Identidad Auto Soberana, ¿el blockchain como solución a todo mal?

Publicado el lunes, 1 marzo 2021

Eduardo Linares Yabar, Abogado del Departamento de Derecho Digital de ONTIER.

Eduardo Linares Yabar

 

Alguna vez, nos hemos incomodado con la molesta tarea en el proceso de autenticación de nuestros perfiles al momento de registrarnos en un servicio digital.

Sin embargo, nuestra vida diaria como usuarios de internet se ha simplificado gracias a los estándares de autenticación ofrecidas por grandes proveedores como Facebook, Google, Twitter, LinkedIn, Apple u otras redes sociales.

Este proceso de identificación es una obligación legal que se encuentra desarrollada en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD)[1] y que establece que la identificación digital de un interesado debe incluir un mecanismo de autenticación con las mismas credenciales empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable.

Para ahorrarnos el trabajo, estos grandes proveedores nos ofrecen la posibilidad de demostrar que somos quienes decimos ser ante un tercero para registrarnos en una nueva plataforma digital.

No obstante, probablemente nos hemos puesto a pensar: ¿somos realmente dueños de nuestros datos personales? ¿sabemos quiénes están manejando información personal? ¿he perdido el control sobre mi identidad digital?

“We believe the customer should be in control of their own information. You might like these so-called free services, but we don’t think they’re worth having your email, your search history and now even your family photos data mined and sold off for god knows what advertising purpose. And we think some day, customers will see this for what it is.”[2] Tim Cook, CEO de Apple.

¿Qué es la identidad auto soberana y por qué es importante?

Llega un momento en que aceptamos la verdad. Nos hemos dado de alta en tantos servicios y proveedores digitales que ya no sabemos quiénes tienen nuestros datos ni dónde se encuentran almacenados.

Ya estamos cansados de recibir diariamente mensajes de texto, llamadas o correos electrónicos de empresas que hemos rechazado muchísimas veces para ofrecernos el mismo servicio.

Aceptamos que nuestros datos personales han sido cedidos con nuestro consentimiento a estas empresas en situaciones que a veces no recordamos y éstas, se encuentran legitimadas para tratar nuestra información y en algunos casos para compartirlas con otros proveedores.

“Articulo 6 del RGPD: El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

  1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; …”

Lo siguiente pregunta que nos viene a continuación es, ¿existe alguna forma de controlar mi información personal?

En esa línea, aparece un concepto que va tomando cada vez mas relevancia: la identidad auto soberana (Self Sovereing Identity – SSI).

Se trata de un sistema de gestión de identidad descentralizado que se basa en la tecnología blockchain y tiene por finalidad resolver dos puntos muy importantes: el reconocimiento generalizado en los servicios digitales y la confianza en el usuario.

En otras palabras, una identidad auto soberana es una identidad que cada uno posee sobre sí mismo. Es nuestro y nosotros mismos lo manejamos a nuestro antojo. Los datos sobre nuestra identidad digital se almacenaran en billeteras personales, como los crypto wallets, y tendremos la independencia de decidir quién puede ¨verlo¨ y qué es lo que ellos pueden ¨ver¨.

El papel protagónico del Blockchain

La SSI como modelo de identidad digital brinda la posibilidad a los usuarios de mantener un control completo sobre sus datos y una total independencia sobre los proveedores e intermediarios, de tal forma que brinda la posibilidad de decidir cómo y cuando compartir su información.

Demos un ejemplo sencillo. Estamos de vacaciones y queremos arrendar un auto por unos días. Entonces, la empresa de alquiler de autos nos pide nuestros datos personales esenciales para formalizar el contrato como nuestro nombre y apellido, documento de identificación (DNI), licencia de conducir y una tarjeta de crédito. Sin embargo, en algunas situaciones, nos pueden solicitar datos adicionales como nuestro número de teléfono móvil, dirección del domicilio, correo electrónico o hasta nuestro número de seguridad social. Datos que no son realmente necesarios para que la empresa pueda alquilarnos el auto.

Entonces, la ventaja que nos brinda la SSI es que cuando termine nuestra relación contractual con la empresa de servicios, en este caso la empresa de alquiler de autos, podamos solicitar que borren nuestros datos personales de sus bases de datos una vez hallamos entregado el auto.

Gracias a la tecnología blockchain esto es realidad. Como ya sabemos, el blockchain es una cadena de bloques que cuenta con un registro único, consensuado y distribuido en varios nodos de una red que nos brinda la posibilidad, como usuario de descentralizar nuestra información y brindarnos una seguridad reforzada.

En este punto, podemos determinar que es un sistema capaz de llevar a cabo esta tarea y muchas comunidades ya están apostando por el desarrollar esta tecnología para solucionar problemas de privacidad, debido a la transparencia y fiabilidad de su utilización.

La identidad auto soberana – SSI toma nace por la aparición de la tecnología blockchain, los identificadores descentralizados y las credenciales verificables que permitió la creación de un tercer modelo de identidad[3].

Marco legal europeo

Los gobiernos son conscientes de la problemática que vivimos entorno a la privacidad de nuestros datos personales y las numerosas ventajas que trae consigo desarrollar soluciones sobre la identidad digital descentralizada. Es por esto, que distintas regulaciones internacionales han ido implementando grupos de trabajo para regular el impacto sobre el tema y proponer soluciones a la altura del problema.

Es por esto que las autoridades de la Unión Europeo han tomado como referencias las normativas como el RGPD y el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, del 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE ( en adelante, Reglamento eIDAS)[4] como  instrumentos normativos para el cual se ha destacado un grupo de trabajo específico para trabajar los temas relativos al blockchain y la identidad auto soberana.

En ese sentido, el grupo de trabajo en un informe con fecha 16 de octubre de 2018[5] ha recalcado la relevancia directa sobre la aplicación legal de ambas normas en las soluciones de identidad auto soberanas en el territorio de la Unión Europea. Asimismo, la misma comisión desarrolló un informe con fecha 02 de mayo de 2019[6] en el cual analizaron el fenómeno de las identidades digitales descentralizadas en el marco de la normativa europea y tomaron como conclusión que el marco legal europeo no prohíbe el desarrollo de los sistemas de identidad descentralizada, pero advierte realizar un esfuerzo a nivel técnico por parte de los desarrolladores para asegurar el cumplimiento sobre las medidas de seguridad y la ubicación de los datos personales.

Ambas normativa tratan sobre los elementos específicos legales de la identidad digital. La RGPD enfoca su legislación en el tratamiento de datos personales, mientras que el Reglamento eIDAS se enfoca en la prestación de servicios de identificación. En ese sentido, el desarrollo de un sistema descentralizado sobre identidad digital que cumpla con lo establecido en ambas normativas, es plenamente valido y legal en el marco de la Unión Europea.

En el caso de España, es importante destacar la entrada en vigencia de la Norma UNE 71307-1, Tecnologías Habilitadoras Digitales. Modelo de Gestión de Identidades Descentralizadas sobre Blockchain y otras Tecnologías de Registros Distribuidos. Parte 1: Marco de Referencia de fecha 11 de enero de 2021 que se trata del primer estándar mundial sobre gestión mundial de identidades digitales descentralizadas y que coloca al país en la vanguardia mundial en la estandarización de las nuevas tecnologías.

La Norma UNE 71307-1 establece que los modelos de gestión descentralizada sobre la información y validación de identidades como la vía idónea para garantizar que las organizaciones mantengan la seguridad en sus procesos y sobretodo, la ventajas del usuario a proteger su privacidad manteniendo el control absoluto sobre su información personal.

Asimismo, la normativa crea un comité técnico de normalización CTN 71/SC 307 de UNE busca la participación y consenso de las partes implicadas con el apoyo de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

El desarrollo de este estándar sobre gestión de identidades basada en la tecnología blockchain y tecnologías de registro (DLT) abre paso al futuro sobre el desarrollo de otros tipos de normativas en el ámbito del tratamiento de información de identidad digital basado en este tipo de tecnología, lo cual supone poner en manos de los usuarios herramientas para solucionar uno de los principales problemas de la entorno de la privacidad.


[1] Reglamento (UE) 2016/679 del Parlamente Europeo y del Consejo de 27 de abril de 2017 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

[2] Apple´s Tim Cook delivers blistering speech on Encryption, Privacy. – Tech Crunch.

[3] Is Self-Sovereign Identity the ultimate GDPR compliance tool? (1 of 3), Elizabeth M. Renieris.

[4] Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, del 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.

[5] EU Blockchain Observatory and Forum, «Blockchain and the GDPR», 16 de octubre de 2018.

[6]  EU Blockchain Observatory and Forum, «Blockchain and Digital Identity», 2 de mayo de 2019.

Sobre el autor
Redacción

La redacción de Lawyerpress NOTICIAS la componen periodistas de reconocido prestigio y experiencia profesional. Encabezado por Hans A. Böck como Editor y codirigido por Núria Ribas. Nos puede contactar en redaccion@lawyerpress.com y seguirnos en Twitter en @newsjuridicas

2 Comentarios sobre este articulo. Comenta tu primero.

Comenta el articulo