Actualidad

¿Cómo la nueva regulación de protección de datos ‘RGPD’ y el Blockchain conducen al futuro de la identidad soberana?

Recientemente, el parlamento de la Unión Europea (UE) adoptó importantes avances en la protección de datos de carácter personal con la aprobación de la Regulación General de Protección de Datos (RGPD). La RGPD reemplaza a la Directiva de Protección de Datos 95/46/EC que ya tenía 20 años. Este nuevo acuerdo indica cómo se debe gestionar y procesar los datos personales de los ciudadanos de la UE; se ha diseñado no solo para mejorar la seguridad y privacidad de los datos personales en la UE, sino también para devolver el control y la identidad a los individuos. Esta nueva regulación entrará en vigor el 25 de mayo de 2018.

Además de tener un impacto importante en la gestión de la identidad física, la RGPD también incluye una serie de disposiciones sobre la gestión de datos de carácter personal que afectan la gestión de identidad digital y aumenta el control individual sobre los propios datos.


Algunos de los derechos que introduce esta regulación, de manera novedosa o como elementos importantes para prestar atención, son:

Derecho al acceso

El artículo 15 del Reglamento estipula que un individuo tiene el derecho de conocer quién tiene acceso a sus datos personales, que datos ha sido puestos a disposición y cómo están siendo utilizados o procesados. Además, el individuo debe ser capaz de obtener, a pedido y sin cargo, una copia de la información digital sometida a procesamiento.

Derecho al consentimiento 

Aunque no es nuevo para la RGPD, se hace especial mención a que un individuo debe dar su consentimiento para el uso de sus datos, y adicionalmente tiene el derecho de revocar dicho consentimiento en cualquier momento.

Derecho a ser olvidado

Estipulado en el artículo 17, el derecho a ser olvidado significa que un individuo tiene el derecho a exigir que quien controle sus datos, borre alguna o toda la información que tenga en su poder.

Derecho de portabilidad

El derecho de portabilidad señala que un individuo tiene derecho a recibir los datos personales facilitados a un controlador en formato digital y puede transmitirlos como desee. Así mismo, un individuo debe ser capaz de obtener, mover y facilitar el acceso a sus datos digitales según le convenga.

Derecho a la minimización de datos

De acuerdo al artículo 25, el procesador está obligado a utilizar «… sólo los datos personales que sean necesarios para cada objetivo específico del procesamiento. Esa obligación se aplica a la cantidad de datos personales recogidos, la medida de su transformación, el período de su almacenamiento y su accesibilidad.» Lo que significa, que sólo la mínima cantidad de datos de carácter personal son necesarios.


Teniendo presentes estos elementos, es interesante entender cómo la regulación en su conjunto apunta a un cambio en la forma en que la identidad individual podría ser gestionada en el futuro.

1

En la actualidad, la identidad de un individuo se gestiona a través de procesadores y controladores distintos, los cuales deben proporcionar acceso, consentimiento de gestión, eliminación y portabilidad al usuario. El usuario debe ser capaz de llevar la identidad de un lugar a otro, conceder acceso como estime conveniente, revocar a su voluntad y asegurarse de que se utiliza sólo la cantidad mínima de información necesaria y cada organización que gestiona datos de personas, tiene la responsabilidad de defender esos derechos.

Pero, ¿qué pasa si la responsabilidad de la custodia de datos de carácter personal no recae en el controlador o el procesador, sino directamente en el individuo?

Si ese fuera el caso, el individuo no necesitaría depender de un controlador, emisor o procesador para adherirse al Reglamento para obtener, copiar, mover, transmitir o proteger sus datos, pues sería el individuo quien controlaría el acceso. Y es en este punto donde el blockchain se vuelve interesante.

Para que una persona pueda gestionar sus propios datos por su cuenta, necesita tener acceso completo. Los datos deberían ser validados por terceros (de modo que puedan ser utilizados tan fácilmente como cualquier identificador físico), y necesitarían una manera de otorgar y revocar el ámbito de acceso. Con blockchain, tenemos un registro tecnológico distribuido, destinado a proporcionar información que ninguna entidad distintiva controla o gestiona, debido a que blockchain utiliza una red descentralizada de pares, donde la historia y la vigencia es públicamente auditable, lo que se convierte en un mecanismo neutral, confiable y seguro para la identidad auto-gestionada del usuario.

Colocando tanto una capa de almacenamiento de datos y una clave o algún otro mecanismo para el acceso en una capa superior, un individuo puede no sólo guardar sus datos, sino que también puede conceder y revocar el acceso a procesadores según sea necesario. Asimismo, los emisores como gobiernos confiables o agencias certificadoras, pueden adicionar información de un individuo al registro de blockchain de acuerdo a lo permitido o requerido por el individuo.

La idea de que blockchain podría utilizarse para administrar la identidad no es nueva, lo nuevo es cómo la ratificación de la RGPD exponiendo un mayor control individual sobre datos de carácter personal, concuerda con la aparición de la aplicación de blockchain de identidad auto-gestionada. Hoy, empresas de blockchain como ShoCard permiten a los individuos añadir sus identidades emitidas físicamente a un blockchain y conceder acceso a terceros.

AAEAAQAAAAAAAAx9AAAAJDY1Y2U0M2E2LTk4NzYtNDdlNS1hYzNiLTAwMWMwYmVhZGI5Mg

Juntos el GDPR y el blockchain defienden lo mismo – la necesidad de cambiar fundamentalmente la manera en que se administran los datos personales. Tanto desde una perspectiva de principios y práctica, el statu quo de los almacenes de identidades gestionadas por las redes sociales, los bancos, los gobiernos y los sitios web, necesitan cambiar y conceder la soberanía individual sobre los datos personales. Desde la perspectiva de los principios, el individuo tiene un derecho intrínseco sobre la información que constituye quiénes son. Desde una perspectiva práctica, una fuente única, confiable, portátil de datos de carácter personal, manejado y potenciado por el individuo, permite que cada emisor y procesador de datos de manera coherente y eficiente pueda interactuar con la identidad digital de un individuo.

A medida que crecen tanto el concepto de soberanía individual y regulación alrededor de control del usuario, es evidente que llega la era del usuario, y el futuro de la identidad digital dependerá de la tecnología que mejor facilite el derecho de un individuo a poseer y gestionar su identidad.

fin

¿Cómo estar preparados en el entorno corporativo?

Hay una gran variedad de métodos y planes que pueden ayudar a su preparación en estar listo para cumplir con RGPD.

Inicialmente es importante reflexionar acerca de dónde está ahora y lo que ya tiene. Una evaluación gradual de su situación actual es una manera conveniente para comenzar su preparación. Esta evaluación debe incluir una revisión completa de su arquitectura de datos existente y todo lo relacionado con la información declarativa, datos técnicos y documentación para asegurarse de que usted es plenamente consciente de la gestión actual de los datos. Esto puede entonces ayudarle a identificar qué datos personales deben ser incorporados en su estrategia de gestión de datos. Por ejemplo, dada la incorporación de Internet de las Cosas (IoT) a la definición ampliada de datos de carácter personal, es importante considerar como los datos de las redes sociales son procesados por su empresa y cómo son gestionados.

A continuación, basado en su situación actual y las prioridades identificadas se puede empezar a estructurar una definición gradual de un plan de transformación digital. Una gestión efectiva de los datos y la estrategia de gobernanza es indispensable, además debe estar en el centro de todas las actividades. Por lo tanto, es recomendable elaborar un plan de acción de arquitectura que este alineado con la estrategia empresarial y con las mejores prácticas.

Por último una práctica fundamental en todo, es la gestión del cambio. Como parte de esto, los directivos deben participar desde el primer día. El patrocinio, la toma de decisiones y priorización son clave para cualquier plan que se ejecute correctamente y que el cambio ocurra. Todos estos procesos suelen recaer en altos directivos responsables de la toma de decisiones, y por lo tanto es esencial tenerlos en cuenta desde el principio.

Tener a bordo a los altos directivos, puntos de control claros y aprobación de los patrocinadores deben ser características comunes en cada fase del plan de transformación. Esto asegurará el buen funcionamiento del plan desde el comienzo hasta el final.

A continuación se muestran las conclusiones de un reciente estudio, acerca de la sensibilidad de los consumidores españoles y a nivel mundial sobre sus datos personales:

INFOGRAFIA PRIVACIDAD 2

Un comentario

Deja un comentario