¿Sabe lo que se siente en ese momento en el que de pronto todas las piezas encajan? Pues eso mismo experimentaba un servidor hace unas horas tras leer en el artículo de la consultora Kwôri (EN) sobre el nuevo Reglamento General de Protección de Datos Europeo (el GDPR, para que nos entendamos).
Estaba buscando información técnica sobre la nueva legislación, que como bien sabe entrará en vigor el año que viene, y de pura casualidad me encuentro con una pieza que habla de cómo queda el blockchain dentro de un escenario regido por el GDPR. Fue entonces cuando se me encendieron todas las luces.
La inmutabilidad del blockchain a debate
Últimamente he hablado bastante de esta tecnología. Desde la publicación en la revista ETC de mi pieza “El blockchain como sistema de identificación absoluto“ me han contactado varios periódicos y medios de comunicación masivos para que diera mi punto de vista sobre el tema. Algunos ya los he publicado por estos lares, otros aún están pendientes de confirmación y/o publicación, y a todo esto hay que unir mi interés por un paradigma que a priori respeta de forma irrefutable la privacidad de una transacción, sea del tipo que sea.
El blockchain es una tecnología disruptora, de eso no cabe duda, pero la tesis que he defendido estos últimos años es que tampoco hay que mitificarla como si fuera la panacea a todos los males que azotan el mundo. Es un gran adelanto en la manera que entendemos informáticamente los contratos entre dos o más elementos, tiene potencialmente tantos aplicativos como nos de la mente pensar, pero solo es eso: una de las mejores alternativas que hemos encontrado en la actualidad para dar solución al problema de la privacidad y el tracking descentralizado en cualquier tipo de relación entre iguales.
Y bajo este prisma llevo tiempo preguntándome para qué demonios empresas de la talla de Accenture estarían interesadas en romper precisamente la principal fortaleza del blockchain: que es inmutable.
Es decir, crear una cadena de bloques en la que algunos usuarios (elegidos de forma selectiva) tendrían la capacidad de modificar y/o eliminar los registros de las transacciones anteriores.
Se lo comentaba así esta misma semana a un periodista de El País que me llamaba para la preparación de otro especial sobre un tema aledaño al blockchain:
Me cuesta pensar en qué usos legítimos podría tener el hecho de que algunas autoridades pudieran selectivamente modificar los registros de una cadena de bloques sin acabar cayendo en la conspiranoia: bancos o grandes compañías modificando sutilmente y para su beneplácito transacciones que resultarían molestas de defender ante el legislativo de turno, una Hacienda haciendo de juez y verdugo a los intereses políticos del momento, corruptos salvándose una vez más de la cárcel debido a la incapacidad de demostrar a ciencia cierta que esos registros no han sido modificados….
Afortunadamente, y como todo en esta vida, hay una explicación mucho más terrenal y con la que hasta cierto punto podría hasta estar de acuerdo.
El blockchain no es compatible con el derecho al olvido
Y digo que estoy de acuerdo hasta cierto punto porque esto, bajo mi humilde opinión, es bueno y malo.
Habitualmente hablamos del derecho al olvido como la obligatoriedad que tiene un buscador de Internet, o una página, de eliminar el rastro, previa petición oficial, que compete al derecho al honor o la intimidad de una persona.
Como ya comentamos en alguna que otra ocasión, la idea de crear artificialmente una suerte de olvido en medios digitales viene de las propias limitaciones del ser humano, incapaz de recordar de forma inequívoca acontecimientos pasados. Y también de las garantías que tendrá esa persona de volver a tener una vida normal.
Un derecho semejante permite que alguien que se ha equivocado en algún momento de su vida y ha rectificado/pagado por ello, o alguien que aunque no tenga culpa en algún momento haya sido tachado públicamente como culpable, tenga que vivir lo que le queda expuesto a dicha situación, que presumiblemente le afectará en múltiples facetas de su vida.
Y si en efecto cubriera solo este tipo de casos, yo sería el primero que estaría a favor de ello. El problema, como ya se habrá imaginado, es que quienes más se están aprovechando del derecho al olvido no son en efecto aquellas personas criminalizadas sin razón, o aquellas otras que han aprendido de su error y quieren hacer borrón y cuenta nueva, sino más bien todos aquellos que tienen el poder suficiente para hostigar a empresas como Google para que eliminen de sus búsquedas información que no les interesa que el populacho conozca. De nuevo, políticos, empresarios corruptos… lo mejor de cada barrio, vamos.
Aplicado al blockchain el problema es semejante. En una cadena de bloques cada bloque recibe un valor arbitrario que sólo puede utilizarse una vez (lo que evita que pueda reutilizarse), y para cambiarlo hay que rastrear todo el histórico de datos registrados y comenzar de nuevo. Es decir, que podemos considerar que una cadena de bloques es criptográficamente imposible de alterar.
Ahora bien, ¿qué pasa si un usuario pide que cierto dato o documento registrado sea eliminado? Tal y como está diseñado blockchain es imposible, y eso entra en conflicto con el GDPR.
Surgen entonces dos alternativas posibles:
- La primera pasa por eliminar las credenciales de acceso a esa cadena de bloques: De forma que aunque el documento sigue estando registrado, en la práctica sería imposible acceder a él… siempre y cuando en efecto podamos haber eliminado las credenciales por completo. Basta con que alguien las tuviera guardadas a buen recaudo para que esta medida no sirviera de nada. Como parte buena, no hay que romper la principal ventaja que ofrece el blockchain. Es decir, la tecnología seguiría siendo tan robusta ante intentos de tergiversación de terceros como lo es en la actualidad.
- La segunda, que es precisamente en la que están trabajando algunas consultoras, es la de ofrecer una alternativa a blockchain que comunmente es conocida como blockchain editable: Hay varios acercamientos, pero quizás el que más me gusta es aquel en el que dicha acción debe ser acreditada por un grupo de administradores descentralizados, para intentar, en la medida de lo posible, minimizar el éxito de intentos de tergiversación de los registros.
En fin, que de nuevo afloran en mí sentimientos encontrados.
Sería el primero en firmar por un blockchain editable si en efecto esto sirviera para proteger a los que de verdad lo merecen frente a documentos y registros que han demostrado ser falsos. Pero me da la impresión de que acabará siendo utilizado por aquellos a los que precisamente menos nos debería interesar proteger.
No sería la primera vez que pasa.
Y esto obviando que en el momento en el que en un sistema incluimos una puerta trasera, esa puerta puede ser utilizada por los buenos (presuntamente esos administradores elegidos democráticamente) y también por los malos (cibercriminales que encuentren la manera de atacar esa debilidad del sistema).
Buenas, respecto de lo postulado, hay un error principal y que rompe la lógica de todo lo postulado. No podes medir blockchain en base a una normativa de GDPR o cualquier otra jurisdicción. Su idea principal justamente es no tener un territorio definido, es libre y así como es se toma. De no ser de ese modo no estarías en una verdadera red de blockchain, sino que estarías en una red local como cualquier otra. No se puede pensar blockchain bajo regulaciones o jurisdicciones, es el principio básico.
Buen aporte Diego. Es cierto lo que comentas, aunque como bien sabes al final hablamos de herramientas que tienen que adaptarse al entorno donde van a ser usadas. Que ojo, bien me gustaría decir que la legislación debe ser la que se adapta y no al revés… pero a las pruebas me remito jajaja.