Hoy volvemos con una nueva gu铆a, esta vez con el objetivo de abordar un tema espec铆fico de la privacidad, la identidad digital y GDPR.

驴Qu茅 es la GDPR?

La privacidad y la protecci贸n de los datos personales es un tema cada vez m谩s importante en el debate diario. La creciente concienciaci贸n de los “usuarios” ha llevado a la arena pol铆tica internacional la necesidad de poner en marcha normativas que pretendan salvaguardar algunos principios clave de la cultura occidental: la importancia de la privacidad y la protecci贸n de la propiedad personal, en la era de la infoesfera.

 

Una de las normativas m谩s importantes en este 谩mbito, especialmente para nosotros los ciudadanos europeos, es sin duda el Reglamento (UE) n潞 2016/679, que todo el mundo conoce como GDPR (General Data Protection Regulation).聽

 

El GDPR fue sin duda una de las normativas m谩s importantes a nivel mundial relacionadas con la protecci贸n de datos personales. Este reglamento, a trav茅s de la multitud de sus art铆culos, pone en marcha un conjunto de normas que pretenden proporcionar una mayor privacidad y control sobre los datos personales de los ciudadanos. En concreto, el GDPR se cre贸 para responder a las macrotendencias digitales y a la protecci贸n de los datos personales de los individuos. De hecho, el reglamento es espec铆fico en la protecci贸n de los derechos digitales de los ciudadanos, los consumidores y, en general, de todos aquellos que act煤an como “personas f铆sicas” y no como profesionales (como las empresas o las personas jur铆dicas).聽

 

Self-Sovereign y GDPR

En gu铆as anteriores, hemos explicado c贸mo los modelos de gesti贸n de la identidad digital no han seguido el ritmo de la normativa… 驴Cu谩ntas veces, s贸lo este mes, has o铆do hablar de robos de datos en hackeos o de empresas que pierden datos personales de los usuarios?

Afortunadamente, como ya hemos visto, existe una posible soluci贸n a algunos de los problemas que hoy hacen que el mundo de las identidades digitales sea menos “seguro”: la Self-Sovereign Identity(SSI).

Al permitir que los usuarios tengan pleno control sobre su propia identidad digital, la SSI quiere volver a situar en el centro la necesidad de garantizar todos los derechos fundamentales que hasta ahora se han olvidado en el dise帽o y la implementaci贸n de la web conocida. El principio fundamental de esta nueva infraestructura tecnol贸gica es hacer que las personas sean finalmente “soberanas” de sus datos personales.

La posibilidad de no registrar y conservar ning煤n dato personal dentro de las bases de datos o registros centralizados (donde hoy en d铆a se utilizan mayoritariamente para guardar los datos personales de los usuarios), hace que este nuevo modelo de identity management聽 se acerque m谩s a las necesidades de los usuarios en la web y, como veremos, tambi茅n para las empresas que finalmente se acerquen a la web.聽

 

Coexistencia entre el GDPR y la Self-Sovereign Identity

Los modelos de identidad digital existentes hasta la fecha no conviven bien con la actual normativa sobre datos personales.聽

 

La llegada de la SSI podr铆a suponer una aut茅ntica revoluci贸n en este sentido: los principios de protecci贸n, limitaci贸n y minimizaci贸n propios del protocolo inform谩tico que compone la SSI est谩n alineados con los del GDPR, creado para proteger y limitar el uso y tratamiento de los datos personales de los ciudadanos.

Normalmente, el uso de la Blockchain para registrar datos personales podr铆a ser potencialmente peligroso y no estar alineado con los principios del GDPR. La Blockchain, como recordar谩s de la gu铆a anterior, es de hecho un libro de contabilidad inmutable donde los datos pueden ser expuestos p煤blicamente. Cada tipo de dato, una vez colocado dentro de un bloque, permanece inmodificable despu茅s y, adem谩s, ya no puede ser eliminado de la cadena. Estas dos caracter铆sticas, si se piensa bien, son un gran problema; especialmente cuando un ciudadano decide que quiere eliminar algunos de sus datos personales, por ejemplo de la web.

Incluso Google, como se muestra a continuaci贸n, para estar en l铆nea con la legislaci贸n, ahora permite a los usuarios solicitar la eliminaci贸n de sus datos personales:

A continuaci贸n mostramos c贸mo, a nivel general, la Self-Sovereign Identity podr铆a coexistir con esta normativa y ofrecer una soluci贸n acorde con los principios propuestos.

Tal y como se define en el art铆culo 5 del Reglamento, el GPRD se basa en seis principios b谩sicos relacionados con la protecci贸n de los datos personales:

 

Equidad y transparencia en el tratamiento de los datos personales de los usuarios.

  1. Limitaci贸n en el propio tratamiento de los datos con respecto a los fines para los que se recogen: esto significa que los datos personales de los usuarios pueden ser utilizados por diferentes empresas s贸lo para los fines necesarios.
  2. Minimizaci贸n de los datos personales tratados. Al igual que en el caso anterior, los datos deben tratarse de la forma m铆nima posible en funci贸n de los fines del tratamiento;
  3. Exactitud y actualizaci贸n de los datos personales tratados, incluida la supresi贸n oportuna de los datos innecesarios o incorrectos en funci贸n de los fines del tratamiento;
  4. Conservaci贸n de los datos durante un tiempo no superior al necesario en relaci贸n con los fines para los que se llev贸 a cabo el tratamiento;
  5. Garantizar la integridad y confidencialidad de los datos personales que se tratan.

 

Veamos ahora c贸mo se comporta el concepto de SSI con respecto a estos principios:

 

  1. Equidad y transparencia: las tecnolog铆as utilizadas por SSI permiten a los usuarios saber exactamente c贸mo se env铆an los datos personales a terceros.
  2. Limitaci贸n: SSI permite a los usuarios decidir qu茅 datos quieren compartir con el tercero en cuesti贸n en ese momento y, por tanto, saber qu茅 datos est谩n en manos de ese tercero.
  3. Minimizaci贸n: La SSI permite lo que t茅cnicamente se denomina divulgaci贸n selectiva. Esto significa que el usuario puede enviar s贸lo los datos necesarios, por dise帽o.
  4. Actualizaci贸n: Al igual que en el caso de la restricci贸n, la SSI permite que los datos sean verificados por terceros sin que 茅stos tengan que conservarlos necesariamente. De este modo, los servicios y empresas en l铆nea pueden estar seguros de que han verificado los datos que necesitan, sin tener que preocuparse por la gesti贸n y protecci贸n de los datos personales.
  5. Conservaci贸n: SSI permite a los usuarios conservar su informaci贸n por s铆 mismos sin tener que depender de terceros. Por lo tanto, se puede argumentar que el SSI podr铆a aportar varias ventajas con respecto a las pr谩cticas actuales de conservaci贸n de datos para todas las partes interesadas.
  6. Confidencialidad: la confidencialidad de los datos en SSI est谩 permitida debido a la divulgaci贸n selectiva y al hecho de que los datos personales de los usuarios s贸lo pueden conservarse cuando sea necesario y s贸lo despu茅s de la aprobaci贸n del usuario.

A trav茅s de este an谩lisis de seis puntos, podemos decir que la Self Sovereign Identity se superpone perfectamente con los principios de protecci贸n de datos expresados en el GDPR.

 

Conclusi贸n sobre SSI y GDPR

El Reglamento del GDPR forma parte de una cuesti贸n muy compleja que afecta a todas las leyes que pretenden proteger los datos personales de los ciudadanos. En este primer y sencillo an谩lisis, hemos analizado la proximidad entre los principios propuestos por SSI y los propuestos por el reglamento europeo. Como se ha destacado anteriormente, la SSI parece un paradigma realmente interesante tanto para proteger los propios datos personales como para facilitar a las propias empresas el cumplimiento de la normativa europea a trav茅s de ella.

En las pr贸ximas gu铆as se ampliar谩 el tema para tratar de entender si realmente, adem谩s de los principios b谩sicos del reglamento, pueden coexistir SSI y GDPR.