El Reglamento General de Protección de Datos (GDPR), un amplio y estricto marco legal para la privacidad de datos personales de la Unión Europea (UE), entró en vigencia el 25 de mayo. Listo o no, este marco transformará drásticamente el negocio de cualquier emprendimiento digital. La Asociación Internacional de Profesionales de la Privacidad (IAPP) pronostica que se crearán al menos 75,000 trabajos de privacidad como resultado, y que las compañías de Fortune Global 500 gastarán cerca de $ 8 mil millones para asegurar que cumplan con el GDPR. Pero, ¿qué significa esto para la cadena de bloques?
Los objetivos de GDPR son: crear un marco uniforme de regulación de datos en Europa y fortalecer el control individual sobre el almacenamiento y uso de sus datos personales. Fue adoptado en 2016, y después de un período de transición de dos años, ahora está en vigor.
El GDPR introduce nuevas obligaciones de procedimiento y de organización para los “procesadores de datos”, incluidas las entidades corporativas y públicas, y otorga más derechos a los “sujetos de datos”, el término que utiliza para las personas.
Las organizaciones públicas y privadas, cuando se les deja a sí mismas, tienden a acumular datos incluso antes de saber qué harán con ellos, una especie de “fiebre del oro” en la adquisición de datos personales. El GDPR va en contra de este hábito al especificar que los procesadores de datos no deben recopilar datos más allá de lo que es directamente útil para su interacción inmediata con los consumidores. En efecto, la recolección de datos debe ser “adecuada, relevante y limitada al mínimo necesario en relación con los fines para los que se procesan” (Artículo 39 de la GDPR).
Además de establecer lo que está permitido o no, el GDPR también especifica las pautas organizacionales que los procesadores de datos deberán adoptar de ahora en adelante. Por ejemplo, su arquitectura tecnológica tendrá que borrar por defecto los datos del consumidor después de usarlo – “privacidad por diseño”.
En segundo lugar, cualquier entidad considerada como un “nexo de datos” deberá contar con un Oficial de Protección de Datos (DPO) responsable de gestionar el cumplimiento con el GDPR. Este DPO estará bajo la obligación legal de alertar a la autoridad de control siempre que surja un riesgo para la privacidad del interesado (Artículo 33).
Los interesados, por otro lado, estarán mejor informados sobre cómo se almacenan y procesan sus datos privados (Artículo 15). Tendrán, por ejemplo, derecho a solicitar una copia de las empresas de información que tienen sobre ellos. Además, los procesadores de datos deben informar a los interesados en detalles sobre el procesamiento de los datos y cómo se comparte o se adquiere.
Además de la transparencia, el GDPR proporciona a los ciudadanos más control sobre cómo se utilizan sus datos. El artículo 17 enumera las condiciones bajo las cuales podrán solicitar la eliminación de sus datos de las bases de datos comerciales, o el llamado “derecho de cancelación”.
Sin embargo, como comentaron Sarah Gordon y Aliya Ram en el Financial Times, “en última instancia, el impacto de GDPR dependerá de si las personas deciden ejercer los mayores poderes que las reglas les otorgan”. ¿Cuándo fue la última vez que rechazó su consentimiento a la política de privacidad de Facebook?
Un arma cargada con alcance global
El GDPR impone tarifas extremadamente altas para las empresas que no lo cumplen. Además, su alcance va mucho más allá de la UE.
Para las empresas, una visita del auditor de protección de datos puede ser aún más aterradora que una visita del inspector de impuestos. Un incumplimiento intencional o reiterado de los principios establecidos por el GDPR dará lugar a una multa de hasta 20 millones de euros o hasta el 4% del volumen de negocios anual del delincuente, lo que sea mayor. En lugar de confiar únicamente en las DPO de las empresas para hacer sonar la alarma, también se llevarán a cabo auditorías regulares de protección de datos.
Aunque stricto sensu, solo protege al sujeto de datos dentro de la UE, el alcance del GDPR es, en la práctica, global. Para empezar, los procesadores de datos ubicados fuera de la UE que manejan la información personal de los residentes de la UE deberán acatarla.
Además, la UE innova porque ahora vincula los flujos de datos a los flujos comerciales: cualquier país que desee firmar un acuerdo comercial con la UE deberá suscribirse para respetar el GDPR. En la última década, EE. UU. se ha convertido en la policía económica mundial, imponiendo multas a los bancos por no cumplir con sus regulaciones contra el lavado de dinero. Con el GDPR, ¿se convertirá la UE en el campeón mundial de protección de datos?
¿Blockchain escapa del GDPR?
El GDPR fue propuesto por primera vez por la Comisión Europea en 2012, con un enfoque inicial en los servicios en la nube y las redes sociales, en un momento en que blockchain no era una palabra conocida. Los servicios en la nube y las redes sociales, al menos en el mundo pre-blockchain, están organizados mayormente centralmente: muchos sujetos de datos interactúan con una entidad de servidor única: el procesador / controlador de datos. La administración central crea un punto de ataque sencillo para los reguladores. Pero, ¿cómo afectará el GDPR a los protocolos descentralizados, como las cadenas públicas de bloques?
Está claro que, dada la delgada línea entre el seudónimo y la identificación (el blockchain almacena algunos datos potencialmente personales), comienza con el historial de transacciones de uno. Podría, como tal, caer dentro del alcance del GDPR.
A primera vista, uno podría pensar que hay una contradicción directa entre GDPR y las cadenas de bloques públicas. Por ejemplo, entre los muchos principios establecidos en el GDPR, el “derecho a borrar” parece estar particularmente en desacuerdo con la naturaleza inmutable que, en lenguaje común, es el núcleo de la tecnología blockchain. Asumiendo por un momento esta contradicción, surge la pregunta: ¿quiénes son los procesadores de datos responsables en un sistema blockchain puramente descentralizado?
En general, articular la lógica del GDPR y el blockchain, utilizando la división “procesador de datos” / “sujeto de datos”, parece difícil. Sin duda, un debate legal extenuante se avecina.
¿Blockchain con GDPR?
Sin embargo, el blockchain comparte muchos objetivos con el GDPR. Ambos tienen como objetivo descentralizar el control de los datos y atenuar la desigualdad de poder entre los proveedores de servicios centralizados, en parte mediante la supresión de éstos, en los mitos de blockchain, y de los usuarios finales. Si bien la especificación original de Bitcoin no garantizaba el anonimato, muchas innovaciones tecnológicas, que van desde vasos elementales hasta aplicaciones zk-SNARK, nos acercaron a este ideal. Sin embargo, es probable que este tipo de anonimato no sea lo que persigue el regulador: ¿hay soluciones sugeridas por la cadena de bloques que serían más fácilmente aceptadas por el regulador?
Una avenida de investigación particularmente prometedora es la combinación de hardware confiable y blockchains. En las cadenas públicas de bloques, todos los datos se replican y comparten en todas las máquinas de la red. Esto hace que la eliminación de datos de transacción y la privacidad sean una pesadilla para los usuarios. Investigaciones recientes han comenzado a investigar cómo los “enclaves informáticos de confianza”, como Intel SGX, podrían proporcionar almacenamiento y privacidad de datos seguros y confidenciales.
La combinación de informática confiable con blockchains públicos significa que la privacidad de los datos puede protegerse de amenazas externas, y almacenarse fuera de la cadena, con el blockchain actuando como el juez final para quién puede acceder a esos datos o no. Dado que los contratos inteligentes implican no tener que confiar más en los proveedores de servicios centralizados, los derechos de los datos pueden ser gestionados exclusivamente por los usuarios mediante el blockchain y el hardware de confianza; devolverles el control y la privacidad de sus datos. Varios proyectos persiguen actualmente esta idea, con la esperanza de que pueda transformar el blockchain de una pesadilla de GDPR a un cuento de hadas.
Uno de esos intentos es un esfuerzo conjunto del Imperial College de Londres y la Universidad de Cornell. Teechain, es un proyecto que utiliza hardware de confianza para permitir transacciones fuera de cadena seguras y eficientes para una cadena de bloques pública. Se necesita un paso interesante para preguntar si la privacidad de las transacciones se puede encontrar o no en todas las cadenas de bloque públicas, no solo aquellas que proporcionan anonimato por defecto. Un proyecto alternativo, que también condujo a demostraciones en vivo, es la colaboración entre iExec e Intel iniciada dentro de Enterprise Ethereum Alliance (EEA).
¿Tus proyectos de blockchain favoritos son los pasos necesarios para adaptarte a este terremoto de la ley de privacidad? De lo contrario, tal vez sea el momento de implementar productos con “privacidad por diseño” en su núcleo. Como siempre, las restricciones generarán creatividad.