Des que el GDPR es va convertir en llei el 25 de maig de 2018, hi ha un debat creixent entre els experts en tecnologia sobre com afectarà la cadena de blocs, que actualment és una de les tecnologies amb més desenvolupament al món. De fet, el debat tracta més sobre com trobar una forma de blockchain al voltant del GDPR o com fer-lo compatible amb el GDPR.
El RGPD és una nova llei que protegeix la seguretat de les dades i promou un major control sobre la informació i les dades individuals d’una persona en plataformes digitals. Blockchain, en canvi, és una tecnologia que desenvolupa un llibre de transaccions immutable.
La qüestió aquí és, per què hi ha un debat al respecte? Quina connexió hi ha entre Blockchain i GDPR? El problema aquí és que si llegiu sobre l’RGPD, que és el Reglament general de protecció de dades, podeu veure que contradiu la cadena de blocs.
Per exemple, el RGPD dóna dret a totes les persones a decidir sobre la seva informació personal i les seves dades personals si volen editar-la o suprimir-la. D’altra banda, blockchain és un llibre immutable que garanteix que les dades disponibles siguin visibles per a tothom i no es puguin suprimir.
S’explica la paradoxa del GDPR de BLOCKCHAIN: infografia
Què és el RGPD??
GDPR és un Reglament general de protecció de dades que ha estat adoptat recentment per la Unió Europea (UE) com a llei. L’objectiu principal de la llei és atendre les necessitats de privadesa de les dades personals d’una persona (ciutadans de la UE).
La llei atorga determinats drets als usuaris, que inclouen:
- El dret a l’oblit
- El dret a la portabilitat de les dades
- Dret d’accés a la informació relacionada amb vostè
- El dret a fer que les empreses editin / corregixin / canviïn les seves dades
La llei realment dóna el control de la informació personal a la persona a la qual pertany, en lloc de a l’empresa que la té. D’aquesta manera, les empreses ja no tenen cap control sobre la informació personal de l’usuari.
Segons experts del sector, el RGPD tindrà un impacte significatiu en la indústria de la tecnologia. Segons IAPP (The International Association of Privacy Professionals), crearà més de 75.000 DPO a la indústria de la privadesa.
El mateix informe també calcula que empreses més destacades, com les empreses de Fortune 500, gastaran uns vuit mil milions de dòlars per assegurar-se que el seu negoci compleixi el GDPR.
Què vol dir això? Que les empreses tecnològiques s’ho prenen seriosament i volen complir la llei. La UE pot aplicar multes fortes si les empreses incompleixen la normativa GDPR.
No obstant això, és possible que aquestes empreses facin servir blockchain i compleixin el GDPR?
Explorarem la resposta a les següents seccions.
Nota: Fins i tot quan el RGPD és una llei adoptada únicament per la UE, no es limita a les empreses amb seu a la UE. Qualsevol empresa que utilitzi les dades personals dels ciutadans de la UE per proporcionar serveis també pertany al domini del GDPR.
Per què GDPR i Blockchain es contradiuen? La paradoxa del GDPR de Blockchain
Blockchain significa llibre llibre immutable i llibre immutable significa un registre que no es pot canviar. No obstant això, el RGPD és una llei que permet a les persones canviar qualsevol dada personal si així ho desitgen. Això és el que anomenem “conflicte” o “contradicció”.
És exactament per això que hi ha tants debats sobre els efectes del RGPD sobre la cadena de blocs i si el RGPD pot causar greus obstacles per al ràpid creixement de la cadena de blocs.
Hem de tenir en compte una cosa. Quan el GDPR es va redactar inicialment el 2012, estava dissenyat per a xarxes socials i serveis al núvol per assegurar-se que els usuaris tinguessin control sobre l’ús de la seva informació personal en aquestes plataformes..
Això significa que la cadena de blocs no és l’objectiu principal de la nova llei. Tanmateix, com que blockchain emmagatzema dades personals i historial de transaccions personals, ara pertany al domini del RGPD i de totes les lleis aplicables segons el marc legal del RGPD.
Això pot obligar les empreses a tornar a avaluar si la cadena de blocs que preveuen adoptar en un futur proper compleix el GDPR.
El problema aquí és, fins i tot si el GDPR troba que una certa cadena de blocs contradiu la llei, a qui culparan els auditors de protecció de dades en un sistema de cadenes de blocs purament descentralitzat??
Això fa que la connexió entre GDPR i blockchain sigui una mica complicada.
GDPR pot deixar que Blockchain no vagi corrent??
Bé, aquest és el punt d’un ferotge debat actualment. No obstant això, els usuaris de blockchain no s’han de preocupar. L’opinió més popular és que blockchain pot facilitar que les empreses compleixin les lleis del RGPD.
Això es deu al fet que l’únic propòsit del GDPR és assegurar-se que les empreses i els gegants tecnològics gestionin la informació relacionada amb els usuaris d’una manera més transparent i estructurada. I pel que fa a la transparència de les dades, blockchain ofereix exactament el mateix.
De fet, hi ha molt més comú entre GDPR i blockchain. Tots dos, la tecnologia i la llei se centren en el mateix, per descentralitzar el control de dades.
Tanmateix, encara hi ha molts aspectes negatius, però amb molts temes oberts al debat legal.
Si el RGPD pot impedir que el blockchain passi a ser normal? Sembla molt poc probable ja que la tecnologia blockchain evoluciona i és probable que evolucioni al voltant del GDPR.
Ja hi ha gent que treballa en teories i mètodes que poden ajudar a blockchain a evitar el conflicte real amb els drets de protecció de dades, que parlarem en detall en una de les següents seccions..
Tanmateix, quan hi ha molts optimistes a la indústria tecnològica que creuen que la cadena de blocs trobarà el seu camí al voltant del GDPR, també hi ha alguns pessimistes.
Per exemple, David Gerard, un escriptor popular sobre tecnologies de blockchain afirma que blockchain ja no es pot utilitzar per a dades personals segons la normativa GDPR.
Afortunadament, en el que creu David Gerard no és una opinió popular. La majoria dels experts en tecnologia coincideixen a dir que blockchain necessita noves formes, un enfocament millor i innovador i diferents aplicacions i components de blockchain que poden ajudar a blockchain a complir la normativa GDPR.
Blockchain i el dret a l’oblit
GDPR i blockchain van de la mà a l’hora d’estructurar millor la informació personal dels usuaris. No obstant això, hi ha un conflicte fonamental entre tots dos: el dret a l’oblit.
El dret en virtut del marc legal GDPR permet als usuaris demanar a les organitzacions que suprimeixin totes les seves dades personals. Tot i això, blockchain no es pot modificar, és a dir, no podeu editar ni suprimir cap informació un cop s’afegeixi a la cadena de blocs.
Bé, els experts en tecnologia creuen que hi ha múltiples solucions que poden solucionar el problema.
En primer lloc, blockchain pot xifrar la informació personal de cada usuari. Això vol dir que quan l’usuari sol·liciti suprimir informació personal, oblidar o eliminar la clau de xifrat farà que les dades siguin inaccessibles. En el cas de la cadena de blocs, la inaccessibilitat significa que les dades ja no estan disponibles, no es poden recuperar.
Per a alguns experts, equival a supressió, com en el cas de la Llei de protecció de dades del Regne Unit. Tanmateix, això pot estar obert al debat legal, ja que hi ha maneres, com la informàtica quàntica, que pot trencar el xifratge.
És possible eliminar dades d’una cadena de blocs oberta?
En teoria, ho és. Tot i això, les dades de blockchain estan disponibles a tantes màquines (nodes) de la xarxa, que és gairebé impossible sol·licitar que cada màquina suprimeixi les dades. És per això que en diem “llibre immutable”.
A més, si elimineu les dades d’una xarxa oberta, trenca la cadena, cosa que fa que tota la cadena de blocs sigui inútil.
No obstant això, també hi ha un procés de “bifurcació”. En aquest mètode, els nodes canvien les dades emmagatzemades passant a la nova versió de la cadena de blocs. En aquest procés, podeu suprimir les dades d’un bloc anterior, però trenca els indicadors hash entre els blocs. La cadena de blocs necessita tornar a revisar els blocs actualitzant els enllaços. Això s’anomena bifurcació o procés per passar a una nova versió de blockchain.
No obstant això, això és possible i més fàcil de fer en un sistema proper, amb un nombre limitat de màquines o nodes locals on hi hagi informació disponible. En un sistema obert, és gairebé impossible tornar a enllaçar cada node. A més, és necessari utilitzar proves de treball a blockchain públics que compliquin el procés. No és el cas de la cadena de blocs privada.
Tanmateix, això fa que molta gent qüestioni la naturalesa descentralitzada de la cadena de blocs, ja que la cadena de blocs privada la fa centralitzada. Tot i que això és cert, continua sent una de les millors opcions possibles per eliminar dades personals de la cadena de blocs.
Compliment del GDPR de Blockchain
En la seva forma popular actual, blockchain no compleix el RGPD. La informació emmagatzemada en una xarxa oberta és impossible de suprimir, de manera que no podeu proporcionar als usuaris el dret de suprimir-la ni editar-ne la informació..
Molta gent creu que utilitzar una cadena de blocs que utilitza dades totalment anonimitzades és la millor manera d’evitar o complir el RGPD. Tanmateix, les cadenes de blocs amb anonimat de clients són inútils per a les empreses.
En segon lloc, les empreses també han de mantenir les identitats dels clients segons dues lleis diferents de la UE, la Llei contra el blanqueig de diners (AML) i Know Your Customer Law (KYC).
També podeu llegir sobre com blockchain adopta KYC i AML en un dels nostres articles anteriors.
No obstant això, els experts creuen que la creació d’una cadena de blocs privada, en lloc d’una cadena de blocs oberta, pot complir el GDPR. El sistema privat o autoritzat, també anomenat sistema tancat, no utilitza nodes oberts per desar les dades. En canvi, conserven la informació emmagatzemada a les màquines locals. D’aquesta manera, és més fàcil suprimir la informació a petició d’algú.
Solucions GDPR Blockchain
Ja hem comentat una solució anterior, com fer que les dades siguin inaccessibles pot ajudar a complir la normativa GDPR. Quan algú vulgui que se suprimeixin les seves dades, faci que siguin inaccessibles mitjançant el xifratge.
En aquest cas, la cadena de blocs emmagatzema una entrada xifrada o text xifrat, amb el seu parell de claus desat de la cadena de blocs. Sempre que algú demana suprimir la informació, podeu eliminar la clau, cosa que fa que les dades siguin inaccessibles.
Molts experts en tecnologia anomenen el procés CRAB, que és una alternativa al terme CRUD. CRUD és un terme per a bases de dades tradicionals que significa Crea, Llegeix, Actualitza, Suprimeix. Aquestes són les operacions d’una base de dades.
El terme CRAB significa Crea – Recupera – Afegeix – Grava. El Burn aquí és el procés de supressió de la clau de xifratge. D’aquesta manera, només cremeu la informació.
També hi ha solucions més innovadores per resoldre conflictes GDPR de blockchain.
Una altra solució és mantenir la informació personal “fora de la cadena” en lloc de “a la cadena”. Com que la informació de la cadena de blocs està disponible en una xarxa oberta o “a la cadena”, és gairebé impossible suprimir i editar informació.
També hem debatut sobre una altra solució, el desenvolupament d’una cadena de blocs tancada. A la cadena de blocs tancada o basada en permisos, la informació s’emmagatzema a màquines locals o emmagatzematge al núvol llogat. D’aquesta manera, és relativament més senzill suprimir les dades personals a petició de l’usuari mitjançant el mètode anomenat forking.
Les paraules finals
GDPR i Blockchain ofereixen els seus propis avantatges per als usuaris finals i garanteixen la protecció de dades. No obstant això, el dret a l’oblit segons la normativa GDPR posa la nova llei en conflicte directe amb la tecnologia blockchain.
La bona notícia és que hi ha maneres de complir el GDPR amb blockchain. Tot el que necessitem és un pensament creatiu, un enfocament innovador i noves aplicacions que puguin evitar conflictes amb el RGPD. Tot i que la cadena de blocs tancada és una bona manera de garantir el compliment, però aquestes cadenes de blocs no són molt útils per a aplicacions empresarials a gran escala.
No obstant això, per desenvolupar cadenes de blocs obertes, que siguin més útils per a les empreses, els experts treballen en solucions més pròpies, com ara regles de xarxa vinculants que poden fer que les xarxes de cadenes de blocs obertes compleixin el GDPR.
Tot i això, encara no hi ha moltes coses que necessiten un debat legal. Per arribar a una millor solució per a les empreses que ara dubten a utilitzar blockchain per por del GDPR, cal una solució més concreta. Els experts en tecnologia, els administradors d’empreses i els advocats han de seure junts per trobar la manera de superar els desafiaments legals als quals s’enfronta el blockchain.
Alguns recursos més:
https://thenextweb.com/contributors/2018/06/09/week-two-of-gdpr-were-still-not-ready/
https://thenextweb.com/syndication/2018/07/26/gdpr-blockchain-cryptocurrency/