AD 85/2021
RESUMEN:
Blockchain ha supuesto una revolución a muchos niveles. También en lo que se refiere a la identidad digital con el surgimeinto del concepto deidentidad digital soberana, que permite al titular de los datos personales ser el verdadero dueño de los mismos y decidir qué información comparte y bajo qué condiciones. Incluso posibilita la monetización del usuario sobre sus propios datos gracias a la tokenización y a los smart contracts.
En el presente artículo hacemos una aproximación a estos conceptos, a la normativa aplicable desde el punto de vista del Derecho español, concluyendo con la necesidad de una reforma de la misma para adaptarla a esta cuarta revolución industrial, también en lo que a datos personales e identidad digital se refiere.
PALABRAS CLAVE:
Blockchain, Tokens Datos personales, Identidad Digital Soberana, Protección de Datos.
BLOCKCHAIN E IDENTIDAD DIGITAL
No es objeto de este artículo definir la tecnología blockchain o el funcionamiento de la misma. Sin embargo es necesaria su comprensión para poder dar sentido a los siguientes párrafos. En una definición para “dummies” podríamos decir que Blockchain es una base de datos descentralizada que permite el almacenamiento de información mediante unos protocolos (que varían en función de la red) y una encriptación. El almacenamiento se producie de forma cronológica y dento de unos bloques que están relacionados los unos con los otroa (de ahí el nombre de cadena de bloques) lo que permite gran seguridad e inmodificabilidad de los datos.
Dentro de este sistema juega un papel fundamental la identificación de las personas por vía telemática. En este sentido blockchain vendría a ser un espacio de identidad digital.
Blockchain posee dos características que suponen un paso cualititativo en lo que a identidad digital se refiere: se trata de una base de datos inalterable (al no poderse modificar la información)y descentralizada (ya que la información es compartida por todos los usuarios o nodos).
IDENTIDAD DIGITAL SOBERANA (SELF-SOVEREIGN IDENTITY)
Debido a la creciente digitalización del trásfico jurídico (pensemos en el comercio electrónico o en nuestra relación con la Administración pública) la ciberseguriodad (o seguridad de los datos en la red) se hace imprescindible.
Y de ahí también la importancia de la identidad digital y los mecansimos que permiten la identificación de las personas en el ciberespacio.
Podemos definir la identidad digital como los mecanismos que permiten la identificación de una persona en el tráfico jurídico telemático.
Antes de la revolución industrial la identidad de un inidividuo estaba asociada a la familia. A día de hoy solemos asociar identidad al conceto burocrático de la misma (por ejemplo el DNI). La identidad de la nueva revolución podría venir definida por nuestro entorno social como ocurría en la época anterior a la revolución industrial
Desde un punto de vista funcional la identidad es la suma de los atributos del individuo (altura, edad, fecha de nacimiento, huella digital expediente médico, teléfono, email o DNI).
Ahora hablamos de un nuevo concepto de identidad: la identidad digital. Es la versión en el ciberespacio de la identidad física de una persona.
La identidad digital pretende identificar de forma auténtica a una persona física o jurídica en el tráfico jurídico de la red y por otro lado permite realizar operaciones a quien ha sido previamente identificado.
De nada sirve que avance la tecnología que nos permita realizar transacciones si no podemos identificar a los operadores que intervienen en las mismas.
Esta identificación se produce en un momento precontractual (digital onbording), en un momento simultáneo a las operaciones a realizar (en las que se identifica tanto al operador como al tipo de operación que realiza) y en un momento posterior a la ejecución de la operación en la que lo que se busca fundamentalmente es que los datos no recaigan en terceros ajenos a los agentes que han intervenido en la operación.
La gestión de la identidad es fundamental para tutelar los derechos a la intimidad de los agentes que intervienen en el tráfico. Antes de la aparición del blockchain esta gestión se hacía mediante entes centralizados. Durante años se ha trabajado en la gestión autónoma de la identidad pero este propósito se encotntraba con multitud de dificultades técnicas.
La cantidad de información que aportan los usuarios ha crecido exponencialmente. Solo cuando sepamos en qué medida se han recopilado nuestros datos podremos controlar nuestra identidad digital y proteger la misma.
Tradicionalmente en las relaciones digitales existía un riesgo derivado de la falta de confianza de las partes que no se conocen personalmente (la confianza es uno de los pilares fundamentales del tráfico jurídico). Por este motivo se utilizaban terceros que validasen la identidad, siendo residuales las relaciones directas entre iguales (peer to peer o P2P). Esto ha cambiado gracias a blockchain. Blockchain permite la implantación de modelos de repurtación que brindan información adicional y generan confianza, lo que permite la evolución de las transacciones P2P. Los usuarios son lo propietarios de su información.
Esto supone un gran ahorro y eficiencia. Se estima que solo en Reino Unido los costes asociados al aseguramiento de la información rondan los 3.500 millones de libras anuales.
Gracias a blockchain se ha reforzado la autonomía individual y la privacidad gracias a las Self Svereing Identity (SSI) o plataformas de identidas soberana.
Se atribuye la creación de este concepto de identidad soberana a Christopher Allen que la define como la cuarta fase dentro de la evolución de la identidad digital. (Así la define en su obra The path ro Self-Sovereing Identity).
Esta identidad tiene una serie de caracterrísricas que la definen: el control y acceso total pertenece a su titular, es una identidad portable e interoperable, los sistemas y algoritmos que la sustentan deben ser transparentes y en su utilización prima el principio de economía de los datops y la protección de los derechos del usuario.
De esta forma en la red se genera un token (dentro de un bloque de la cadena) que contiene toda la información necesaria para identificar a una persona.
En los sitemas soberanos cada identidad digital registrada necesita al menos la realización de una transacción de identidad (y su anotación en la blockchain). De esta forma cada transacción de identidad contiene la identidad digitalizada y registrada en un bloque de la cadena.
El token asociado a un bloque de información al contener toda la información relativa a la identidad personal permite su centralización y la disposición por el titular de atributos de identidad a través de claim records donde se registran las afirmaciones.
Los atributos tienen mayor validez cuando son refrendados por terceros que prestan un servicio de confianza. Sin embargo el sistema descentralizado permite crear diferentes identidades para diferentes usos con diferentes niveles de confianza incluso algunos autofirmados por la propia persona identificada (por ejemplo: si yo afirmo que soy fan de Messi) aunque verificables por terceros. En todo caso todas las comprobaciones se realizan mediante la firma digiral (que en España se regula por la Ley 6/2020).
La tokenización de los elementos de identidad facilita la plena autonomía sobre los datos en el ciberespacio. Los usuarios finales de la SSI pueden disponer de un monedero instalado en cualquier dispositivo y extraer los datos de la blockchain de forma que queden registrados todos los usos que se hagan de la aplicación.
De esta forma los usuarios a través de sus monederos pueden utilizar diferentes identidades digitales para el caso concreto brindando la cantidad de datos que sea necesaria para la identificación en el caso particular de que se trate.
Esto podría conllevar que se dejen de utilizar sistemas de autentificación centralizados (pensemos por ejemplo en Google). De esta forma podríamos validar nuestra identidad en internet por el mero hecho de estar conectados. Y también podría evitar la monetización de nuestros datos por terceros si no hemos dado previamente nuestro consentimeiento. Es más podría ser el usuario quién podría definir las condiciones de la monetización de sus datos mediante la utilización de un smartcontrac y percibir parte de la monetización de los mismos.
Esto tiene multitud de aplicaciones. Pensemos por ejemplo en comprar a través de interner sin tener que validarnos en cada operación. Simplemente con conecarnos a través de nuestro dispositivo que valida nuestra identidad y que certifica que disponemos de una serie de activos para realizar la compra.
O el caso de los historiales médicos. Quien haya intentado solicitar acceso a su historial médico sabe la burocarcai que hay detrás de tal perición, cuando no verdaderas barreras de entrada. Gracias a blockchain los pacientes podrán ser los verdaderos dueños de sus datos médicos y tendrán pleno acceso a los mismos decidiendo en cada momento a quién y bajo qué condiciones se ceden dichos datos.
Y como hemos comentado anteriormente también nos permitiría monetizar nuestors datos biométricos, por ejemplo. Pensemos en la cantidad de empresas que podrían pagar por nuestros datos recopilados en una pulsera digital para realizar estudios. Gracias a blockchain y a los smartcontracts podremos decidir bajo qué condiciones se comercializan estos datos.
Uno de los restos fundamentales dentro dentro de la identidad digital es el de la ciberseguridad. Debido al valor de nuestros datos hay cada vez más ataques que pretenden apropiarse de los mismos. Por ello cada vez los estados y las empresas destinan mayor inversión a proteger nuestros datos de estos ataques.
Es fácil comprender que con un sistema centralizado de información, la tentación de los ciberdelincuentes es muy grande puesto que por muy infranqueables que sean las medidas de seguridad, una vez se vulneran se accede a toda la información. Es decir que el coste que supone realizar el ciberataque compensa con el resultado
Sin embargo con un sistema de almacenamiento descentralizado los inventivos para realizar estos ciberataques son mucho menores debido al alto coste que conllevará intentar acceder a la información.
Respecto a los datos de identificación todo parece indicar que los que más se utilizarán son los datos biométricos. Según el RGPD los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única (Por ejemplo imágenes faciales o huellas dactilares).
De los expuesto podemos entender que la privacidad es clave en la identidad digital. Si los usuarios no perciben que sus datos están seguros no querrán realizar transacciones aunque sea dentro de una blockchain. Por tanto se necesitan soluciones de identidad válidas dentro de diferentes mercados.
En Europa el Reglamento IDAS busca establecer un marco legal único para el reconocimeinto de firmas electrónicas e identidades en la UE.
Por su parte la OCDE situó el tema de la identidad digital como un factor fundamental para el desarrollo de la economía digital. La ONU y el Banco Mundial se han propuesto dotar de una identificación segura a toda la población mundial en 2030. También existen programas nacionales. (Por ejemplo en la India se ha lanzado una iniciativa para crear un carsé de identidad biométrico para sus más de 1.300 millones de habitantes). Y es que las transacciones serán más seguras gracias al uso de la biometría.
Como hemos dicho el gran avance de la blockchain es que el usurario tendrá una identidad soberana sobre los datos de forma que podrá aportar los datos imprescindibles para realizar una transacción, Es decir puede decidir qué información comparte y con quien.
Desde el punto de vista de la blockchain podemos hablar de dos tipos de modelos:
– Modelo púbico: existen muchos usuarios desconocidos y son anónimos o pseudoanónimos. Todos los participantes pueden leer y escribir y el consenso se basa en la prueba de trabajo.
– Modelo privado: En este tipo de blockchain solo hay participantes aprobados. Los usuarios tienen identidades conocidas y se les puede ratrear. Se requiere autorización para leer y escribir y es necesario múltiples algoritmos para el consenso.
Desde el punto de vista de la identidad digital hablamos de dos tipos de modelos:
– Modelo centralizado: Un modelo cerntralizado es el modelo escandinavo en el que las empresas privadas proveen servicios de identidad digital a las Administraciones públicas y a las empresas privadas.
Otro modelo centralizado es el continental donde son las Administraciones públicas las que dotan de soluciones de identidad digital a bancos y empresas.
La UE está trabajando en el establecimiento de una identidad digital única a nivel europeo.
– Modelo descentralizado: Son modelos privados alejados de instituciones centralizadas y que proporcionan un modelo que garantiza el almacenamiento de datos de manera privada.
Buscan que el usuario tenga un control total de los elementos de su identidad digital. En lugar de ceder los datos a numeros proveedores buscan que los usuarios tengan una alternativa segura y cifrada alternativa: una central de identidades digitales en la que el usuario sea el encargado de compartirla en lugar de tener miles de identificaciones distribuidas en multitud de aplicaciones o servicios.
Según el ya citado Allen las fases de evolución del sistema de identidad soberana son las siguientes:
Primera: Identidad centralizada (el control lo realiza una sola administrativo una sola autoridad )
Segunda: Identidad federada (el control lo realizan múltiples autoridades federadas).
Tercera: Identidad centrada en el usuario (control individual a través de múltiples autoridades)
Cuarta: identidad auto soberana (control individual ante cualquier número de autoridades).
En este marco dentro del Derecho español los funcionarios con categoría de fedatarios públicos podrían actuar como verificadores de la identidad digital pero también podrían actuar como creadores de atributos de identidad los cuales vendrían refrendados por los verificadores. Los solicitantres de los datos (ej: una administración) podría almacenar esas credenciales, almacenamiento de datos que vendría protegido por la normativa específica de protección de datos.
La recogida, almacenamiento y uso de datos personales en blockchain debe realizarse con el conocimiento y consentimiento del titular, de forma que este controle siempre la utilización de sus datos. A este respecto hay que decir que el régimen de protección de datos fuera de la cadena de bloques se extiende a la blockchain. Se aplica el pleno dominio del individuo sobre su identidad personal (STS 292/2000) que exige permitir al titular de los datos el pleno control sobre el uso de los mismos y prohibir cualquier uso ilegítimo o que atente contra sus derechos.
IDENTIDAD DIGITAL Y PROTECCIÓN DE DATOS
Si los datos almacenados en la blockchain hacen referencia a una persona física, debemos hablar de la protección de dichos datos y de la normativa aplicable.
La autonomía de decisión sobre la protección de datos se basa en el respeto a los derechos constitucionales de honor, intimidad y en el carácter social y público de las tecnologías de la información. A medio plazo ese carácter social y público podrá darse en blockchain.
Como hemos visto en blockchain circulan datos personales (especialmente cuando hablamos de la identidad digital de personas físicas). Por ello debe tutelarse y protegerse a los titulares de los datos encriptados.
También en una blockchain cuando hablamos de identidad digital tenemos que hablar del tratamiento de datos (ya que se registran en la cadena datos que figuran en las transacciones). Hablamos de recogida y elaboración no de cancelación o de rectificación, como es obvio (ya que por la propia definición de la cadena de bloques, los datos incorporados a la misma son inmutables).
Desde el punto de vista de la naturaleza jurídica de los datos entendemos que pueden tener la consideración de contenidos en “ficheros”. Según el Art. 4.6 RGPD se entiende por fichero: “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.
La estructuración de los datos en este caso gira en torno a los siguientes conceptos:
– SC: programas almacenados en la blockchain (ej; un SC para identificar operaciones bancarias).
– Interplanetary File Sistema (IPFS). Es un proyecto que pretende crear una red de computadoras de alcance global que permita el almacenamiento de información de forma completamente descentralizada.
En la estructura de los IPFS pueden contenerse datos de todo tipo.
– Los datos de identidad o credenciales firmadas y registradas por certificadores cualificados.
Cuando hablamos de la normativa de protección de datos lo primero que tenemos que señalar es que el principio que sustenta la LOPD es el de posesión de datos centralizada algo que choca abiertamente con la DLT (Distributed Ledger Technology) o Tecnología de Libro Mayor Distribuída.
Y es que en la DLT los datos no están centralizados sino que son compartidos por los nodos (ordenadores que forman parte de la red) que tienen una copia idéntica de la información. Asimismo resulta de difícil encaje todo el réguimen relativo a la prevención de daños y perjuicios debido a la intercención de un gestor o protector de los datos (tercero de confianza).
En el caso de la blockchain no es necesaria la figura del tercero de confianza (Art. 25 LSSI) que archive las declaraciones de las partes que conforman los contratos y les ponga un sello del tiempo. Y es que el propio registro de la blockchain opera como este tercero de confianza.
En el caso de la DLT los datos se guardan de forma automática e indefinida en los nodos de forma segura e inmediatamente recuperable. De esta forma se salvaguarda el derecho de acceso a los datos (RGPD).
El sello del tiempo (timestamping) es automático por lo que no se puede exigir responsabilidades a un tercero por esa función.
La conservación que realiza la blockchain de los datos es ajena a las características del archivo tradicional de datos (que por definición eran temporales y susceptibles de ser destruídos)
En una blockchain pública todos los usuarios pueden determinar el contenido y uso de los datos que se incorporen a tokens, SC o aplicaciones descentralizadas de la candena.
Sin embargo en una cadena de bloques permisionada solo los nodos validadores pueden incorporar los datos de acuerdo con el protocolo de consenso. De esta forma estos nodos toman decisiones que afectan al tratamiento de los datos.
La persona que introduce datos personales en una blockchain en principio se entiende que consiente la cesión de sus datos. Si opera a través de un nodo el responsible del nodod debe acredirtar que el cedente de los datos consintió la cesión. Aun así debe procederse a la advertencia a la persona que cede los datos de que lo hace con pleno consentimiento y bajo su responsabilidad.
Quien soliciite los datos debe informar de la finalidad de recogida de los datos y de la finalidad de los mismos (Art 5 LOPD) y de las consecuencias de la negativa a prestarlos (en caso de administraciones pública.
Como hemos visto la posibilidad de ejercicio de los derechos ARCO se difumina en blockchain al ser una base de datos inmutable. Por este mimos motivo se difumina también la institución jurídica del derecho al olvido (Art. 17 ROPD).
Quien sea responsible de los datos está obligado a implementar las medidas necesarias para la protección de los mismos.
La aplicación del criterio de la responsabilidad objetica determina que los gestores del sistema deben responder de los daños causados a otros nodos o a terceros por una incorrecta gestión o administración de los datos cuando exista un nexo causal entre su actividad y el daño causado.
Finalmente señalar que el consentimiento de quien cede los datos debe ser un consentimiento informado, por lo que resulta de aplicación el deber de información de los responsables y de quien trata los datos (Art. 18 Reglamento de la LOPD).
CONCLUSIONES:
A día de hoy nuestra identidad digital forma parte de nuestra vida. Debido al valor de nuestros datos han aumentado exponencialmente los ciberataques por lo que el concepto de ciberseguridad juega un papel fundamental. Blockchain ofrece una mayor garantía de privacidad y seguridad en nuestros datos personales además de permitir el desarrollo del concepto de identidad digital soberana, que permite al indivuido ser el verdadero titular de sus datos personales y decidir a quién y bajo qué condiciones los cede. Y, al mismo tiempo, se resuelven los problemas de identificación y autentificación de los sitemas actuales.
De los expuesto también hemos visto que si el Derecho va por detrás de la realidad cuando hablamos de nuevas tecnologías ello es mucho más evidente. Por tanto es necesario definir un nuevo marco regulatorio que permita el avance de la tecnología pero que, al mismo tiempo minimice los riesgos y aumente la seguridad de los usuarios repetando sus derechos. Por ello entendemos necesaria una revisión de la normativa de protección de datos y de la LSSI a la luz de las peculiaridades que presenta la blockchain.
José Ramón Oulego.
10 de junio de 2021
JOSÉ RAMÓN OULEGO ERROZ
- Abogado (ICA Santiago).
- Socio Director Oulego Abogados (http://www.oulegoabogados.com/)
- Licenciado en Derecho (USC).
- Escuela Práctica Jurídica (USC).
- Master en Derecho Financiero y Tributario (USC).
Linkedin: https://www.linkedin.com/in/joseramonoulego/?originalSubdomain=es
Twitter: @joseramonoulego
