AD 108/2019
1.- Introducción
Así como sucede en aquellos actos que realizamos con otras personas en forma presencial, en el mundo digital también necesitamos saber con certeza quien está del otro lado. Sin embargo, dado que es imposible tener a la persona delante nuestro, es necesario la creación de sistemas de identidad para que podamos interactuar en Internet con otros, cuya complejidad será mayor o menor en función de las necesidades del caso.
En los últimos años, con las grandes crisis de confianza sobre el Estado[1] -el principal proveedor de identidad para los ciudadanos- así como también sobre los proveedores privados de identidad -como las redes sociales[2]– ha resurgido un movimiento que busca devolver el control de la identidad a los usuarios. Este movimiento propugna la implementación de sistemas de identidad descentralizados o, también denominados autosoberanos –self-sovereign en inglés- y, asimismo, hacen un uso extensivo de tecnologías novedosas como blockchain. Desde ya, las normas también han intentado ponerse al día sobre esta temática, algunas de ellas llegando a tomar cartas en el asunto para gestionar el despliegue de estas soluciones[3].
Este comentario jurídico no busca agotar la temática, la cual es compleja, pero si pretende introducir al lector y plantear un problema jurídico en particular. La estructura que proponemos para este artículo es la siguiente: en primer lugar, una introducción al concepto de identidad digital, seguida a continuación por unas consideraciones sobre los sistemas de identidad digital descentralizados y, finalmente, el planteo de una problemática de base que condiciona todo análisis jurídico posterior en materia de protección de datos personales.
2.- ¿Qué es la identidad de una persona?
Tal como señalamos en el párrafo anterior, es pertinente poner en claro que entendemos por identidad. En este sentido, podemos que decir que la identidad de una persona se encuentra constituida por la información que permite individualizarla en la sociedad. Siguiendo al World Economic Forum, la identidad de una persona está integrada por atributos, es decir por elementos o características sobre aquella. Los atributos pueden ser agrupados en tres grandes categorías: (i) inherentes, que son aquellos cuyo origen está en la persona y no depende de ningún factor exterior a la misma; (ii) acumulados, que son aquellos que el sujeto o individuo tiene a partir de sus decisiones personales y respecto de los cuales tiene, en principio, pleno control; y (iii) asignados, que son aquellos que el individuo obtiene a partir de su interacción con terceros y sirven para denotar cierta relación que la persona ha establecido en su vida[4].
Cuando se habla de la identidad y de sus componentes hay una referencia inevitable a datos personales. Si tomamos la definición de dato personal que nos brinda el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (el “RGPD”)[5], resulta evidente que los atributos de la identidad pueden ser considerados como datos personales.
Ahora bien, la identidad en el mundo digital presente ciertas características propias que también merecen ser reseñadas brevemente. En este sentido, Kim Cameron [6] sostiene que una identidad digital está conformada por un conjunto de declaraciones (claims en inglés) que un sujeto digital -que puede ser desde una persona física hasta un objeto como un sensor IoT- hace sobre sí mismo o sobre otro sujeto digital, las cuales están asociadas a este por medio de un identificador (identifier en inglés), estando todo almacenado en una credencial (credential en inglés); las declaraciones son afirmaciones (assertion en inglés) sobre la veracidad de algo, que generalmente está en discusión o sobre la cual existen dudas.
Como puede apreciarse, un elemento central de las identidades digitales son las credenciales. Siguiendo los reportes[7] del World Wide Web Consortium (el “W3C”) sobre el proceso de creación de una credencial, existen varios roles: (i) el emisor, que genera la credencial (issuer); (ii) el inspector, que verifica la declaración contenida en la credencial (inspector); (iii) el sujeto, sobre quien trata la credencial (subject); y (iv) el tenedor, quien controla la credencial (holder). El emisor únicamente puede generar, modificar y revocar la credencial; el tenedor puede almacenar, recuperar y mover la credencial, así como también afirmar el contenido de la credencial mediante su exhibición; y el inspector debe ser capaz de verificar que la declaración insertada en la credencial es válida. Mientras más estructurado y complejo resulte ser el sistema de identidad digital, menos dudas habrá sobre el atributo cuya validez está en tela de juicio. Los sistemas de identidad digital se caracterizan porque el proveedor de identidad no es, en principio, la entidad que tiene que usar esa información sobre el atributo en cuestión; es decir, existe una separación entre la declaración y el análisis de su verosimilitud.
3.- ¿Qué son los sistemas de identidad descentralizada?
Los actuales sistemas de identidad digital que existen presentan como característica común que la asignación de identificadores y del contenido de los mismos es realizado por entidades centralizadas que concentran grandes volúmenes de información y datos personales. Los sistemas de identidad descentralizadas apuntan, entre otras cuestiones, a la eliminación de estas figuras, permitiendo que el mismo usuario sea quien se crea su propio identificador y sea el resto de la comunidad quien nutra a su identidad, validando información. Es posible identificar dos grandes propuestas sobre como deberían ser estos sistemas para garantizar que el usuario sea el centro del mismo.
La primer de estas propuestas ha sido formulada por Kim Cameron[8], quien pretendía la creación de un sistema unificado de identidad para Internet para resolver este problema mediante un protocolo estándar y uniforme para dotar a esta red de la capa de identidad que necesita. En ese sentido, Cameron propone que el protocolo este basado en los siguientes principios: (i) control y consentimiento del usuario; (ii) revelación mínima de información para un uso específico; (iii) intervención de las partes relevantes de forma exclusiva; (iv) consideración del destino de los datos; (v) pluralismo de operadores y tecnologías; (vi) consideración y respeto por el ser humano; y (vii) experiencia consistente a lo largo de varios contextos. Como vemos, estos principios, a pesar de su “antigüedad”, guardan una íntima relación con los principios que encierra el RGPD.
Con la aparición de ciertas tecnologías, como blockchain y los registros descentralizados, ha resurgido este tema ya que es posible mantener, de forma confiable, un registro de identidades sin la necesidad de tener una entidad que gestione todo el sistema. En esta segunda ola del movimiento de la identidad digital descentralizada es que surge la propuesta de Allen[9], conocida con el nombre de identidad digital autosoberana. Para que un sistema pueda ser considerado como tal, Allen sostiene que es necesario dar cumplimiento a diez principios, a saber: (i) existencia; (ii) control; (iii) acceso; (iv) transparencia; (v) persistencia; (vi) portabilidad; (vii) interoperabilidad; (viii) consentimiento; (ix) minimización; y (x) protección.
4.- Desafíos regulatorios de los sistemas de identidad digital descentralizados: ¿quién es el responsable del tratamiento y qué implicanciones tiene ello?
Dado que los elementos que componen a la identidad pueden ser considerados como datos personales, estos se encuentran tutelados por las normativas aplicables en la materia. Es decir, resulta de aplicación tanto el RGPD así como cualquier otra norma nacional derivada del mismo como podría ser la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (la “LOPDGDD”).
El principal problema consiste en identificar y delimitar apropiadamente el campo de aplicación de la normativa en cada situación concreta. En estos sistemas tienen lugar una gran serie de tratamientos de datos personales, desde la creación de los perfiles de cada persona hasta las operaciones que puedan hacer terceros solicitando acceso a estos pasando por actividades de validación de atributos, que inclusive podrían estar alcanzadas por otras regulaciones especiales, como el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 , relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. Por lo tanto, cada operación tiene que ser vista de forma individual frente a la normativa en cuestión y analizada de manera particular.
Si bien hay muchos interrogantes[10], como por ejemplo como se ejercen los derechos reconocidos por el RGPD o si a quien corresponde hacer una evaluación de impacto sobre el tratamiento de los datos, nos centraremos en intentar determinar, si es que posible, quien es el responsable del tratamiento en el caso de la creación de la identidad en sí misma, por el carácter central que tiene esta operación. Para responder a esta primera pregunta, lo que tenemos que hacer es comenzar por el concepto de responsable del tratamiento.
En tal sentido, el artículo 4.7 del RGPD define al responsable como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”; lo esencial de la definición es la facultad de determinar fines y medios para el tratamiento. Para ello, tenemos que entender que en un sistema de identidad descentralizada parecería ser que únicamente el usuario es aquel que puede determinar el acto de creación del perfil así como también el propósito para el cual se usará la identidad y los medios para ello, principalmente el tipo de software a ser empleado, así como también donde y en qué condiciones se almacenará la información.
Al respecto, podemos traer a colación la Opinión N.º 1/2010 del Grupo de Trabajo del Artículo 29 (el “WP29”)[11]. Si bien esta opinión está relacionada con la anterior Directiva, el concepto de responsable no se ha modificado en lo esencial de su definición con el paso al RGPD, con lo cual puede sernos de utilidad para interpretar este concepto. En tal sentido, el WP29 señala que el concepto de responsable versa sobre la entidad que dicta las características del ciclo de vida de la información, desde su recolección hasta su destrucción. En estos sistemas, el único habilitado legalmente para disponer la creación, mantenimiento y funcionamiento de una identidad digital es el titular de la misma; toda otra persona que pretenda hacer aquello, será un responsable ilegítimo y, en consecuencia, estaría realizando un tratamiento para el cual carece de base legal.
La consecuencia directa de considerar al titular de los datos como el responsable del tratamiento es la aplicación del artículo 2.2.c del RGPD, así como su equivalente de la LOPDGDD previsto en el artículo 2.2.a., puesto que este va a iniciar la actividad de tratamiento exclusivamente para su uso personal, que en el caso que nos ocupa es la creación de una identidad digital que le permita interactuar por medios electrónicos en la forma en que este decida así como también con quien este elija. Entendemos que no es de aplicación la excepción a la excepción prevista en el artículo 2.3. de la LOPDGDD puesto que los tratamientos de datos que el legislador pretendió incluir en este supuesto son operaciones llevadas a cabo por Administraciones Públicas o entidades que ejercen de forma descentralizada funciones públicas, lo que no se configura en este caso.
La consecuencia directa que el titular de los datos pase a ser el responsable del tratamiento es la asunción de todas las obligaciones y responsabilidades que esa posición jurídica trae consigo; el usuario es el único que tiene a su cargo la custodia de las credenciales y los identificadores con los cuales esas credenciales están asociadas, siendo en última instancia quien define como y para que se usarán sus datos personales. Este efecto es propio de toda propuesta que busque eliminar intermediarios y entregar el control al usuario nuevamente, lo cual es la esencia misma del ecosistema peer-to-peer.
Aunque el titular de los datos pueda ser considerado como el responsable del tratamiento sobre la creación de su identidad, esto no elimina la posibilidad que terceros puedan ser responsables del tratamiento de estos datos por otras operaciones que hagan uso de estos y, por lo tanto, tenga que cumplir con el RGPD con plenitud con relación a aquellas actividades. Por ejemplo, puede suceder que para hacer uso de un servicio determinado, el usuario tenga que registrarse y para ese proceso, cuyos fines y medios son fijados por el proveedor del servicio, tenga que permitir el acceso a sus credenciales asociadas. Claramente, si el sistema funciona de forma adecuada, el usuario tendrá un mayor control sobre cómo se usan sus datos porque sabrá con mayor detalle y claridad los usos y los datos involucrados; del otro lado, el responsable tendrá que dar un cabal cumplimiento a sus obligaciones, en particular el deber de información, ya que de lo contrario el titular de los datos no permitirá el tratamiento pretendido por este responsable.
Ahora bien, ¿es de aplicación esta excepción del RGPD y la LOPDGDD cuando el tenedor de las credenciales no sea el sujeto sobre el cual estas versan? Se trata de una situación mucho más común de lo que podría pensarse, como podría ser el caso de quien es el representante legal de un/a niño/a o de un incapaz de hecho. Al respecto, y siguiendo los lineamientos del Considerando 18 del RGPD, será necesario prestar especial atención a la relación jurídica entre aquellas personas para atender al tipo de relación, desde la óptica de la protección de datos, que tendremos. En ese sentido, la gestión que hace un padre o madre de la identidad digital de su hijo/a podría quedar encuadrada dentro de la excepción de uso doméstico prevista en el RGPD mientras que la gestión de la identidad digital por parte un tutor de una persona insana, donde el tutor designado no sea alguien que mantenga una relación familiar con el interdicto podría hacer que el tenedor de las credenciales sea un responsable del tratamiento sujeto al cumplimiento del RGPD por inaplicabilidad de la excepción de uso doméstico.
Mención aparte merece la situación de los datos de las personas fallecidas, situación cubierta expresamente cubierta por la LOPDGDD. El artículo 3 de la LOPDGDD prescribe que los datos del fallecido pueden ser accedidos por los familiares o los herederos del causante ante solicitud cursada al responsable o encargado que tenga los datos. En los sistemas de identidad digital descentralizada este derecho podría encontrar ciertas limitaciones fácticas para su ejercicio puesto que el responsable del tratamiento es la persona fallecida, con lo cual no hay entidad a quien solicitarle acceso, rectificación o supresión de los datos; sin perjuicio de ello, podría ocurrir que exista un encargado del tratamiento, como será visto en el siguiente apartado, frente al cual sea viable el ejercicio de este derecho. Esto no impide que los datos sobre la identidad de la persona hayan sido recolectados por un responsable para cierta actividad y, frente a ello, los herederos puedan ejercer el derecho reconocido en el artículo 3 de la LOPDGDD, aquí el problema podría estar si no hay forma de acceder a las credenciales. En lo que hace a la excepción prevista en el segundo párrafo sobre la prohibición expresa por parte del causante, la destrucción de la llave privada para hacer uso la cuenta debería ser entendido como esa declaración de prohibición.
Es posible, a priori y sin mayores lineamientos interpretativos por parte de entidades como el Comité Europeo de Protección de Datos o autoridades nacionales de protección de datos, que el responsable de las actividades de tratamiento relacionadas con la creación y funcionamiento de un identificador digital podría ser el titular de los datos, sin que ello obste para que un tercero que pretende usar esos datos pueda constituirse como responsable del tratamiento de otra actividad que tenga que hacer uso de esos datos.
Una cuestión, no menor, que no hemos analizado en este artículo pero que sin perjuicio de ello es de fundamental importancia es la siguiente: que el titular de los datos pueda ser considerado como el responsable del tratamiento en lo que hace a la creación del perfil no implica que no pueda haber responsabilidad de terceros en relación a esta actividad. Es decir, el proveedor del software que usa el individuo podría incurrir en responsabilidad civil por dicha provisión de software en lo que hace a su uso para la creación de la identidad digital. Claramente se trata de una cuestión que escapa al ámbito de la protección de datos pero es importante dejarlo en claro porque, así como otras situaciones que puedan darse, demuestra la riqueza de relaciones jurídicas que se crean a partir de la propuesta de estos sistemas de gestión de identidades digitales.
5.- Conclusiones
Hoy contamos con desarrollos tecnológicos para recuperar el control sobre nuestra identidad en Internet de la misma forma que, como individuos, hemos recuperado nuestra libertad de expresión gracias plataformas de comunicación masiva o nuestra libertad para comerciar de forma descentralizada mediante criptoactivos y plataformas de comercio peer-to-peer. Gracias a estos desarrollos en materia de identidad digital descentralizada, hoy estamos comenzando a ver la posibilidad de recuperar el verdadero dominio sobre nuestros datos y actuar en el mundo digital de la misma forma que lo hacemos en el mundo físico: solo compartiendo nuestra información con quienes queremos y de la forma que así lo deseamos.
Ello trae aparejado una serie de desafíos desde el punto de vista regulatorio que debemos darle una respuesta como juristas para orientar el correcto desarrollo de estas soluciones. Aunque los usuarios recuperen el control sobre sus identidades y se vuelvan sus propios responsables del tratamiento, esto de ninguna manera exime al resto de individuos y entidades que interactúen con esos datos de sus responsabilidades fijadas por el RGPD, la LOPDGDD o cualquier otra norma nacional de protección de datos que sea aplicable.
El uso de estas nuevas tecnologías, inspiradas por los principios del RGPD, permiten que el usuario tenga un mejor control de su información al mismo tiempo que fuerza a los responsables y encargados de otros tratamientos de datos a cumplir con las prescripciones de los marcos normativos. Esta consideración no debe ser perdida de vista ya que es probable que estas últimas entidades pretendan esquivar sus obligaciones justificándose en el mayor control que tiene el usuario sobre sus datos. Es necesario analizar en cada caso concreto que operaciones de tratamiento están siendo llevadas a cabo para fijar derechos y deberes a partir de ese estudio fáctico.
Finalmente, y en línea con esta conclusión, es importante mantener un enfoque casuístico para evitar la realización de generalizaciones que pueden afectar nuestro juicio al mismo tiempo que se conserva una aproximación tecnológicamente neutra por la velocidad con la cual progresa la informática. El foco debe estar puesto en cómo se usan los datos y que nivel de respeto se tiene por los mismos en cada caso particular. Poner trabas debido a situaciones hipotéticas no contribuye a la búsqueda de soluciones que permitan la realización de los principios protectorios de los datos personales. Sin experimentación, prueba y error, es imposible lograr progresar en la identificación de fórmulas superadoras de la situación actual que la identidad atraviesa en los ambientes digitales; por lo tanto, es allí donde debemos colaborar y realizar todas las preguntas necesarias para mejorar y contribuir a la realización de esos principios para lograr el pleno respeto de la identidad de cada persona.
Andrés Chomczyk
5 de diciembre de 2019
Andrés Chomczyk es abogado (Universidad Austral, Argentina) con un máster en tratamiento y protección de datos personales (Universidad de Santiago de Compostela, España) y ha realizado estudios de posgrado en regulación de nuevas tecnologías (Universidad Católica Argentina y Universidad de San Andrés, Argentina).
Actualmente trabaja como consultor legal independiente en el sector fintech y colabora en cuestiones regulatorias y de políticas públicas en la Alianza Blockchain Iberoamericana. Anteriormente ha trabajado en estudios jurídicos de Buenos Aires, como Allende & Brea y Zang, Bergel & Viñes.
En el ámbito académico, Andrés es investigador invitado del Centro de Estudios en Tecnología y Sociedad de la Universidad de San Andrés (CETyS). En dicha casa de estudios también ha formado parte de la catedra de fintech del Programa de Derecho y Tecnología de las Comunicaciones y de la Maestría de Derecho Empresario. Ha publicado varios artículos sobre los aspectos regulatorios de la industria fintech, incluyendo varios capítulos del libro «Fintech: Aspectos Legales», editado por el CETyS.
[1] Cfr. World Bank, «Identification for Development» (World Bank Group, 25 de enero de 2016), 2, http://pubdocs.worldbank.org/en/21571460567481655/April-2016-ID4D-Strategic-RoadmapID4D.pdf.
[2] Cfr. Mike Isaac y Sheera Frenkel, «Facebook Security Breach Exposes Accounts of 50 Million Users», The New York Times, 28 de septiembre de 2018, sec. Technology, https://www.nytimes.com/2018/09/28/technology/facebook-hack-data-breach.html.
[3] En concreto, nos referimos al articulado incluido en el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
[4] Cfr. World Economic Forum, «A Blueprint for Digital Identity», Future of Financial Services Series, agosto de 2016, 41, http://www3.weforum.org/docs/WEF_A_Blueprint_for_Digital_Identity.pdf.
[5] Artículo 6 inciso 1) del RGPD: A efectos del presente Reglamento se entenderá por dato personal toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
[6] Cfr. Kim Cameron, «The Laws of Identity», 11 de mayo de 2005, 4-5, http://www.identityblog.com/stories/2005/05/13/TheLawsOfIdentity.pdf.
[7] Cfr. World Wide Web Consortium, «Verifiable Claims Data Model and Representations 1.0», Verifiable Claims Data Model and Representations 1.0, 1 de mayo de 2017, https://www.w3.org/TR/claims-data-model/; World Wide Web Consortium, «Verifiable Claims Use Cases 1.0», 1 de mayo de 2017, https://www.w3.org/TR/verifiable-claims-use-cases/.
[8] Cfr. Cameron, «The Laws of Identity», 6-11.
[9] Cfr. Christopher Allen, «The Path to Self-Sovereign Identity», Blog, Life With Alacrity, 25 de abril de 2016, http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html.
[10] Al respecto de ello, recomendamos la lectura de los siguientes artículos que muestran los principios retos legales detrás de estos sistemas de identidad: (i) Elizabeth M. Renieris, «Is Self-Sovereign Identity the ultimate GDPR compliance tool? (1 of 3)», Medium (blog), 25 de mayo de 2018, https://medium.com/@hackylawyER/is-self-sovereign-identity-ssi-the-ultimate-gdpr-compliance-tool-9d8110752f89.; (ii) Elizabeth M. Renieris, «Is Self-Sovereign Identity the ultimate GDPR compliance tool? (2 of 3)», Medium (blog), 25 de mayo de 2018, https://medium.com/@hackylawyER/is-self-sovereign-identity-ssi-the-ultimate-gdpr-compliance-tool-40db94c1c437.; y (iii) Elizabeth M. Renieris, «Is Self-Sovereign Identity the ultimate GDPR compliance tool? (3 of 3)», Medium (blog), 25 de mayo de 2018, https://medium.com/@hackylawyER/is-self-sovereign-identity-ssi-the-ultimate-gdpr-compliance-tool-7296a3b07769.
[11] Opinión N.º 1/2010 sobre los conceptos de responsable y procesador adoptada el 16 de febrero de 2010 por el Grupo de Trabajo del Artículo 29.
