Ley de Protección de Datos Personales vs. Blockchain
Introducción
En Uruguay, a los 10 años de la promulgación de la ley de Protección de Datos Personales (Ley 18.331) y pocas semanas después de la puesta en marcha del Reglamento General de Protección de Datos de la Unión Europea (RGPD), nos toca preguntarnos como se adaptan las nuevas tecnologías como es el caso de blockchain a la ley. ¿Qué ventajas y desventajas tiene?, ¿Debo implementarlo en mi empresa?, ¿Es una moda o es una tecnología que llego para quedarse?
En esas mismas fechas, sale a la luz la publicación de Satoshi Nakamoto (aun hoy se desconoce quién o quiénes están detrás de este nombre) sobre blockchain p2p (“peer to peer”) y un año más tarde, se genera el primer bloque de la cadena de bitcoin (llamado bloque génesis).
Blockchain está formado por una estructura de datos en la que la información contenida se agrupa en conjuntos (bloques) a los que se les añade meta-información que apunta al bloque anterior y al bloque siguiente formando así una cadena. De esta manera y gracias a técnicas criptográficas la información contenida en un bloque solo podría ser modificada, editada o borrada modificando todos los bloques siguientes. El poder de computo requerido para esto lo hace inviable.
El uso más conocido para la cadena de bloques o blockchain es la criptomoneda bitcoin. Pero blockchain es mucho más que criptomonedas. Sobre esta tecnología, también se han implementado sistemas de “contratos inteligentes” (Smart Contracts) que se ejecutan automáticamente como sería el caso de Etherum.
Implementaciones
Se han hecho varias propuestas para la implementación de la tecnología blockchain. Las más comunes son para algunos de los documentos que confeccionan los escribanos o para los registros médicos, donde se mantendría un historial completo e inalterable sobre fichas médicas. En el caso de los escribanos, la propuesta seria que a la hora de comprar un vehículo podríamos almacenar los datos de la transacción en una blockchain. De esta forma se tendría un historial completo e inalterable del dueño del automóvil y además no habría dudas de a quién pertenece determinado automotor actualmente o que recorrido hizo para llegar a él. En Suecia, ya existe una implementación en blockchain que se utiliza para la compra-venta de inmuebles.
Sin entrar detalles técnicos, la tecnología de cadena de bloques se podría comparar con una base de datos encriptada, distribuida en varios nodos donde cada dato o bloque se enlaza mediante un hash al anterior y al siguiente. De esta forma, se le otorga a la cadena de bloques la propiedad de que no puede ser alterada y, por tanto, la confianza que crea en las transacciones que ahí se almacenan. A su vez, el historial de transacciones puede ser re creado por cualquiera que tenga acceso a la cadena de bloques.
Existen dos tipos de cadenas de bloques: públicas y privadas. Bitcoin, por ejemplo, está montada sobre una cadena de bloques publica de forma tal que cualquiera que quiera tener acceso a ella, puede mediante la instalación de un software específico tener una copia de todas las transacciones que se han realizado desde el día 0 (desde que se creó el bloque génesis). Por otro lado, hay iniciativas bancarias (Santander One Pay FX) donde las cadenas de bloques tienen transacciones bancarias pero la base de datos pertenecería al banco y el público en general no puede tener una copia de los datos.
Consideraciones
Lo que debería preocuparnos, es el almacenamiento de información personal en esta tecnología, pues por diseño, está previsto que la información que se almacena ahí se mantenga para siempre y que no pueda ser modificada según las consideraciones que ya vimos. Si por ejemplo yo borro mi base de datos local, no importaría, pues el dato se replicó y se validó por el resto de los nodos de cadena de bloques y ahora ya forma parte de ella, para siempre.
Por su parte la ley de Protección de Datos Personales, articulo 15 estipula que los datos personales pueden ser modificados o incluso eliminados de las bases de datos (derecho al olvido).
El derecho al olvido provee al ciudadano con cierto grupo de herramientas para poder ejercer su derecho a no formar parte de determinada base de datos. En estos últimos tiempos, Google ha recibido miles de peticiones de usuarios de ejercer su derecho al olvido porque en los resultados de búsqueda aparecían datos personales a los que los usuarios no habían dado consentimiento explícito. También en estas últimas semanas, hemos visto cambiar las políticas de privacidad de varios sitios web (Facebook, Twitter, Amazon) para adecuarse a esta nueva reglamentación de la Unión Europea que además de la protección de datos prevé multas de hasta un 4% de la facturación anual de la empresa en caso de no respetar esta ley.
¿Se puede auditar blockchain?
La respuesta es SÍ. Más allá de las ventajas de un sistema basado en blockchain y tal y como nos indica ISACA (Asociación de Auditoría y Control de Sistemas de Información), existen una serie de riesgos, que precisan la figura de un auditor para dar confianza en el entorno.
Se debe tener en cuenta por un lado la plataforma sobre la cual se monta blockchain. Como sabemos el software nunca está exento de ataques, así como la infraestructura donde está montado. Por tanto, está expuesta a las mismas amenazas y vulnerabilidades de siempre.
Existen algunas herramientas basadas en la infraestructura de código abierto de la Linux Foundation que permiten hacer una copia local de la cadena que se desea auditar. Desde ahí se puede entonces exportar a diferentes herramientas para realizar la auditoria.
Conclusiones finales
Creo que la implementación de esta tecnología debe ser estudiada exhaustivamente antes de realizar una implementación y no elegir este camino solo porque está de moda. Debemos tener en cuenta que esta tecnología podría brindar integridad y accesibilidad a los datos, pero debemos evaluar también la confidencialidad. Tenemos que tener en cuenta las leyes bajo las cuales pueda entrar nuestro desarrollo y considerar el hecho de que los datos no pueden ser modificados. Hay que considerar la infraestructura y los permisos que tendrá nuestra cadena de bloques. Creo que la tecnología de blockchain no es una solución mágica a todos los problemas que requieran base de datos seguras y distribuidas.
Todo hace parecer que blockchain llegó para quedarse, existen cientos de criptomonedas corriendo sobre esta tecnología. Además, existen algunas implementaciones bancarias, implementaciones de IoT, autos, registros médicos, la industria musical. Recientemente un operador de telecomunicaciones en corea implemento blockchain para la gestión de activos.
Más información:
https://www.datospersonales.gub.uy
https://es.wikipedia.org/wiki/Cadena_de_bloques
https://www.northerntrust.com/
Bl4ckB1t