Finalizamos la serie de los tres artículos escritos por Elizabeth M. Renieris donde analiza el concepto de la Auto Identidad Soberana en Blockchain y su encaje con el Reglamento General de Protección de Datos o “GDPR” defendido por la Unión Europea.
En este artículo la autora examina los derechos de los individuos bajo el nuevo marco legal del GDPR y argumenta cómo cada uno de ellos está respaldado por el enfoque de Sovrin para SSI. Como señala Renieris en sus conclusiones, “si bien hay algunas tensiones entre SSI y GDPR, al menos con respecto a la letra de la ley y la estructura de los modelos de datos que exponen, la versión de SSI de Sovrin es altamente compatible y, de hecho, es una herramienta eficaz para promover el espíritu y los fines del Reglamento. En muchos sentidos, el concepto de SSI es incluso más radical que el GDPR con respecto a la protección de los datos personales -y, quizás más importante-, a la privacidad y la portabilidad de los mismos. Creemos que a medida que SSI se afianza, el cambio de paradigma que representa traerá nuevos niveles de confianza al ecosistema de datos de manera que, al mismo tiempo, promueva los intereses individuales y colectivos. Continuaremos explorando la aplicabilidad y compatibilidad del GDPR y la Sovrin en publicaciones futuras, incluso en la siguiente sobre qué constituye información personal y dónde se almacena en el ecosistema Sovrin”
Derechos del sujeto de los datos del GDPR
El GDPR adopta un enfoque para la protección de datos basado en riesgos, esbozando ciertos derechos de los sujetos de datos sin dictar prescriptivamente cómo tiene efecto estos principios y derechos. Los derechos del sujeto de los datos no son absolutos sino condicionales, y siempre se comparan con los intereses legítimos de otras partes interesadas, incluidos los controladores de datos corporativos y organizacionales, los gobiernos, la aplicación de la ley y (de manera importante) otros sujetos de datos. Varios de los derechos sustantivos que se describen a continuación, incluidos los derechos de acceso, rectificación, restricción de procesamiento y objeción, están sujetos a anulación con fines científicos, históricos o estadísticos (como se describe más adelante). Además, estos derechos siempre deben evaluarse a la luz de los propósitos dobles de GDPR, a veces prevaleciendo la libre circulación de datos.
Derecho de información
Según los artículos 13 y 14 de la GDPR, los interesados individuales tienen el derecho de ser informados sobre la recopilación y el uso de sus datos personales. Este derecho está diseñado para dar efecto al principio de legalidad, imparcialidad y transparencia. Esto significa que en el momento en que se recopilan datos personales de un individuo, se le debe proporcionar al individuo información sobre la identidad de la parte que recopila o solicita los datos, los fines de recopilarlos, el procesamiento de los mismos, cuánto tiempo durarán los datos almacenados y con quién se compartirán los datos (si los hubiera). Esta información debe proporcionarse en un formato conciso, transparente, inteligible y de fácil acceso, utilizando un “lenguaje claro y sencillo”. Estos requisitos no se aplican cuando el interesado ya tiene la información.
Cuando un propietario de identidad individual recibe una solicitud de prueba, contiene los detalles que describen a la parte solicitante (es decir, el verificador) y los datos que se solicitan. El propietario de la identidad mantiene su propio registro de esta solicitud a través de su agente. Si un Verificador dado ya se ha identificado y autenticado ante el Propietario de la Identidad en el proceso de establecer una Conexión por pares y realizar una Solicitud de Prueba, se puede decir que la persona ya tiene la información, lo que significa que estas obligaciones se cumplen automáticamente para una repetición de la misma solicitud de prueba. En la implementación de SSI en Sovrin, el propietario de la identidad tiene control total sobre sus credenciales y atributos de identidad. Esto significa que el Propietario de la identidad, como sujeto de los datos, siempre tendrá esta información, lo que significa que el derecho de información se realiza automáticamente en la implementación de SSI por parte de Sovrin.
Derecho de acceso
Según el artículo 15 de la GDPR, los interesados individuales tienen el derecho de solicitar y obtener acceso a sus datos personales y otra información complementaria. Este derecho también está diseñado para dar efecto al principio de legalidad, imparcialidad y transparencia. El derecho de acceso otorga al sujeto de los datos individuales el derecho a obtener una confirmación de que sus datos se están procesando, el acceso a sus datos personales y otra información complementaria que normalmente se le proporcionaría a la persona a través de una política de privacidad según su derecho a ser informado. A petición del interesado, estos datos se deben proporcionar sin demora y, a más tardar, dentro del mes siguiente a la recepción de la solicitud. Como práctica recomendada, “siempre que sea posible, el controlador debe poder proporcionar acceso remoto a un sistema seguro que proporcione al sujeto de los datos acceso directo a sus datos personales”. Finalmente, una parte que recibe una solicitud de acceso tiene el deber de utilizar “medios razonables” para verificar la identidad de la persona que realiza la solicitud.
Con la tecnología de Micrinedger Connections y Microledger de Sovrin, cada Propietario de Identidad individual tendrá un registro de cada evento de intercambio de datos con cada individuo o entidad con la que hayan interactuado. Por lo tanto, podrán probar con precisión lo que compartieron, con quién y cuándo. El propietario de la identidad no solo puede usar esta información para exigir el acceso, sino que el destinatario de una solicitud de acceso del sujeto puede usar su conexión privada (y su clave privada dedicada a esta conexión) para autenticar la identidad de un par que realiza esta solicitud. Esto resuelve los problemas de un propietario de identidad (es decir, el sujeto de datos) que necesita acceso y un verificador (es decir, un controlador de datos) que necesita proporcionarlo. El propietario de la identidad también puede utilizar este canal privado para solicitar el acceso a cualquier otra información personal generada por el Verificador, o la información personal divulgada o compartida con otros.
Derecho de rectificación
Según el artículo 16 de la GDPR, los interesados individuales tienen derecho a que se completen los datos personales inexactos o se completen los datos incompletos, incluso a través de información complementaria. Este derecho está diseñado para dar efecto al principio de precisión y para evitar que las decisiones con efectos legales u otros efectos significativos en el sujeto de los datos se realicen sobre la base de información inexacta o incompleta.
Como se describió anteriormente, un Propietario de Identidad individual en el ecosistema de Sovrin puede usar los Microledadores generados en el contexto de cada Conexión por pares para probar exactamente qué información se compartió, cuándo se compartió y con quién se compartió. Además, a través de su Agente respectivo, cualquiera de las partes en una relación de pareja tiene un medio perfecto para solicitar una corrección u otra modificación a sus datos personales de su par en el otro extremo de la Conexión. Dicha solicitud en sí misma se convierte en un evento demostrable a través de su Microledger compartido, de manera que si los cambios no se implementan, la parte solicitante (que es el sujeto de una solicitud de rectificación) puede usar esta prueba de compartir y solicitar la rectificación para hacer valer sus derechos contra el par (actuando como el controlador de datos con respecto a esos datos). Este mecanismo también ayuda a reforzar el principio de responsabilidad.
Derecho a borrar (o al “derecho al olvido”)
Según el artículo 17 de la GDPR, los sujetos de datos individuales tienen derecho a que se borren los datos personales en determinadas circunstancias, incluso cuando los datos personales ya no sean necesarios para los fines para los que se recopilaron originalmente; donde los datos personales se procesaron en base al consentimiento y la persona retira su consentimiento; cuando el individuo se opone al procesamiento continuo de los datos personales procesados sobre la base de intereses legítimos y no existe un interés legítimo superior para continuar procesándolos; donde los datos fueron procesados ilegalmente; donde sea requerido por la ley; o donde los datos fueron procesados para ofrecer servicios de la sociedad de la información a un niño. Este derecho también está diseñado para dar efecto al principio de precisión y al principio de legalidad, imparcialidad y transparencia.
Al igual que en el caso de la rectificación, un Propietario de Identidad individual puede usar los registros generados por sus Microledgers y Connections por pares para probar qué información compartieron, cuándo la compartieron y con quién la compartieron para solicitar que se borren ciertos datos. Cada propietario de identidad en una conexión por pares puede usar su agente respectivo para solicitar sin problemas el borrado de sus datos por parte del par en el otro extremo de la conexión. Al igual que con las solicitudes de rectificación, la solicitud de borrado en sí misma puede ser un evento demostrable, de modo que si no se realiza el borrado, el Propietario de la identidad individual puede usar esta prueba de uso compartido y solicitar el borrado para tomar medidas contra un par que continúa sosteniendo y procesar sus datos ilegalmente. Nuevamente, este mecanismo también ayuda a reforzar el principio de responsabilidad.
Con respecto al libro mayor de Sovrin, dado que nunca se almacenan datos personales en el libro mayor público, no se aplicará el derecho de cancelación. E incluso si alguno de los datos almacenados en el libro mayor de Sovrin podría considerarse datos personales, hay varios malentendidos sobre el derecho de cancelación que deben abordarse (y que se abordarán con mayor detalle en una publicación posterior). Para los fines de este post, observamos que el derecho no es absoluto, pero requiere que se cumpla una de las seis condiciones y se apliquen al menos seis categorías amplias de exenciones. Además, el GDPR no define el término “borrado” y la medida en que las soluciones técnicas que no identifican o anonimizan suficientemente ciertos datos (de manera que ya no constituyen datos personales en virtud del Reglamento) siguen siendo un tema de debate activo. Finalmente, la naturaleza autorizada de Sovrin Ledger, junto con su robusta arquitectura de confianza y mecanismos de gobierno, significa que el cumplimiento del derecho de cancelación es mucho más factible de lo que sería en el contexto de otros libros de contabilidad (como en el caso de SSI soluciones que utilizan un blockchain sin permiso público).
Derecho a restringir el procesamiento
Según el Artículo 18 de la GDPR, los sujetos de datos individuales tienen el derecho de restringir el procesamiento por parte de un controlador de datos cuando se cuestiona la precisión de los datos personales (mientras que la precisión se encuentra bajo revisión); el procesamiento es ilegal pero el sujeto de los datos solicita una restricción en lugar de su eliminación; el controlador ya no necesita los datos para su procesamiento, pero los datos son necesarios para el establecimiento, ejercicio o defensa de reclamaciones legales; o cuando el sujeto de los datos se ha opuesto al procesamiento y el controlador está considerando si sus motivos legítimos prevalecen sobre los del sujeto de los datos individuales.
Como se cubre ampliamente con respecto a los derechos de rectificación y borrado, la solución Sovrin -principalmente mediante el uso de conexiones privadas por pares y los correspondientes microcontroladores compartidos-, permite que el propietario de la identidad (que es el sujeto de ciertos datos personales) ejerza esto de manera fácil y verificable. Justo sobre cualquier información personal compartida con un Verificador en el contexto de ese canal de pares. Además, con respecto al libro mayor público, en la medida en que nunca se almacenan datos personales en el libro mayor público, no existe obligación de restringir el procesamiento con respecto al Libro mayor Sovrin.
Derecho a la portabilidad de datos
Según el Artículo 20 de la GDPR, los interesados individuales tienen el derecho de ver, acceder y obtener sus datos personales de un controlador de datos y reutilizar o transmitir esos datos personales a otro controlador para sus propios fines. Según el Grupo de Trabajo del Artículo 29, el derecho “representa una oportunidad para” reequilibrar “la relación entre los interesados y los controladores de datos, a través de la afirmación de los derechos personales de los individuos y los datos personales que los conciernen”.
El derecho se aplica cuando se cumplen tres condiciones:
1. Los datos personales fueron proporcionados directamente por el sujeto de un controlador de datos;
2. El procesamiento se basó en el consentimiento del interesado o el cumplimiento de un contrato;
3. Donde el procesamiento se realiza por medios automatizados.
El controlador de datos debe proporcionar los datos personales en un “formato estructurado, comúnmente usado y legible por la máquina”. Cuando lo solicite el individuo y sea técnicamente viable, el controlador de datos puede ser requerido para transmitir los datos directamente a otro controlador. Finalmente, la portabilidad de los datos y la transferencia de datos personales en virtud del mismo requieren que la parte que transfiere tome medidas razonables para verificar la identidad de la parte receptora.
A primera vista, la portabilidad de datos se siente como si tuviera poco que ver con la protección de los datos personales de una persona física, quizás aparte de una conexión tangencial al principio de transparencia. Más bien, este derecho encapsula el segundo objetivo del GDPR, a saber, promover el comercio y el crecimiento al permitir la libre circulación de datos en toda la UE. La portabilidad de los datos es mutuamente beneficiosa para la persona que puede acceder de manera más conveniente y transferir sus datos a través de proveedores de servicios u organizaciones con facilidad, así como a la entidad comercial que puede absorber e incorporar más fácilmente a nuevos usuarios y clientes. La portabilidad de los datos también fomenta la competencia cuando las personas no están atrapadas en los productos o servicios de un proveedor de servicios y pueden cambiar de proveedor sin muchos impedimentos. Esto está en línea con otras iniciativas a favor de la competencia en la UE, como la iniciativa de Banca Abierta.
La versión SSI de Sovrin es la última herramienta de portabilidad de datos. Al igual que en el mundo físico, donde puedo llevar mis documentos conmigo de un lugar a otro y presentarlos para verificar o solicitar a las partes según sea necesario, Sovrin habilita la misma funcionalidad en el ámbito digital. Debido a que el propietario de la identidad tiene credenciales y otros datos personales en una billetera digital portátil, el propietario de la identidad es libre de usar y mover estas credenciales según lo desee. Esto va en línea recta con la opinión del Grupo de Trabajo del Artículo 29 de que el objetivo principal de la portabilidad de datos es mejorar el control de los individuos sobre sus datos personales y asegurarse de que desempeñan un papel activo en el ecosistema de datos. Finalmente, Sovrin ofrece una solución técnica sólida con respecto a la capacidad de la parte que transfiere para autenticar a la parte que recibe los datos que están sujetos a una solicitud de transferencia según la portabilidad de datos correcta.
Derecho a objetar
Según el artículo 21 de la GDPR, los sujetos de datos individuales tienen derecho a objetar tres tipos de procesamiento:
1. Marketing directo;
2. Procesamiento basado en intereses legítimos del controlador de datos o el desempeño de una tarea en el interés público o el ejercicio de la autoridad oficial;
3. Procesamiento con fines de investigación o estadísticos.
El derecho a objetar al marketing directo es absoluto en el sentido de que el individuo no necesita demostrar ningún motivo para esta objeción y tan pronto como el individuo se oponga, el procesamiento debe cesar. En el caso de las otras dos bases para objetar, el controlador debe cesar el procesamiento, a menos que pueda demostrar motivos legítimos convincentes que invaliden los intereses del interesado o el procesamiento sea para el establecimiento, ejercicio o defensa de reclamos legales.
Al igual que con el derecho de restringir el procesamiento, Sovrin Connections y Microledgers permiten a los Propietarios de Identidades ejercer este derecho de manera fácil y verificable sobre cualquier información personal compartida con un Verificador.
Derechos con respecto a la toma de decisiones y perfiles automatizados
Además de los siete derechos fundamentales del sujeto de datos descritos anteriormente, el GDPR le otorga al sujeto de los datos derechos adicionales con respecto a la toma de decisiones automatizada y la creación de perfiles. Según el artículo 22 de la GDPR, los sujetos de datos individuales tienen el derecho de “no estar sujetos a una decisión basada únicamente en el procesamiento automatizado, incluido el perfilado, lo que produce efectos legales que lo afectan o lo afectan significativamente de manera similar”.
Las únicas excepciones son:
1. Donde este tipo de procesamiento o perfil automatizado es necesario para celebrar o realizar un contrato entre el interesado y el controlador de datos;
2. La toma de decisiones está autorizada por las leyes aplicables que incluyen medidas adecuadas para salvaguardar los derechos del interesado;
3. La toma de decisiones se basa en el consentimiento explícito del interesado.
Una vez más, Sovrin Connections permite que el sujeto de datos ejerza este derecho de manera fácil y verificable. Si bien podría parecer que los Agentes de Sovrin estarían sujetos a esta regla de toma de decisiones automatizada, de hecho, los Agentes de Sovrin sólo actúan en nombre del sujeto de los datos y siempre permanecen bajo el control del sujeto de los datos. Por lo tanto, un Agente Sovrin nunca se opera bajo el control de un controlador de datos externo que estaría sujeto a esta regla.