Posibles soluciones a los conflictos entre Blockchain y protección de datos.

Tal y como se ha visto en los anteriores artículos sobre Blockchain y protección de datos, puede dar la impresión de que estos son incompatibles y más cuando se habla de situaciones donde los datos son almacenados y procesados, pero no es posible identificar a ningún encargado de ello. 

Tenemos que ser conscientes de que no se trata en sí de la tecnología, sino de cómo se usa la tecnología. No existe una cadena de bloques compatible con la protección de datos, al igual que no existen cosas como Internet o inteligencia artificial compatible con ésta, sino que hay casos de usos y aplicaciones compatibles con la protección de datos.

La interacción entre la protección de datos y blockchain es compleja por lo que las empresas deben preguntarse cómo utilizarán los datos para crear valor para el usuario; qué tipos de datos tienen, quién debe poder consultarlos, con qué finalidad, sobre qué base jurídica y cuánto tiempo. Debido a que las empresas deben tener muy presente la protección de datos desde el diseño y por defecto, tal y como establece el artículo 25 del RGPD. Solo entonces, se podrá crear una relación entre protección de datos y blockchain.

Al llevar a cabo el principio de protección de datos desde el diseño, es necesario entender que la tecnología blockchain no es la solución a todos los problemas. Las empresas no deben asumir que el uso de blockchain automáticamente hace que una aplicación sea más segura o barata, o que automáticamente equivale a privacidad. Un claro ejemplo son las aplicaciones B2B (empresa a empresa). Hay numerosas blockchain públicas y privadas que se utilizan para eliminar intermediarios en las transacciones entre empresas por lo que cada empresa debería poder gestionar los datos personales de sus usuarios por separado de la cadena de bloques off-chain y utilizar la tecnología blockchain para realizar transacciones con otras empresas de forma agregada de una manera más rápida y económica que no implique la publicación de detalle de transacciones de usuarios individuales a la cadena de bloques.

Otro aspecto clave que deben tener en cuenta las empresas es el evitar almacenar datos personales en una cadena de bloques e intentar aprovechar al máximo las técnicas de cifrado para anonimizar los datos. Incluso si los datos se cifran mediante técnicas de cifrado reversibles. Lo que sí se podría dar es el almacenamiento de pruebas inmutables de que existen ciertos datos, en vez de almacenar los datos en sí. Esto lo podemos observar con el siguiente ejemplo: imagínese la existencia de una plataforma que utiliza blockchain publica para ayudar a los solicitantes de empleo a proporcionar pruebas deformación académica a posibles empleadores. 

Como el informe de formaciónacadémica contiene datos personales, no se puede almacenar en la cadena de bloques, nisiquiera en forma de cifrado reversible. En cambio, la plataforma podría utilizar técnicas de hashing y agregación para generar una firma digital de un solo uso de un informe académico y almacenar esa firma digital en la cadena de bloques, junto con una marca de tiempo y la firma criptográfica de la institución que generó dicho informe.

Posteriormente, como buscador de empleo, mostrará el informe escolar al empleador,completamente fuera de la cadena de bloques y el empleador a su vez, podrá confirmar que el informe académico es verdadero ubicando la firma y la marca de tiempo en la cadena de bloques.

Es fundamental recopilar datos personales fuera de la cadena de bloques y en caso de que no se pueda evitar, utilizar cadenas de bloques privadas y autorizadas y tener especial atención en el caso de conectar cadenas de bloques privadas con públicas.

En la medida en que algunos datos personales deban almacenarse o procesarse en una cadena de bloques como ocurre, por ejemplo, en el sector financiero, es esencial que los datos se almacenen y procesen en una cadena de bloques que esté lo más estrictamente controlada posible. Los datos personales podrían estar restringidos a una cadena de bloques de consorcio autorizada con una pequeña cantidad de nodos, donde es posible exigir a los miembros del consorcio que acuerden términos contractuales que definan con precisión sus roles y deberes y la política de privacidad hacia los usuarios finales, así como el proceso para modificar los datos si llegado el caso fuese necesario. Los miembros del consorcio pueden formar una entidad legal separada que actuará como controlador de los datos, o pueden optar por actuar como controladores conjuntos. A su vez es posible que el controlador de datos preste términos y condiciones claros a los usuarios finales.

Blockchain todavía se encuentra en una etapa temprana de su máximo potencial por lo que es fundamental su desarrollo para que se le saque el mayor partido a esta tecnología. Bien es sabido que muy frecuentemente tienen problemas de escalabilidad, al igual que la falta de estructuras de gobernanza para coordinarse y la responsabilidad entre múltiples actores. Aquellos que trabajan para buscar soluciones a estos problemas también deberían trabajar en soluciones para facilitar el cumplimiento con el RGPD, en línea con los requisitos de protección de datos desde el diseño y protección de datos por defecto del artículo 25 del RGPD. A continuación, se mencionarán algunas posibles soluciones que se encuentran en pleno desarrollo.

La primera de ellas es la prueba de conocimiento cero, ésta se puede usar para proporcionar una respuesta binaria de verdadero o falso sin proporcionar acceso a los datos que se encuentran en una segunda capa. Actualmente existe una criptomoneda Zcash que se basa en este proceso para garantizar que, aunque las transacciones se publiquen en una cadena de bloques pública, sus detalles permanezcan ocultos. El libro mayor simplemente revela si se ha producido una transacción, no qué clave publica se utilizó o qué valor se transfirió. 

El proyecto Zerocoin explora pruebas de conocimiento cero para corregir el déficit de anonimato de Bitcoin. Cuando se utilizan pruebas de conocimiento cero, la cadena de bloques solo muestra que se ha realizado una transacción, no qué clave pública transfirió qué cantidad al destinatario. También se ha señalado si las pruebas de conocimiento cero y el cifrado homomórfico tienen el potencial de resolver el conflicto entre la minimización de datos y la verificabilidad de los datos entre muchas partes. De hecho, un informe del Parlamento Europeo ha considerado los zk-SNARK como un medio para cumplir con el requisito de protección de datos por diseño.

Otra posible solución consiste en añadir “ruido” a los datos. Aquí, varias transacciones se agrupan de manera que desde el exterior es imposible discernir la identidad de los respectivos remitentes y destinatarios de una transacción. Ya se han definido algoritmos similares a este modelo para el Bitcoin y Ethereum. Lo prometedor de esta técnica de privacidad es que el Grupo de Trabajo del Artículo 29 ya ha reconocido que, siempre que se cumplan las garantías necesarias, la adición de ruido puede ser una técnica de anonimización aceptable. Para que éste sea el caso, debe combinarse con mecanismos de privacidad adicionales como la eliminación de atributos

obvios y cuasi-identificadores.

Otros desarrolladores han creado cadenas de bloques “editables” utilizando funciones hash camaleónicas para editar, eliminar o reescribir ciertos datos, como para adaptarse a los requisitos reglamentarios. Según el diseño especifico de estas soluciones, podrían facilitar el cumplimiento del RGPD. En términos simples, dicho hash contiene una “trampilla” que permite romper los datos hash. Si es necesario cambiar un bloque asociado con el hash, esta trampilla se puede usar para abrir el bloque, aunque esta funcionalidad no se puede agregar retroactivamente a una cadena de bloques existente. Sin embargo, se ha enfatizado que tan pronto como una cadena de bloques se vuelva editable, perdería una de sus características fundamentales, la inmutabilidad de los datos almacenados en la cadena. Por lo tanto, quedará en manos de los desarrolladores la forma que le quieran dar a la blockchain y siempre teniendo en consideración la protección de datos desde el diseño para adaptar su uso al RGPD.

Por último, hablar de la “poda”, ésta podría ser una solución a los problemas que crea el almacenamiento indefinido de datos desde la perspectiva de los principios claves de protección de datos, como la minimización de datos y la limitación del almacenamiento. La poda permite que los datos se eliminen de la cadena de bloques cuando ya no se necesitan o no se desean. Sin embargo, como todas las soluciones, la poda conlleva considerables compensaciones, y también se ha enfatizado que, aunque el tamaño del nodo del archivo se puede reducir mediante la poda, toda la información necesaria para recrear el estado anterior aún se guarda en cada nodo, lo que significa que es poco probable que esto pueda clasificarse como una medida de anonimización desde la perspectiva del RGPD.