Adapting Blockchain for GDPR Compliance

7/08/2018 – Técnicas alternativas de blockchain permiten el cumplimiento de la directiva de protección de datos de la Unión Europea (GDPR). Estas técnicas exigen una comprensión exhaustiva de las tecnologías de contabilidad distribuida (DLT), así como de su ecosistema. Los procesos de gestión de identificación del blockchain, como los que almacenan y procesan información de identificación personal (PII), son cruciales para diseñar soluciones que cumplan con la GDPR.
Uno de los principios clave de la GDPR es el “Derecho a borrar” del Artículo 17 (o “derecho al olvido”). Sin embargo, debido al principio de “inmutabilidad de los registros” de blockchain, cualquier información contenida en las transacciones de blockchain es virtualmente imposible de modificar. La adopción de arquitecturas híbridas para el almacenamiento de datos distribuidos fuera de la cadena es un enfoque alternativo que permite adaptarse a este desafío. Otras alternativas permiten mantener los datos PII dentro de los dispositivos de los usuarios, creando metadatos y hashes de esta información, y refiriéndose nuevamente a estos datos locales utilizando servidores de terceros o la propia capa de blockchain. Así, toda la información y los datos sensibles al GDPR podrían almacenarse fuera de la cadena en servidores distribuidos o basados ​​en la nube, con solo los hashes correspondientes almacenados en la capa de la cadena de bloques. Estos punteros de control no son los datos de usuario que la GDPR busca proteger sino una seudonimización de esos datos originales.
El Art´ciulo 25 se refiere a la seudonimización, que se puede interpretar de dos maneras. La primera afirma que, debido a que la seudonimización de datos se lleva a cabo en el algoritmo hash de blockchain, pero no en la anonimización, el enlace de datos ya no se considera personal cuando se establece y si este enlace se elimina. La segunda interpretación es que la seudonimización, incluso con todos los hashes criptográficos, aún puede vincularse con los datos PII originales. Sin embargo, todavía puede faltar alguna prueba matemática de que un ataque cibernético de fuerza bruta al enlace de datos fuera de cadena puede comprometer esta suposición. La conclusión al respecto es que este tema sigue siendo un objetivo en movimiento, abierto a las innovaciones del blockchain y se avecinan importantes batallas jurídico-técnicas y posible adaptación de la GDPR. (De Information Week)

Anuncios