Cómo afecta la nueva GDPR a las tecnologías y servicios basados en blockchain
«Algunas blockchains, tal y como están diseñadas actualmente, son incompatibles con GDPR». La afirmación, realizada por Michèle Finck, profesora de derecho de la UE en la Universidad de Oxford y probablemente la autora de algunos de los papers más influyentes sobre este asunto, ponía sobre la mesa uno de los problemas a los que se enfrenta esta tecnología, a pocos días de la entrada en vigor de la normativa europea de protección de datos.
Aunque no es sencilla, existen y se están desarrollando diferentes soluciones especialmente para las blockchain privadas, aunque para las públicas, como la que soporta el Bitcoin, no parece que haya posibilidad de adaptar o modificar la tecnología. Pero tampoco está tan claro que GDPR pueda aplicarse a este tipo de criptomonedas.
Vayamos por partes.
Los tres actores de una blockchain desde la perspectiva GDPR
En una blockchain participan tres actores principales: quienes mantienen y operan los nodos que habilita la infraestructura, los desarrolladores que construyen las aplicaciones y los usuarios finales.
La infraestructura, en este caso, es distribuida y se basa en un protocolo. Frente a la opción centralizada, en la que hay un servidor central que da servicio y almacena los datos, en las redes descentralizadas quienes ofrecen esta potencia de computación no se conocen entre sí, simplemente se suman a un protocolo. En el caso de los Bitcoin, por ejemplo, este rol lo desempeñan los conocidos mineros que deciden poner sus servidores y los sincronizan con los demás para competir a la vez que habilitan esa blockchain que soporta una única aplicación (en este caso, el bitcoin). El primero que calcule y mine el hash del bloque, se lleva la moneda o el premio. Este primer grupo de actores, desde el punto de vista GDPR se limitan a sincronizar e hiper-replicar la información.
GDPR podría no aplicarse a los blockchain públicos como Bitcoin, pero sí a las redes privadas, como las ICO y otro tipo de aplicaciones y servicios
El segundo rol son los desarrolladores que hacen las aplicaciones encima de blockchain. El servicio que se ofrece va a utilizar total o parcialmente la blockchain, va a tener una parte “on-chain” y otra en ocasiones “off-chain”. Los desarrolladores pueden desplegar sus aplicaciones tanto en blockchain públicas como privadas. En cualquiera de los casos se enfrentan a un mismo marco GDPR. Tendrán que analizar cuándo y cómo trabajan con datos personales.
Por último, encontramos al usuario que utiliza esa aplicación montada sobre tecnología blockchain. Entre los usuarios hay que diferenciar a quienes les resulta de aplicación el marco normativo GDPR (por ejemplo, en el ámbito b2b o incluso p2p, donde habría que ver si realmente aplica). Cuando se utiliza blockchain, no se registra o accede con un usuario y contraseña como en los servicios online tradicionales, sino que será identificado por una clave pública con la que se autentica y transacciona (que siempre estará asociada a su correspondiente clave privada). Cabe señalar que un usuario, para gestionar su propia privacidad, puede tener tantas claves públicas como quiera (por ejemplo en la red Ethereum), de manera que las puede usar en diferentes servicios.
Blockchain públicas y privadas
Además, hay que diferenciar dos tipos principales de blockchain a las que nos hemos referido: las privadas o permissioned (bajo el control de un grupo limitado de nodos conocidos y que suelen estar bajo el gobierno de una empresa o consorcio que “da permisos” para habilitar la infraestructura) y las públicas o permissionless, que realmente no están bajo el control de nadie (como las redes Bitcoin o Ethereum).
Mientras, GDPR es la nueva normativa de protección de datos europea que busca la completa anonimización de los datos; esto es, que ninguna información pueda relacionar e identificar directamente a ninguna persona. Además, aborda el absoluto control del ciudadano de sus datos, como el denominado Derecho al Olvido, por el que un ciudadano puede pedir que se eliminen todos sus datos cuando estos ya no sean relevantes.
Esa clave pública con la que funcionan todas las blockchain, en términos de GDPR, podría ser en un muchas ocasiones un dato seudónimo, según Moisés Menéndez Andrés, abogado, Co-director del observatorio Fintech de ICADE-EVERIS, equipo promotor de Alastria y socio de Everis Initiatives.
Las complicaciones principales GDPR tienen su origen en la seudonimización de la información del blockchain y los derechos de rectificación y borrado de los posibles datos.
Aquí podríamos encontrar el primer problema de la tecnología con la normativa europea, puesto que si alguien desvela qué persona está detrás de esa clave pública podríamos saber todos los movimientos que ha realizado esa persona en una blockchain.
Por ejemplo, ahora mismo en las blockchain Ethereum o Bitcoin, sabiendo la clave pública de un usuario (puede que, por ejemplo, la haya publicado en su blog para recibir donaciones) podemos saber todo lo que hace. “Si has vinculado tu clave pública a estas operaciones, es como navegar en Google: se puede conocer hasta las horas de las compras, de cualquier transacción”, explica este abogado. “Si has invertido en criptodivisas y desvelas tu clave pública y, en el lado “on-chain” no controlas tu información, no hay nadie que responda por tus derechos GDPR (que tampoco probablemente tendrías), no puedes pedir que se elimine o anonimicen tus datos. No hay ni persona de contacto a la que dirigirse, puesto que es una tecnología totalmente descentralizada”, recuerda.
En “Accountss” de Ethreum podemos ver quiénes son las claves públicas que más saldos tienen de Ethers o las cantidades de criptomonedas han movido. Pero nadie sabe quién está detrás de esas identidades. De hecho es frecuente ver a la comunidad de desarrolladores buscando de quién es determinada clave pública cuando por ejemplo han robado unos Ethers o desplegado determinado smart contract.
«Suponiendo que la información personal esté encriptada antes de que se escriba en una cadena de bloques, la destrucción de la clave haría que los datos sean ilegibles», asegura en una reflexión en Medium Greg McMullen, abogado, activista de Internet y Director de la Base de Datos Interplanetaria (IPDB). ¿Valdría para cumplir con el derecho al olvido? «Los reguladores deberían aceptar la destrucción de una clave como un borrado a los efectos del GDPR, siempre que la destrucción se realice de acuerdo con las mejores prácticas y de manera auditable», asegura este experto.
El hackeo de datos en blockchain: algo que suena peregrino
¿Pueden las aplicaciones y servicios basados en blockchain sufrir un hackeo de la información como otros servicios online? (léase redes sociales tipo Twitter, aplicaciones como Office 365 o servicios de almacenamiento como Dropbox).
El hackeo en los servicios tradicionales puede hacerse normalmente de dos formas: a nivel de usuario particular (que averigüe nuestra ID y contraseña, de manera que pueda acceder a nuestra información e incluso suplantar nuestra identidad) o a nivel corporativo, accediendo a los servidores empresariales, entrar en su sistema y acceder a los ID y contraseñas de los usuarios.
Cada usuario tiene su clave privada, que no está en la blockchain, sino que está fuera de ella, off-chain. El mayor riesgo es que alguien robe al usuario la clave privada
En el caso de una blockchain, es cierto que un hackeo se puede plantear también a estos dos niveles: intentar hackear y tomar control de la clave pública y privada de un usuario o alterar la información de la blockchain. “Lo segundo, por cómo está configurado un protocolo blockchain, lo hace imposible”, sentencia Moisés Menéndez.
Pensemos en Bitcoin: si quisiéramos hackearlo y alterar un registro, tendríamos que atacar miles de nodos a la vez. “Teóricamente es posible. Algunos dicen que con los ordenadores cuánticos es factible. Pero si fuera posible es mucho más interesante atacar al resto de servicios online -como por ejemplo un banco- porque serían más vulnerables aún si cabe y va a resultar más lucrativo”, explica. “Es más resiliente una red distribuida que una centralizada en la que solo tengo que atacar un ordenador en lugar de los 11.000 que hacen de nodos”.
En cuanto a la posibilidad de que se intente hackear a un usuario concreto, este experto tampoco lo ve como algo realizable. “Las claves públicas con más Ethers o Bitcoins están públicamente expuestas, conocemos hasta de retos en el mundo para intentar averiguar quién está detrás de esas claves públicas, pero nadie ha conseguido robar los Ethers directamente en la blockchain”, asegura Moisés Menéndez, que recuerda así la dificultad de romper la seguridad de estas medidas criptográficas.
“Es mucho más segura el mecanismo criptográfico de uso de una clave privada y pública que una clave-contraseña de un servicio online. La relación es “de uno a un millón» por poner un número bajo”, sentencia.
La información que está onchain y la que está offchain
Para poder usar cada blockchain se tiene, pues, que tener una clave pública siempre vinculada a la clave privada del usuario. De hecho la criptografía es similar a la de un certificado digital que se utilizan ya desde hace varios años, como CERES de la FNMT.
Cuando obtenemos este certificado o clave digital, se instala un componente en nuestro dispositivo que genera una clave privada. “Clave privada y su clave pública son vinculadas y asociadas a su persona titular compareciendo físicamente ante un funcionario en el caso de este Certificado”, explica este experto. A partir de ese momento, para Hacienda podremos identificarnos con una clave pública que tiene capacidad de firmar transacciones utilizando su clave privada.
Si alguien quisiera hackear y alterar un registro en una blockchain, tendría que atacar miles de nodos a la vez. Teóricamente es posible, pero parece poco probable que se haga
En la blockchain ocurre lo mismo. “Cada usuario tiene su clave privada, que no está en la blockchain, sino que está fuera de ella”, es decir, off-chain. El mayor riesgo es que alguien robe al usuario la clave privada. “Cuando alguien te roba los bitcoins, en realidad lo que hace es tomar control de tu clave privada”, detalla Moisés Menéndez.
Ante este riesgo de que alguien se haga con nuestra clave privada, hay gente que llega incluso a no almacenarla en ningún dispositivo tecnológico o lo hace en servidores fríos, no conectados a Internet, precisamente para evitar el hackeo y robo de estas credenciales. De hecho, no es la primera vez que se producen robos físicos, a mano armada, para hacerse con estas claves privadas.
Minimizando los riesgos
Dado que la tecnología blockchain es un modelo distribuido y está basado, en parte, en sistemas criptográficos, este experto considera que “si se sabe utilizar, puede ser un entorno magnífico para gestionar tu privacidad. Por eso, las blockchain públicas son tan buenas para los piratas, porque no hay nada en la clave pública que te pude identificar directamente aunque, eso sí, puedo trazar todo el comportamiento y actividad de esa clave”.
Esta visión sobre cómo casan GDPR y blockchain es algo en lo que coincide con la experta Michèle Finck, quien asegura que estas cadenas de bloques, «si se diseñan adecuadamente, pueden compartir un objetivo común con GDPR: otorgarle a un sujeto más control sobre sus datos, siempre que el blockchain esté específicamente diseñadas para lograr ese objetivo».
¿Cuáles son los riesgos entonces en lo que a nuestra privacidad se refiere? Por un lado, por la parte del usuario, que utilice una misma clave pública para todos los servicios blockchain. Vendría a ser algo así como utilizar la misma contraseña para todos los servicios que utilizamos hoy en día. Si alguien llegara a conocer o a relacionar nuestra clave pública con nuestra identidad, podría conocer todos aquellos servicios que utilizamos y los movimientos que hacemos en ellos.
Entre las soluciones más simples, además de no permitir el registro de datos personales en blockchain, está romper toda vinculación entre esa clave pública y los datos que identifican a cualquier usuario
Otro riesgo es que sea este mismo usuario el que publique abiertamente cuál es su clave pública. “Cuando alguien desvela su clave pública, no solamente es como dar el número de una cuenta bancaria, si no dar acceso al extracto de esa cuenta bancaria y ver todos los movimientos”, pone como ejemplo este experto. Basta recordar lo que podemos ver en las cuentas de Etherscan.
En cuanto a los desarrolladores que trabajan sobre blockchain, el mayor riesgo es que en la programación y codificación de los smart contracts no se relacione ningún dato personal con cada clave pública.
Por eso, y en opinión de Michèle Finck, los reguladores deben motivar a los desarrolladores de blockchain para diseñar sus productos de conformidad con este importante objetivo de protección de datos».
El escenario ideal, desde el punto de vista de desarrollo de los servicios sería el siguiente
Persona[[[[[[[BLOCKCHAIN]]]]]]] >Clave Pública->Datos
Pero, si en este esquema puede haber algo más que pueda clasificarse como dato personal, es cuando puede producirse un problema de incompatibilidad con GDPR, que como hemos visto exige que la información sea anonimizada para poder gestionar los derechos de rectificación y borrado. Y estos obliga a desarrollar parte de las soluciones “off-chain”.
Estos escenarios podrían ser del tipo
Persona->Clave Pública->datos[[[[[[[[[[BLOCKCHAIN]]]]]]]]]]] ->Hash registro transacción
Vamos a añadir un “secreto”
Las complicaciones principales GDPR tienen su origen en la seudonimización de la información del blockchain y los derechos de rectificación y borrado de los posibles datos. «Se ha impuesto la opinión de que los datos vinculados a una clave pública son seudónimos porque puede producirse la vinculación de la persona a su clave pública», explica Menéndez. Además, al ser un registro inmutable y permanente, la información no puede rectificarse ni borrarse.
Teóricamente, se podría reescribir los datos almacenados en una cadena de bloques, pero solo si la mayoría de los nodos de la red están de acuerdo, cosa prácticamente imposible en una blockchain pública y que no tiene sentido en la mayoría de las blockchain privadas (ya que, según este experto, así «eliminamos una de sus ventajas, la “inmutabilidad” de la información»). Pero, este “problema de blockchain con GDPR tiene varias soluciones que se están desarrollando» y, en todo caso, “puede haber medidas relativamente simples a tener en cuenta en el desarrollo de las aplicaciones”, explica Moisés Menéndez Andrés.
Entre las soluciones más simples, además de no permitir el registro de datos personales en blockchain, está romper toda vinculación entre esa clave pública y los datos que identifican a cualquier usuario. Esto se debería tener en cuenta a la hora de desarrollar nuevas app basadas en blockchain, especialmente si se van a desplegar en redes públicas. En las redes privadas se introducen este tipo de medidas como políticas básicas a cumplir por los desarrolladores.
GDPR no aplica a criptomonedas tipo Bitcoin porque no hay nadie responsable. Habría que hacer extensivo a todos los mineros
Sería como añadir un “secreto” entre la identidad y la blockchain. Ese secreto podría ser “un número que me genere una clave pública por transacción al añadirse a mi clave privada”, explica Menéndez. De esta forma, si se rompe ese código secreto, gestionado offchain junto mi clave privada, también se desvincula la clave pública de la transacción, haciendo imposible que se pueda recuperar. “Es una técnica de anonimización que estamos planteando al regulador GDPR”, explica.
Sin embargo, esta solución sería más complejas en las blockchain públicas actuales, donde, además, tampoco podríamos reclamar nuestros derechos GDPR, al no haber una única autoridad gestora de la información.
No reclames tus derechos GDPR en Bitcoin
Es decir, que las criptomonedas tipo Bitcoin pueden no verse reguladas por GDPR. “Si tu inversión está relacionada con Bitcoin, Ethers o cualquier otro tipo de criptomonedas, si concluyéramos que hay datos personales y la existencia de un responsable de estos, cosa muy cuestionable, no puedes ejercitar tus derechos GDPR, porque no podrían gestionarse en este tipo de tecnologías peer-to-peer”, asegura Menéndez Andrés.
Además, debes tener en cuenta que, ahora mismo, si alguien conoce tu clave pública pueda saber todo lo que haces en Ethereum o Bitcoin. “Si has vinculado tu clave pública a estas operaciones, es como navegar en Google: se puede conocer hasta las horas de ejecución de las transacciones”, explica este abogado. “Si has invertido en criptodivisas no hay nadie que responda por tus derechos GDPR. No es solo que no tenga sentido la figura responsable-encargado del tratamiento, es que no hay ni persona de contacto, es una tecnología totalmente descentralizada y fuera de una jurisdicción concreta”, recuerda.
Por eso, este experto asegura que en su opinión GDPR no aplica a este tipo de criptomonedas “porque no hay nadie responsable. Habría que hacer extensivo a todos los mineros la condición de responsable o encargado del tratamiento de los datos, consideración de consecuencias absurdas”. Otra cosa es la relación del inversor con su “exchange” si lo utiliza para comprar y vender criptomonedas. «Éste sí es un servicio centralizado y clásico a efectos de la aplicación de GDPR, porque en realidad estamos fuera de la blockchain», añade.
El miedo a las altas multas que puede acarrear un incumplimiento está haciendo que se adopte una política de “por si acaso” en el desarrollo de aplicaciones basadas en blockchain
En las ICO, por tanto, sí tienes derechos GDPR. Una normativa, por tanto, que no podría aplicarse en las criptomonedas, pero sí en cualquier otro tipo de token, sea “security” o “utility” o servicio en el que esté detrás una organización que lo promueva, que haya construido una aplicación o plataforma que los gestione
Así pues, si has invertido en algún tipo de ICO (oferta inicial de monedas), sí que estás amparado por GDPR, independientemente del país en el que esta ICO opere si facilitas alguno de tus datos personales.
Estas empresas deben gestionar bien los datos de los ciudadanos europeos que compran ese token, porque sí que son responsable de garantizar la normativa de protección de datos. Si alguien hackea sus bases de datos, sería capaz de relacionar los movimientos en estos activos con personas concretas y eso plantea muchos problemas con la nueva normativa de protección de datos europea.
La “histeria” GDPR
Aunque GDPR se aprobó hace dos años, es ahora que se acerca su entrada en vigor cuando corre prisa saber si se es compatible o no con la normativa. Menéndez Andrés cree que muchas de las empresas que promueven ICO “están descuidando a sus potenciales suscriptores europeos” y considera factible que, al igual que hay ICOS que advierten en su página web a los estadounidenses no comprar algo porque lo prohíbe la SEC (la Comisión del Mercado y Valores del país), con GDPR podría ocurrir algo parecido: “si es usted ciudadano UE no puede adquirir estos tokens”.
Además, este experto considera que hay que evitar el alarmismo. “Ahora mismo hay una especie de paranoia con GDPR. Estamos en el riesgo de que los ciudadanos europeos nos convirtamos en una especie de Amish tecnológicos, yendo en un carromato en esto de la innovación mientras nos pasan los americanos por la izquierda con coches autopilotados y los asiáticos en vehículos voladores”.
Blockchain es un modelo distribuido y está basado, en parte, en sistemas criptográficos. “Si se sabe utilizar, puede ser un entorno magnífico para gestionar la privacidad»
Lo cual no quita para que los desarrolladores de aplicaciones blockchain las construyan correctamente para que no se produzca esta vinculación entre dato personal e identificación de una persona. “Si soy una empresa y controlo datos personales, estoy obligado a evitar que se vincule la clave pública con una persona concreta”, por lo que tengo que garantizar que no se produzca esa vinculación.
Este tipo de riesgos son los que se pretenden evitar en la blockchain promovida por Alastria, un consorcio de 205 miembros (abril 2018 y sigue creciendo) que está desarrollando las reglas de gobierno para que los principios básicos de los proyectos y aplicaciones blockchain sean anónimos y compatibles con GDPR. “Intentamos facilitar las guías de buenas prácticas y, en su momento, probablemente se elaborará un Código de Conducta que haga segura esta red, explica Moisés Menéndez.
Aunque este experto considera que hay que construir las app teniendo extremado cuidado con la regulación de GDPR, y no solo por las sanciones, sino por los derechos esenciales que se protegen, también confiesa que hay “cierto histerismo en relación a la normativa. Estamos siendo muy conservadores y prudentes con la norma. Pero no puede haber parálisis por una visión histérica e histriónica en ocasiones”, añade.
El miedo a las altas multas que puede acarrear un incumplimiento está haciendo que se adopte una política de “por si acaso”. Algo que, según este abogado, “hace mucho daño a la innovación. Si tienes dudas debes ir al regulador”, añade, y confía en la utilización de los sandbox para probar de manera segura los conceptos quizás más agresivos a la vista de la regulación y en que la legislación que se apruebe en cada país “sea más ad hoc para esta tecnología blockchain”.
Si el futuro pasa por blockchain, ¿qué hacemos con GDPR?
Como decíamos antes, GDPR está pensado para un sistema centralizado de información. Sin embargo, la tecnología blockchain es justo la desintermediación y descentralización. Al mismo tiempo, se llega a asegurar que blockchain será en el futuro, una tecnología tan revolucionaria como lo ha sido la propia Internet. Si va a ser así, ¿cómo puede aplicarse GDPR?
La ley suele ir siempre por detrás del cambio tecnológico, pero, en opinión de Michèle Finck en su paper sobre GDPR y blockchain, esta división se agudiza a medida que el ritmo de la innovación se acelera en la era digital. Con respecto al GDPR, asegura que aspectos fundamentales (como los derechos de enmienda y al olvido) «no pueden aplicarse fácilmente a las nuevas tecnologías de almacenamiento y procesamiento de datos».
“Las autoridades GDPR van a tener que hacer un esfuerzo de comprensión de la tecnología para su aplicación a blockchain, ya que es muy diferente al Internet de los silos de información que hoy todos utilizamos”, asegura este abogado. No en vano, en las blockchian es a veces muy complicado entender que es un dato personal, los roles, incluso la existencia de un “responsable” de estos datos.
El reto, según Michèle Finck, consiste en «aplicar el marco de protección de datos de la UE de una manera que no asfixie el potencial innovador de blockchain, pero que al mismo tiempo garantice la protección de datos».
Por otro lado, insiste: “no hay que olvidar que en los entornos de blockchains privadas o semipúblicas, como lo es Alastria, la problemática GDPR se puede mitigar enormemente en la medida en que se implementen las diferentes soluciones hoy en desarrollo, que aseguran la gestión criptográficamente segura de la información, o la propia privacidad de las transacciones, solo completamente visibles entre las partes que intervienen frente al resto de la red”.
También te recomendamos
Hacienda estudiará el impacto bitcoin y las criptomonedas, pero de momento, de controlarlas nada
Kodak anuncia su propia criptomoneda KODAKCoin y sus acciones se disparan en un 125%
Romances, asesinatos, secuestros… Lo que da de sí una lavandería en esto del cine
–
La noticia
Cómo afecta la nueva GDPR a las tecnologías y servicios basados en blockchain
fue publicada originalmente en
Xataka
por
Arantxa Herranz
.