Hoy volvemos con una nueva guía, esta vez con el objetivo de abordar un tema específico de la privacidad, la identidad digital y GDPR.

¿Qué es la GDPR?

La privacidad y la protección de los datos personales es un tema cada vez más importante en el debate diario. La creciente concienciación de los “usuarios” ha llevado a la arena política internacional la necesidad de poner en marcha normativas que pretendan salvaguardar algunos principios clave de la cultura occidental: la importancia de la privacidad y la protección de la propiedad personal, en la era de la infoesfera.

 

Una de las normativas más importantes en este ámbito, especialmente para nosotros los ciudadanos europeos, es sin duda el Reglamento (UE) nº 2016/679, que todo el mundo conoce como GDPR (General Data Protection Regulation). 

 

El GDPR fue sin duda una de las normativas más importantes a nivel mundial relacionadas con la protección de datos personales. Este reglamento, a través de la multitud de sus artículos, pone en marcha un conjunto de normas que pretenden proporcionar una mayor privacidad y control sobre los datos personales de los ciudadanos. En concreto, el GDPR se creó para responder a las macrotendencias digitales y a la protección de los datos personales de los individuos. De hecho, el reglamento es específico en la protección de los derechos digitales de los ciudadanos, los consumidores y, en general, de todos aquellos que actúan como “personas físicas” y no como profesionales (como las empresas o las personas jurídicas). 

 

Self-Sovereign y GDPR

En guías anteriores, hemos explicado cómo los modelos de gestión de la identidad digital no han seguido el ritmo de la normativa… ¿Cuántas veces, sólo este mes, has oído hablar de robos de datos en hackeos o de empresas que pierden datos personales de los usuarios?

Afortunadamente, como ya hemos visto, existe una posible solución a algunos de los problemas que hoy hacen que el mundo de las identidades digitales sea menos “seguro”: la Self-Sovereign Identity(SSI).

Al permitir que los usuarios tengan pleno control sobre su propia identidad digital, la SSI quiere volver a situar en el centro la necesidad de garantizar todos los derechos fundamentales que hasta ahora se han olvidado en el diseño y la implementación de la web conocida. El principio fundamental de esta nueva infraestructura tecnológica es hacer que las personas sean finalmente “soberanas” de sus datos personales.

La posibilidad de no registrar y conservar ningún dato personal dentro de las bases de datos o registros centralizados (donde hoy en día se utilizan mayoritariamente para guardar los datos personales de los usuarios), hace que este nuevo modelo de identity management  se acerque más a las necesidades de los usuarios en la web y, como veremos, también para las empresas que finalmente se acerquen a la web. 

 

Coexistencia entre el GDPR y la Self-Sovereign Identity

Los modelos de identidad digital existentes hasta la fecha no conviven bien con la actual normativa sobre datos personales. 

 

La llegada de la SSI podría suponer una auténtica revolución en este sentido: los principios de protección, limitación y minimización propios del protocolo informático que compone la SSI están alineados con los del GDPR, creado para proteger y limitar el uso y tratamiento de los datos personales de los ciudadanos.

Normalmente, el uso de la Blockchain para registrar datos personales podría ser potencialmente peligroso y no estar alineado con los principios del GDPR. La Blockchain, como recordarás de la guía anterior, es de hecho un libro de contabilidad inmutable donde los datos pueden ser expuestos públicamente. Cada tipo de dato, una vez colocado dentro de un bloque, permanece inmodificable después y, además, ya no puede ser eliminado de la cadena. Estas dos características, si se piensa bien, son un gran problema; especialmente cuando un ciudadano decide que quiere eliminar algunos de sus datos personales, por ejemplo de la web.

Incluso Google, como se muestra a continuación, para estar en línea con la legislación, ahora permite a los usuarios solicitar la eliminación de sus datos personales:

A continuación mostramos cómo, a nivel general, la Self-Sovereign Identity podría coexistir con esta normativa y ofrecer una solución acorde con los principios propuestos.

Tal y como se define en el artículo 5 del Reglamento, el GPRD se basa en seis principios básicos relacionados con la protección de los datos personales:

 

Equidad y transparencia en el tratamiento de los datos personales de los usuarios.

  1. Limitación en el propio tratamiento de los datos con respecto a los fines para los que se recogen: esto significa que los datos personales de los usuarios pueden ser utilizados por diferentes empresas sólo para los fines necesarios.
  2. Minimización de los datos personales tratados. Al igual que en el caso anterior, los datos deben tratarse de la forma mínima posible en función de los fines del tratamiento;
  3. Exactitud y actualización de los datos personales tratados, incluida la supresión oportuna de los datos innecesarios o incorrectos en función de los fines del tratamiento;
  4. Conservación de los datos durante un tiempo no superior al necesario en relación con los fines para los que se llevó a cabo el tratamiento;
  5. Garantizar la integridad y confidencialidad de los datos personales que se tratan.

 

Veamos ahora cómo se comporta el concepto de SSI con respecto a estos principios:

 

  1. Equidad y transparencia: las tecnologías utilizadas por SSI permiten a los usuarios saber exactamente cómo se envían los datos personales a terceros.
  2. Limitación: SSI permite a los usuarios decidir qué datos quieren compartir con el tercero en cuestión en ese momento y, por tanto, saber qué datos están en manos de ese tercero.
  3. Minimización: La SSI permite lo que técnicamente se denomina divulgación selectiva. Esto significa que el usuario puede enviar sólo los datos necesarios, por diseño.
  4. Actualización: Al igual que en el caso de la restricción, la SSI permite que los datos sean verificados por terceros sin que éstos tengan que conservarlos necesariamente. De este modo, los servicios y empresas en línea pueden estar seguros de que han verificado los datos que necesitan, sin tener que preocuparse por la gestión y protección de los datos personales.
  5. Conservación: SSI permite a los usuarios conservar su información por sí mismos sin tener que depender de terceros. Por lo tanto, se puede argumentar que el SSI podría aportar varias ventajas con respecto a las prácticas actuales de conservación de datos para todas las partes interesadas.
  6. Confidencialidad: la confidencialidad de los datos en SSI está permitida debido a la divulgación selectiva y al hecho de que los datos personales de los usuarios sólo pueden conservarse cuando sea necesario y sólo después de la aprobación del usuario.

A través de este análisis de seis puntos, podemos decir que la Self Sovereign Identity se superpone perfectamente con los principios de protección de datos expresados en el GDPR.

 

Conclusión sobre SSI y GDPR

El Reglamento del GDPR forma parte de una cuestión muy compleja que afecta a todas las leyes que pretenden proteger los datos personales de los ciudadanos. En este primer y sencillo análisis, hemos analizado la proximidad entre los principios propuestos por SSI y los propuestos por el reglamento europeo. Como se ha destacado anteriormente, la SSI parece un paradigma realmente interesante tanto para proteger los propios datos personales como para facilitar a las propias empresas el cumplimiento de la normativa europea a través de ella.

En las próximas guías se ampliará el tema para tratar de entender si realmente, además de los principios básicos del reglamento, pueden coexistir SSI y GDPR.