La identidad digital distribuida es una magnifica herramienta para permitir que gran parte de los derechos recogidos en Regulación General sobre Protección de Datos estén asegurados y bajo control del individuo.
La identidad digital se entiende como el conjunto de atributos asociados a una persona física o jurídica que le identifican en el entorno de Internet. Estos atributos no tienen que ser únicamente digitales, sino que pueden contener datos de la vida real, como la fecha de nacimiento, el color de pelo o aspectos conductuales y preferencias. Es conveniente que diferenciemos la identidad digital de lo que se conoce como huella digital, un concepto más amplio que incluye todo el rastro de todo lo que hacemos en Internet y que no es el objeto de análisis de este artículo.
Para comprender la idea de la descentralización o autogestión, podemos tomar como ejemplo nuestro DNI (Documento Nacional de Identidad). Este número no constituye mi identidad en sí misma, sino que es mi identificador único, con el que puedo referenciar quién soy. A diferencia de la identidad digital distribuida, el DNI se gestiona de manera centralizada por las fuerzas de seguridad nacionales, encargadas de garantizar que cada identificador está asociado a una persona (identidad) concreta.
En cambio, en una identidad digital descentralizada, la asociación entre el identificador y su identidad digital la realiza el propio individuo. Esto no significa que, como usuarios, vayamos a auto asignarnos nuestro propio DNI o pasaporte. Lo que implica es que el usuario puede controlar su identificador digital y decidir si quiere asociarlo o no a su identidad digital y en qué medida. Así, se ofrece la posibilidad de que el usuario pueda asociar, por ejemplo, su DNI o pasaporte a su identificador digital, para que formen parte de su identidad digital si así lo desea.
Otra derivada que conlleva automáticamente la auto asignación de un identificador es que su gestión exclusiva queda en manos del individuo. Si el propio usuario tiene el control de su identificador, nadie lo puede borrar o denegar. Esto le convierte en soberano de su identidad digital. No obstante, existe algún matiz relacionado con los atributos cuya validez estará fuera del control del individuo. Un ejemplo es la validez de un carnet de conducir, cuyo expendedor podrá revocar en caso de no cumplir con los requisitos de renovación del mismo. Por tanto, este sistema permite denegar o borrar atributos por parte de quien los emite, sin que se produzca ninguna modificación o eliminación del identificador.
Todas estas consideraciones se incluyen en el artículo 5 de la norma UNE PNE 71307-1 que refleja y relaciona esta característica de una “identidad autogestionada” o “identidad descentralizada” con la idea de que “los sujetos ligados a una identidad controlen la administración de sus propias identidades digitales”. Esta facultad requiere la capacidad del usuario para “crear y usar una identidad digital en múltiples escenarios y la de tener el control único sobre cómo, cuándo y dónde se emplea dicha Identidad”, con el objetivo de garantizar la autonomía del usuario.
Y es justo en esa capacidad de control único sobre su identificador digital y del uso, o, mejor dicho, de la presentación de sus atributos ante terceros, donde la tecnología blockchain juega un papel fundamental.
Para auto asignarse un identificador (similar a un número de DNI del que hablábamos antes) el sujeto podría, tras obtener un par de claves criptográficas asimétricas, registrar la clave pública en la blockchain. De esta manera, podría demostrar en todo momento que ese identificador (la clave pública) le pertenece.
El usuario irá adquiriendo los atributos a través de quienes pueden dar fe de ello. Así, podrá formar su identidad digital en un repositorio que solo puede controlar él mismo, como ocurre en el caso de las apps tipo monedero (wallet). De ese modo, podrá ir añadiendo su fecha de nacimiento, carnet de conducir, título educativo, número de tarjeta de crédito, etc. En la blockchain se registrará la entrega por parte del emisor y la validez de cada una de las credenciales, de manera que quien luego las reciba pueda comprobar que existen y que son válidas.
Cuando el usuario quiera utilizar alguno de esos atributos para mostrárselos a un tercero, podrá enviárselos directamente e incluir sus condiciones de utilización. Aquí el papel de la blockchain es fundamental para registrar esas presentaciones consentidas por el individuo, lo que daría seguridad jurídica a ambos, es decir, al individuo y al receptor de las mismas.
Fijémonos en que no se almacenará ningún dato personal en la blockchain, sino que únicamente se registran los trámites, es decir, la obtención de atributos (para su posterior comprobación) y la presentación ante terceros. Por ello, este marco de referencia permitiría cumplir con las leyes de protección de datos europeas, ya que sería la blockchain donde se almacenarían los permisos de uso de estos datos, así como la petición de borrado o modificación posteriores que el individuo quisiera ejercer.
Esta identidad autogestionada también podría usarse como sustituto de las archiconocidas solicitudes de acceso a través de la fórmula “usuario y contraseña” de los servicios online o de las opciones de registrarnos en sitios de Internet utilizando nuestras cuentas de redes sociales.
Otra de las ventajas que ofrece la identidad digital descentralizada es que permitiría prescindir de las cookies y otros datos no esenciales para la obtención de servicios que el usuario hace públicos cuando navega por Internet. Y más importante, para evitar o restringir al mínimo necesario e imposibilitar el acceso incontrolado de terceros no autorizados.
El control por parte del individuo de su identidad digital está reconocido por Telefónica en nuestra propuesta por un nuevo Pacto Digital, donde insistimos en que las personas deben tener la capacidad de gestionar y controlar sus datos. Esto significa que deben tener la opción de elegir libremente acerca del uso de sus datos personales y disponer de opciones reales sobre cómo utilizarlos, evitando los compromisos del “todo o nada” que son habituales en los términos y condiciones de los servicios digitales. En este sentido, desde Telefónica apostamos por desarrollar y aplicar una nueva “ética de los datos” basada en una mayor transparencia, control y capacidad de elección.
Pero, ¿realmente sabemos dónde se guarda actualmente nuestra identidad digital y cómo podemos controlar su uso? Es más, ¿somos conscientes de que la tenemos replicada y desperdigada por infinidad de sitios en internet (legales e ilegales, cuando no directamente delictivos), que comercian con ella y de que, en la actualidad, ni siquiera tenemos posibilidad real de control? En España, hemos sido pioneros en estandarizar un modelo que permitiría devolver ese control y capacidad de elección sobre su identidad digital a las personas. Concretamente, en Telefonica, haciendo honor a nuestro mensaje de poner a las personas en el centro, hemos participado activamente en su definición.
Así, una identidad digital distribuida, y en este caso apoyada en una blockchain, otorgaría confianza y certeza a los usuarios de que quienes han obtenido sus datos lo han hecho con su permiso. Del mismo modo, ayudaría al prestador del servicio a cerciorarse de que esos datos les han sido entregados de manera voluntaria y proporcional. Por la naturaleza de las redes blockchain, incluso podría servir como prueba ante disputas legales si así fuera finalmente considerado por un tribunal.