En este segundo artículo escrito por Elizabeth M. Renieris se examina cómo Sovrin está abordando el desarrollo de la Auto Identidad Soberana-SSI y cómo los principios básicos de protección de datos establecidos en el Artículo 5 del Reglamento encajan en la propuesta. Para la autora, Sovrin cumple con la privacidad por diseño y los requisitos de incumplimiento establecidos en el Artículo 25. Esperemos que os guste
Principios básicos de protección de datos GDPR
Los datos personales deben procesarse legalmente, de manera justa y transparente en relación con el sujeto de los datos.
El primer principio básico de protección de datos es el principio de legalidad, imparcialidad y transparencia, que requiere que el controlador de datos tenga una base legal para procesar datos personales y que comunique de manera abierta y honesta este propósito al interesado. El artículo 6 de la GDPR establece seis bases legales para el procesamiento de datos personales, la primera de las cuales es el consentimiento. En algunos aspectos, el consentimiento parece ser la base definitiva o “más pura” para el procesamiento. Sin embargo, es difícil de lograr en la práctica ya que el GDPR establece un estándar extremadamente alto para lo que constituye un consentimiento válido del interesado.
“Consentimiento” se define como “cualquier indicación libremente, específica, informada e inequívoca de los deseos del sujeto de los datos por la cual él o ella, por una declaración o por una acción afirmativa clara, significa un acuerdo para el procesamiento de los datos personales relacionados con él o ella. Además, el sujeto de los datos tiene el derecho de retirar este consentimiento en cualquier momento y debe ser notificado de este derecho en el momento en que se obtenga el consentimiento. Finalmente, el controlador de datos debe poder probar que se obtuvo este nivel de consentimiento.
En resumen, bajo el alto estándar establecido en el GDPR, el consentimiento válido debe ser:
1. dado libremente;
2. obtenido a través de un acto afirmativo del interesado;
3. revocable;
4. demostrable.
En el modelo Sovrin, casi todas las transacciones de datos personales (y los datos en general) se basan en el consentimiento como la base legal para el procesamiento, ya que casi todo el intercambio y uso de datos está directamente autorizado por el Propietario de la Identidad. El propietario de la identidad tiene información completa sobre el acceso y otros derechos importantes con respecto a los datos personales que se recopilan y procesan. El Propietario de la identidad también tiene una portabilidad de datos completa y una mayor capacidad para cambiar de Agentes o proveedores de Carteras, lo que se traduce en un mayor poder de negociación, confirmando cada vez más la probabilidad de que el consentimiento del Propietario de la Identidad se considere otorgado libremente. El propietario de la identidad expresa este consentimiento a través de un acto afirmativo al aceptar una solicitud de prueba de un verificador. Finalmente, debido a que el Agente del Propietario de la Identidad rastrea todas esas aceptaciones, el Propietario de la Identidad puede revocar fácilmente el acceso a la Credencial o Reclamación compartida.
Debido a que tanto el Propietario de la Identidad como el Verificador mantienen un registro de estas transacciones firmadas digitalmente en sus copias respectivas del Microledger -que comparten-, cualquiera puede proporcionar una prueba de estos consentimientos a cualquier auditor. En resumen, el hecho de que el propietario de la identidad individual controle el intercambio de sus datos personales, junto con una infraestructura técnica que proporciona recibos de consentimiento para ese intercambio, permite nuevos niveles de transparencia nunca antes vistos. Esta transparencia puede mejorarse aún más cuando una Solicitud de Prueba o Credencial, firmada digitalmente, incluya una certificación de que el Propietario de la Identidad o el Verificador está operando bajo las reglas de un Marco de Confianza particular.
Los datos personales deben recopilarse para fines específicos, explícitos y legítimos y no deben procesarse de forma incompatible con dichos fines.
El principio de limitación del propósito significa que los datos personales recopilados para un propósito no deben ser utilizados o reutilizados para un propósito nuevo e incompatible. Está estrechamente relacionado con el principio de legalidad, imparcialidad y transparencia y está diseñado para minimizar los riesgos de correlación para el sujeto de datos individual y para evitar que los controladores y procesadores de datos excedan los límites del procesamiento legal de datos personales. Bajo el marco de protección de datos de la UE, una parte -que no es necesariamente un controlador de datos- puede convertirse en una sola al sobrepasar el alcance del procesamiento que ha sido autorizado a realizar (en ese momento puede incurrir en responsabilidades a nivel de controlador según el Reglamento). Por lo tanto, a los procesadores les interesa cumplir con el principio de limitación de propósito para no exceder su alcance autorizado de procesamiento.
En el contexto de Sovrin, una solicitud de prueba puede mostrar el (los) propósito (s) para los cuales se solicitan los datos. Un verificador puede eliminar estos datos una vez que haya ejecutado cualquier transacción para la que fue necesario, y luego puede solicitarlos nuevamente cuando sea necesario. El verificador puede, si es necesario, realizar múltiples solicitudes con diferentes propósitos y cada vez que los haga serán completamente transparentes para el propietario de la identidad que es el sujeto de la solicitud de prueba. Mediante el uso de un Agente Sovrin, una persona puede examinar el alcance de una Solicitud de Prueba y su (s) propósito (s) contra parámetros de consentimiento predefinidos para determinar de manera más eficiente si los datos se solicitan para un propósito que es “específico, explícito y legítimo”. De esta manera, el Agente actúa como un navegador inteligente y la persona puede implementar mecanismos similares a la configuración del navegador que ayuda a imponer los parámetros de intercambio de datos sobre sí misma (esto también es un avance hacia el cumplimiento del próximo Reglamento de privacidad electrónica)
Los datos personales deben ser adecuados, relevantes y limitados a lo que sea necesario en relación con los fines para los que se están procesando.
El principio de minimización de datos tiene múltiples dimensiones, incluso con respecto a la limitación de los datos personales que se recopilan, procesan y almacenan. En términos de recopilación y procesamiento, las mismas características de Sovrin que dan efecto al principio de limitación del propósito (como se describe anteriormente) ayudan a lograr la minimización de datos. La recopilación está limitada por el control del Propietario de la identidad sobre el intercambio de sus datos y los métodos técnicos que minimizan la cantidad de datos que se comparten para lograr un propósito determinado, minimizando así los datos que se recopilan y finalmente se procesan. En el modelo de Sovrin, el Propietario de la identidad decide con precisión qué atributos de identidad, si los hay, quiere revelar en la forma de las Pruebas que produce sobre las Credenciales y Reclamaciones en su Cartera.
Por ejemplo, al determinar si una persona tiene la edad suficiente para comprar alcohol, la persona solo necesita “demostrar” a un verificador que tiene más de cierta edad, sin tener que revelar su fecha de nacimiento, altura, domicilio, grupo sanguíneo o estado civil, entre otros datos irrelevantes que pueden incluirse en una licencia de conducir o documento de identidad similar. De hecho, las pruebas de “conocimiento cero” (“ZKP”, por sus siglas en inglés) permiten que el Propietario de la identidad ejerza SSI y acceda a los servicios sin compartir ni divulgar ningún tipo de información personal, lo que convierte a ZKP en la herramienta definitiva de minimización de datos.
Sovrin también está diseñado específicamente para minimizar el almacenamiento de datos personales. A pesar de las preocupaciones sobre la incompatibilidad de blockchain con GDPR relativas a las implicaciones de almacenamiento de datos, Sovrin resuelve este problema al no almacenar datos personales “en cadena” (es decir, en el libro mayor público de Sovrin). Más bien, todos los datos personales, incluidas las credenciales y las reclamaciones, se guardan en el libro de contabilidad de los monederos y agentes bajo el control del propietario de la identidad. Además, todas las transacciones de estos datos tienen lugar fuera de la contabilidad en la capa de agencia.
De hecho, la única información que se almacena en el libro mayor de Sovrin público (es decir, DID públicos, definiciones de credenciales y registros de revocación, como se describe anteriormente) no pertenece a los individuos, lo que significa que está fuera del alcance del GDPR como El Reglamento solo se aplica a “personas físicas” y no a entidades o cosas.
Los datos personales deben ser precisos y, cuando sea necesario, estar actualizados; se deben tomar todas las medidas razonables para garantizar que los datos personales que son inexactos, teniendo en cuenta los fines para los que se procesan, se borran o rectifican sin demora.
El principio de precisión significa que los controladores de datos son responsables de tomar medidas razonables para garantizar que los datos personales que poseen y procesan se mantienen precisos y actualizados. El principio de precisión está diseñado para evitar que las decisiones que tienen efectos legales u otros efectos significativos en los sujetos de datos se tomen sobre la base de información incompleta o inexacta, y está estrechamente relacionada con el principio de legalidad, imparcialidad y transparencia. El principio de precisión también es la base de varios de los derechos sustantivos del interesado, incluidos los derechos de acceso, rectificación y eliminación.
La tecnología de libro mayor distribuido que respalda el enfoque de Sovrin para SSI permite la actualización y la eliminación constante del registro público digital y permite que un Verificador compruebe el estado o la validez de una Credencial o Reclamación en tiempo casi real haciendo referencia a los Registros de Revocación alojados en el Libro Mayor de Sovrin. Como se describió anteriormente, estos Registros de revocación utilizan una tecnología avanzada de “subconjunto” que respeta la privacidad para determinar si una Credencial está (o no) dentro del conjunto de Credenciales revocadas en un momento dado.
Además, si los datos sobre un sujeto de datos cambian (por ejemplo, como con un cambio de dirección), el Emisor puede simplemente emitir una nueva Credencial para el sujeto de datos utilizando su conexión por pares segura, privada y única ya establecida. Y dado que cada intercambio de una Credencial entre el sujeto de datos y un Verificador está firmado digitalmente por el sujeto de datos, ambas partes tienen un registro auditable de la exactitud de los datos.
Los datos personales deben mantenerse en un formato que permita la identificación de los sujetos de datos por un tiempo no superior al necesario para los fines para los cuales se procesan los datos personales.
El principio de limitación de almacenamiento está estrechamente relacionado con la limitación de propósito y los principios de minimización de datos y está diseñado para evitar el procesamiento ilegal y no autorizado y para limitar los riesgos de seguridad de los datos planteados por el almacenamiento a largo plazo y la retención de datos personales. También se relaciona con el principio de precisión y el derecho al olvido, ya que está dirigido a prevenir las decisiones tomadas y los efectos legales para los interesados en las conclusiones sobre la base de inferencias que pueden extraerse de datos antiguos. Además, en el caso de que una solicitud sea olvidada por el derecho del sujeto de los datos a borrar, el período de retención de datos aceptable para un controlador o procesador puede reducirse aún más de lo que normalmente sería un período de tiempo legal. La excepción es para los datos retenidos y procesados con “fines históricos, estadísticos o científicos”, en cuyo caso el interés público puede invalidar los intereses del interesado.
Sovrin permite nuevas estrategias de retención de datos que pasan de un enfoque tradicional de “administración de datos” a un enfoque de “acceso a datos” en el que solo usa los datos precisos que necesita cuando los necesita y luego los elimina. A continuación, puede repetir siempre y cuando sea necesario. En general, esto minimiza los requisitos de almacenamiento a largo plazo, presenta un riesgo organizacional mucho menor para los procesadores y facilita el cumplimiento de manera más efectiva que el enfoque de administración de datos. Al recibir algunos datos personales, el Verificador puede ejecutar la transacción que necesita realizar y luego simplemente eliminar los datos si ya no los necesita. Todo lo que necesitan conservar es el DID para el propietario de la identidad. Si se necesitan los datos nuevamente, se pueden solicitar nuevamente utilizando la conexión segura, privada y mutuamente autenticada con el sujeto de los datos a través de su DID.
Finalmente, debido a que la gran mayoría de los intercambios de datos en Sovrin ocurren en la capa de la Agencia en el contexto de canales de pares cifrados privados, el principio de limitación de almacenamiento es de alguna manera autoimpulsivo. Los DID únicos se crean cuando se realiza una conexión por pares y solo se utilizan para los fines de esa conexión. Cuando se termina la conexión (por cualquiera de las partes), también lo hace el almacenamiento de información en el contexto de esa relación de pareja.
Los datos personales deben procesarse de manera que garanticen la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidentales, utilizando las medidas técnicas u organizativas adecuadas.
El principio de integridad y confidencialidad se refiere fundamentalmente a la seguridad de los datos y la seguridad del procesamiento. Es, de muchas maneras, un principio de umbral basado en la filosofía de que la protección de datos no puede existir sin la seguridad de los datos. La obligación se adjunta a todo el procesamiento, ya sea por un controlador o procesador y se aplica tanto a amenazas de seguridad externas (por ejemplo, hacks) como internas (por ejemplo, empleados). Una medida técnica u organizativa clave para la seguridad de los datos que fomenta la GDPR es la seudonimización, definida como “el procesamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un sujeto de datos específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”. En otras palabras, minimizar los riesgos de correlación para el individuo con el fin de mitigar el Impacto de una posible violación de seguridad.
El enfoque de Sovrin promueve el principio de integridad y confidencialidad al minimizar la frecuencia y la cantidad de datos intercambiados en primer lugar. Como se demostró en referencia a los principios de limitación de propósito, minimización de datos y limitación de almacenamiento mencionados anteriormente, Sovrin ha tomado decisiones técnicas y políticas para minimizar la cantidad de datos que se comparten, recopilan, procesan y almacenan, incluso mediante el uso de pruebas de conocimiento cero, microledgers , y DIDs privados. Además, la seudonimización es un pilar del enfoque de Sovrin. Todas las comunicaciones y credenciales de igual a igual intercambiadas a través de mensajería de agente a agente se cifran de extremo a extremo. Esto significa que los datos no solo están cifrados en tránsito, como lo sería con el cifrado de capa de transporte HTTPS, sino que los datos transmitidos también se cifran en reposo después de ser recibidos por el Verificador, y solo pueden ser descifrados por una persona o proceso en El Verificador que tiene acceso a la clave privada del Verificador.
Con respecto al libro mayor público, Sovrin ha implementado un modelo con permiso público, por el cual cualquiera puede acceder al libro mayor (en términos de lectura / escritura), pero solo aquellos con permiso (por ejemplo, Stewards) pueden ejecutar un nodo y participar en el protocolo de consenso para validar el registro. Esto significa que hay un nivel de gobierno que no podría tener con un libro mayor público sin permiso. La Fundación Sovrin implementa este gobierno a través de un marco de confianza pública que incluye políticas y prácticas de seguridad y privacidad que deben ser implementadas por todos los Comisarios para garantizar la seguridad y la integridad del libro público de Sovrin.
El controlador será responsable y podrá demostrar el cumplimiento de los principios de GDPR.
El principio de responsabilidad está estrechamente relacionado con el principio de legalidad, imparcialidad y transparencia y requiere, en su esencia, un medio eficaz para demostrar y auditar el cumplimiento del Reglamento. Los controladores de datos son los principales responsables del cumplimiento de los requisitos y obligaciones de protección de datos en virtud del GDPR. Por lo tanto, para determinar el grado en que se da efecto al principio de responsabilidad, debemos evaluar el cumplimiento y la capacidad de auditoría de ese cumplimiento, a la luz de quién es el controlador en cualquier transacción de datos dada.
El enfoque de Sovrin para SSI promueve la responsabilidad a través de su enfoque de BLT Sandwich para la gobernabilidad. Debido a que existen políticas técnicas, legales y comerciales y principios de diseño que se basan en el cumplimiento automático de los derechos de información y acceso, existen niveles de legalidad, imparcialidad y transparencia que anteriormente eran inalcanzables. A nivel técnico, la formación de canales de comunicación privados por pares, la autenticación mutua que se realiza a través de Connections y un registro auditable, automático y digitalmente firmado, de cada transacción que se lleva a cabo en un microledger proporciona un nivel de responsabilidad sin precedentes.
El uso de un libro mayor público distribuido de Sovrin permite un registro totalmente transparente y auditable de los eventos públicos que suceden en el ecosistema de Sovrin. Más importante aún, en Sovrin, los marcos de confianza incluyen políticas legales y comerciales que refuerzan la responsabilidad lograda por las decisiones de diseño técnico e introducen mecanismos adicionales para la gobernabilidad y la responsabilidad. Finalmente, debido a que la responsabilidad se une al controlador (generalmente el Verificador en un intercambio de Credenciales al estilo de Sovrin), existen fuertes incentivos para que las corporaciones y organizaciones que actúan como Verificadores adopten la solución Sovrin como un medio para demostrar el cumplimiento.
Privacidad por diseño y por defecto
Además de los siete principios básicos descritos anteriormente, el GDPR impone una obligación general de implementar medidas técnicas y organizativas que hagan efectivos todos estos principios de protección de datos de manera integrada, un enfoque conocido como privacidad por diseño y por defecto. En lugar del enfoque convencional que han adoptado las empresas, donde la privacidad y la protección de datos se trataron como ideas tardías dejadas en los departamentos de cumplimiento, la privacidad por diseño y por defecto les pide a las organizaciones que consideren la privacidad y la protección de datos desde el principio y las incorporen como características clave de sus productos y servicios (esto requiere un grado de ingeniería legal de ofertas de productos).
Sovrin como un servicio público global para SSI fue creado a la medida desde el principio con un enfoque de privacidad por diseño y por defecto. Una serie de características clave y decisiones de diseño ilustran esto bien, a saber:
1. El uso de DIDs pseudonymous por pares (las propias especificaciones de DID fueron diseñadas y construidas para abarcar cierta privacidad por diseño y privacidad por principios predeterminados);
2. Impulsar la gestión de datos personales y de claves privadas en los bordes de la red (incluso mediante el uso de Microledgers y Agentes)
3. El uso del conocimiento cero y ZKPs.
4. Mecanismos de gobernabilidad robustos, incluido el uso de un libro mayor autorizado y varios marcos de confianza.
Resumen
Para Renieris, cada uno de los principios básicos de protección de datos establecidos en el GDPR está en la propia infraestructura de SSI implementada por Sovrin. En el primer artículo de la serie, Elizabeth M. Renieris nos ha introducido los conceptos centrales de la auto identidad soberana (SSI) tomando la propuesta específica de Sovrin. En el último, examinamos los derechos de los individuos bajo el nuevo marco legal del GDPR y examinamos cómo cada uno de ellos está respaldado por el enfoque de Sovrin para SSI.