE.

Para las empresas, una visita del auditor de protección de datos podría llegar a ser aun más aterradora que una visita del inspector fiscal. Un incumplimiento intencional o repetido de los principios establecidos por el GDPR dará lugar a una multa de hasta €20 millones o hasta el 4 por ciento del volumen de negocios anual a nivel mundial del delincuente, lo que sea mayor. En lugar de depender solo de que el DPO de las empresas haga sonar la campana de alarma, también se van a llevar a cabo auditorías regulares de protección de datos.

Aunque en el sentido estricto solo proteja a los titulares de los datos dentro de la UE, el alcance del GDPR es, en la práctica, mundial. Para empezar, los procesadores de datos situados fuera de la UE que manejen información personal de los residentes de la UE tendrán que acatarlo.

Además, la UE innova en que ahora amarra los flujos de datos a los flujos comerciales: cualquier país que aspire a firmar un acuerdo de libre comercio con la UE tendrá que suscribirse a respetar el GDPR. En la última década, Estados Unidos se ha convertido en el policía del mundo económico, multando a los bancos con grandes sumas por no cumplir con sus normas contra el blanqueo de dinero. Con el GDPR, ¿la UE va a convertirse en el campeón del mundo de protección de datos?

¿La blockchain escapa del GDPR?

El GDPR fue propuesto por primera vez por la Comisión Europea en 2012, con un enfoque inicial en los servicios en la nube y redes sociales, en un momento en que la blockchain no era una palabra conocida. Los servicios en la nube y las redes sociales, al menos en el mundo previo a la blockchain, están organizados principalmente de manera centralizada: muchos titulares de datos interactúan con una entidad de servidor único: el procesador/controlador de datos. La administración central crea un fácil punto de ataque único para los reguladores. Pero, ¿cómo va a afectar el GDPR a los protocolos descentralizados, tales como las blockchains públicas?

Es evidente que, dada la delgada línea entre el uso de pseudónimos y la identificación -la blockchain almacena algunos datos potencialmente personales- comenzando con el historial de transacciones de uno. Como tal, podría caer en el ámbito del GDPR.

A primera vista, uno podría pensar que existe una contradicción directa entre el GDPR y las blockchains públicas.  Por ejemplo, entre los muchos principios enunciados en el GDPR, el "derecho de borrado" parece estar particularmente en contradicción con el carácter inmutable que, en el lenguaje común, es el núcleo de la tecnología blockchain. Suponiendo por un momento que esta contradicción se mantenga, esto plantea la pregunta: ¿quiénes son los responsables del procesamiento de los datos en un sistema blockchain puramente descentralizado?

Con todo, la articulación de la lógica del GDPR y la blockchain, usar la separación "procesador de datos"/ "titulares de datos" parece difícil. Sin duda, un arduo debate jurídico está por delante.

¿Blockchain con GDPR?

Pese a todo, la blockchain comparte muchos objetivos con el GDPR. Ambos tienen como objetivo descentralizar el control de los datos y atemperar la desigualdad entre los proveedores de servicios centralizados -en parte por la supresión de estos, en los mitos de la blockchain- y los usuarios finales. Si bien la especificación original del Bitcoin no garantizaba el anonimato, numerosas innovaciones tecnológicas, que van desde los elementales tumblers hasta aplicaciones zk-SNARK, nos acercaron a este ideal. Sin embargo, probablemente este no sea el tipo de anonimato que el regulador esté persiguiendo; ¿existen soluciones sugeridas por la blockchain que serían aceptadas más fácilmente por el regulador?

Una vía de investigación especialmente prometedora es la combinación de hardware fiable y blockchains. En las blockchains públicas, todos los datos se replican y comparten por todas las máquinas en la red. Eso hace de la operación de eliminación de datos y la privacidad, una pesadilla para los usuarios. Una investigación reciente ha comenzado a indagar cómo los “enclaves confiables de computación", tales como Intel SGX, podrían proporcionar almacenamiento seguro y confidencial de datos y privacidad.

La combinación de la informática confiable con blockchains públicas significa que la privacidad de los datos puede ser protegida de amenazas externas, y almacenada fuera de la cadena, con la blockchain actuando como juez final de quiénes pueden acceder a esos datos o no. Debido a que los contratos inteligentes implican no tener que confiar en los proveedores de servicios centralizados, los derechos de datos pueden ser administrados exclusivamente a través de la blockchain y hardware de confianza por los usuarios; devolviéndoles el control y la privacidad de sus datos. Muchos proyectos actualmente persiguen esta idea, en la esperanza de que eso pudiera transformar la blockchain desde una pesadilla para GDPR a un cuento de hadas.

Uno de estos intentos es un esfuerzo conjunto del Imperial College de Londres y la Universidad de Cornell. Teechain es un proyecto que utiliza hardware fiable para habilitar el apagado seguro y eficiente de las transacciones fuera de la cadena para una blockchain pública. Da un paso interesante hacia el preguntar si la privacidad de transacción puede encontrarse en todas las blockchains públicas o no, y no solo aquellas que proporcionan anonimato por defecto. Un proyecto alternativo, que también condujo a demostraciones en vivo, es la colaboración entre iExec e Intel, iniciado dentro de la Enterprise Ethereum Alliance (EEA).

¿Tus proyectos blockchain favoritos están adoptando las medidas necesarias para adaptarse al terremoto de esta ley de privacidad? Si no, quizás sea el momento de implementar productos con "privacidad por diseño" en su núcleo. Como siempre, las limitaciones incrementarán la creatividad

 

El artículo fue escrito junto con Joshua Lind, un Candidato a Ph.D. en Ciencias de la computación