Identidad digital descentraliza y la propuesta de Signatura: el caso del pasaporte financiero

Esta semana en Buenos Aires se realizó la presentación del informe preparado por Blockchain España y la Alianza Blockchain Iberoamérica sobre soluciones de identidad digital descentralizadas que están siendo de desarrolladas actualmente en la región. Dentro de ese informe, Signatura ha sido mencionada por su proyecto de identidad digital, antes conocido como pasaporte financiero, desarrollado en forma conjunto con RedLink durante el 2018 y es producto del trabajo realizado en la mesa de innovación financiera sobre blockchain del Banco Central de la República Argentina.

La noción de identidad digital descentralizada o identidad digital autosoberana, también llamada -en inglés- self sovereign identity, fue principalmente desarrollada y estructurada por Christopher Allen en su artículo “The Path to Self-Sovereign Identity”, como último estadio de los sistemas de identidad que han surgido en Internet. A criterio de Allen, los modelos o sistemas de identidad digital descentralizada son los únicos que verdaderamente pueden devolverles a las personas el control de sus identidades en Internet. En la actualidad, casi todos los sistemas existentes, en mayor o menor medida, siguen el viejo esquema de una entidad centralizadora de la información que recibe los datos de las personas para almacenarlos y dar fe frente a terceros de su existencia y veracidad; Allen señala que existen ciertos sistemas de identidad que intentan dar una falsa sensación de control al titular de los datos, dándole opciones sobre sus datos pero nunca la verdadera soberanía y control de estos. La introducción de sistemas de identidad auto soberanos implica que el usuario ya no es simplemente el centro del sistema sino que el usuario es el sistema en cuestión y las entidades que conectan con este son simplemente usuarios que interactúan en función de lo que el titular de los datos les permite.

Allen sostiene que un sistema de identidad auto soberana debería contemplar los siguientes principios:

1. Existencia.

2. Control.

3. Acceso.

4. Transparencia.

5. Persistencia.

6. Portabilidad.

7. Interoperabilidad.

8. Consentimiento.

9. Minimización.

10. Protección.

Podría decirse que los ordenamientos jurídicos han tomado conciencia de la necesidad de devolver el control las personas sobre sus datos hace unos años y se están comenzando a adoptar medidas para lograr estos objetivos. En este sentido, podemos destacar institutos jurídicos como el reciente derecho a la portabilidad previsto en el artículo 20 del Reglamento General de Protección de Datos de la Unión Europea (el “GDPR”) o las diferentes iniciativas de open banking a nivel mundial en el caso del sector financiero. Sin embargo, todas estas respuestas siguen partiendo del modelo centralizado donde existe una entidad que actúa como responsable del tratamiento de datos, fijando las finalidades y los medios para el procesamiento de los datos, el cual recolecta los datos de los usuarios y les proporciona un sistema para que estos puedan identificarse de forma digital con terceros.

En lo que hace a la solución del pasaporte financiero, consideramos que el proyecto de Signatura cumplía con los 10 puntos reseñados por Allen y, tal como surge del informe mencionado al principio, puede ser considerado como una solución de identidad autosoberana; si bien hay cuestiones a mejorar, por tratarse de un prototipo, el proyecto respetaba los 10 principios de la siguiente manera:

1. Existencia: solo una persona real puede crear una identidad y revelar aquellos aspectos que esta desea a la red.

2. Control: el usuario es quien determina que información se registra y a quienes se les proporciona la misma.

3. Acceso: la versión final del proyecto apunta a que sea el usuario quien determina donde se guarda la información.

4. Transparencia: la solución esta abierta a todo aquel que quiera sumarse y contribuir en el desarrollo del código.

5. Persistencia: la identidad del usuario será la misma a la largo de toda la vida del mismo en la plataforma, siempre y cuando este así lo desee.

6. Portabilidad: al ser el usuario el dueño del dato ni siquiera es necesario ejercer el derecho de portabilidad; los datos siempre van con su titular.

7. Interoperabilidad: si bien la solución apunta en primera instancia a resolver el problema del onboarding del sistema financiero, la idea es que la identidad montada aquí pueda servir para todos los actos de la vida comercial de la persona.

8. Consentimiento: todo acto del sistema es realizado de forma voluntaria por el usuario y ningún tercero puede realizar un acto en su nombre.

9. Minimización: solo se cargan los datos que el usuario quiere y se comparten los datos que este elige en la medida que los considere necesarios para acreditar cierto aspecto de su identidad.

10. Protección: los datos siempre están preservados del resto de la red al estar guardados donde el usuario elije, sin posibilidad de acceso por parte de terceros.

La introducción de sistemas de identidad auto soberanos implica que el usuario ya no es simplemente el centro del sistema sino que el usuario es el sistema en cuestión y las entidades que conectan con este son simplemente usuarios que interactúan en función de lo que el titular de los datos les permite.

Las soluciones de identidad descentralizada, siguiendo la propuesta de Allen, buscan romper con el esquema tradicional y establecer al titular de los datos personas como el responsable del tratamiento, dándole a este las herramientas para fijar las finalidades para las cuales se usarán sus datos así como también los medios que este elija como y quienes tendrán acceso a sus datos que hacen a su identidad en lugar que sea otra entidad quien determine esto. A raíz de ello, se nos plantea la situación sobre si corresponde considerar a cada identidad como una base de datos autónoma y personal que no esta obligada a cumplir con las normativas de protección de datos por tratarse de ficheros de uso exclusivamente personal bajo el cuidado y custodia del individuo, dando lugar así a la aplicación de las previsiones del artículo 2.c del GDPR; este criterio suele ser recogido por otras normativas internacionales o, en el caso de no estar previsto expresamente, ser desarrollado por la doctrina local correspondiente.

Claramente es absolutamente imposible que un individuo desarrolle y ponga en funcionamiento su propio sistema de identidad autosoberana, con lo cual lo normal será que este recurra a soluciones desarrolladas por terceros para realizar todas las operaciones relacionadas con el sistema, principalmente facilitar la conexión con otras entidades para acreditar su identidad. En atención a esto, cabe preguntarse en que rol debe ocupará este proveedor. La cuestión se centra esencialmente sobre si considerar a esa entidad como un responsable del tratamiento o bien como un encargado de aquellos tratamientos que le sean encomendados por el usuario. Entendemos, de forma preliminar, que en un sistema de identidad descentralizado perfecto esta entidad solo podrá realizar aquellas operaciones que el interesado le encomiende, con lo cual reviste más la categoría de encargado que de responsable. Dado que, en principio, no sería de aplicación la normativa sobre protección de datos por el carácter de base de datos personal y, en consecuencia, no tendría que celebrarse un acuerdo con lineamientos del procesamiento entre el usuario y el proveedor de la solución. Asimismo, dentro de este esquema es que toda actividad sobre los datos debe circunscribirse; por ejemplo, las validaciones de la documentación e información -también conocidos como claims, en inglés- que suben los usuarios a terceros que forman parte de la red, como podría ser un proveedor de servicios de confianza previsto por el Reglamento eIDAS o el Decreto 182/2019.

Las soluciones de identidad descentralizada, siguiendo la propuesta de Allen, buscan romper con el esquema tradicional y establecer al titular de los datos personas como el responsable del tratamiento, dándole a este las herramientas para fijar las finalidades para las cuales se usarán sus datos así como también los medios que este elija como y quienes tendrán acceso a sus datos que hacen a su identidad en lugar que sea otra entidad quien determine esto.

En este momento estamos viviendo una etapa de conocimiento y desarrollo de la noción de identidad autosoberana. Esto también lo estamos viendo desde los aspectos legales de estos sistemas de identidad descentralizada donde existe un cambio de paradigma para el cual la normativa no fue pensada, inclusive aquella que tiene menos de un año desde su vigencia como lo es el GDPR. A modo de ejemplo, les compartimos el último documento de trabajo del Observatorio Blockchain de la Unión Europea al respecto donde se mencionan estos desafíos que hemos mencionado en esta oportunidad.

Claramente aún es muy temprano para determinar la necesidad de hacer cambios legislativos y creemos que lo prudente es dejar que estos proyectos sigan creciendo y trabajando sobre sus casos de uso siempre bajo el correcto asesoramiento y adoptando todas las medidas necesarias para preservar y resguardar los datos de los usuarios. Es por ello que los invitamos a contactarnos para conocer más sobre este proyecto y explorar el mundo de las identidades digitales descentralizadas usando tecnología blockchain.