Navegant el GDPR per a la Tecnologia de Registre Distribuït en Identitat Digital (CA)

El Repte del GDPR per a la DLTLa naturalesa immutable i descentralitzada de la Tecnologia de Registre Distribuït (DLT) entra en conflicte directe amb els principis fonamentals del GDPR, especialment el 'dret a l'oblit' i la rectificació de dades, requerint un disseny arquitectònic acurat.

La Minimització de Dades és ClauPer mitigar els riscos del GDPR, les solucions d'identitat DLT han de prioritzar la minimització de dades, emmagatzemant només informació essencial i no PII a la cadena, i vinculant-la a un emmagatzematge de dades fora de la cadena controlable per als atributs personals.

Distinció entre Responsable i EncarregatDefinir clarament els rols (responsable del tractament, corresponsable o encarregat del tractament) per a totes les parts implicades en un ecosistema d'identitat DLT és vital per assignar responsabilitats i garantir la rendició de comptes segons el GDPR.

L'enfocament de Didit, primer el complimentLa plataforma d'identitat modular i nativa d'IA de Didit està construïda amb seguretat de grau empresarial i compliment (ISO 27001, GDPR, preparada per a la Llei d'IA de la UE) en ment, oferint eines flexibles com la verificació d'identificació i la detecció AML que donen suport als principis de privacitat per disseny per a qualsevol arquitectura d'identitat, incloses les que aprofiten la DLT.

La Promesa i el Perill de la DLT en la Identitat Digital

La Tecnologia de Registre Distribuït (DLT), inclosa la cadena de blocs, té un potencial immens per revolucionar la identitat digital. Imagineu un món on les persones tinguin control sobirà sobre les seves dades d'identitat, revelant selectivament només els atributs necessaris per a les transaccions, lliures d'intermediaris centralitzats. Aquesta visió, sovint anomenada Identitat Auto-Soberana (SSI), aprofita les propietats inherents de la DLT d'immutabilitat, transparència i descentralització per crear sistemes d'identitat més segurs, resilients i centrats en l'usuari. No obstant això, aquestes mateixes propietats introdueixen complexitats significatives quan es confronten amb els estrictes requisits del Reglament General de Protecció de Dades (GDPR).

El GDPR, promulgat per la Unió Europea, posa èmfasi en la protecció de dades i la privacitat per a totes les persones dins de la UE. Els seus principis fonamentals inclouen la licitud, la lleialtat, la transparència, la limitació de la finalitat, la minimització de dades, la precisió, la limitació de l'emmagatzematge, la integritat, la confidencialitat i la rendició de comptes. El repte sorgeix perquè el disseny de la DLT, particularment la seva immutabilitat (les dades un cop registrades no es poden alterar ni suprimir) i la descentralització (cap entitat única controla tot el registre), pot semblar en desacord amb les exigències del GDPR, especialment el 'dret a l'oblit' (article 17) i el dret a la rectificació (article 16).

Navegant el 'Dret a l'Oblit' i la Immutabilitat

Un dels xocs més significatius entre la DLT i el GDPR és el 'dret a l'oblit'. Si les dades personals es registren en un registre immutable, com es poden esborrar? Aquest conflicte fonamental requereix solucions arquitectòniques innovadores per als sistemes d'identitat basats en DLT. L'enfocament predominant implica una estricta adhesió a la minimització de dades en el propi registre. Això significa que la informació d'identificació personal (PII) idealment mai no s'hauria d'emmagatzemar directament en una DLT pública i immutable.

En canvi, la DLT s'hauria d'utilitzar per emmagatzemar credencials verificables o hashes criptogràfics que certifiquin l'existència i la validesa de dades fora de la cadena. La PII real, com noms, adreces o dates de naixement (que es podrien verificar mitjançant les solucions de Verificació d'Identificació o Prova d'Adreça de Didit), residiria en emmagatzematges de dades segurs, xifrats i controlats per l'usuari o bases de dades tradicionals que es puguin modificar o suprimir segons el GDPR. La DLT serveix llavors com un registre auditable i inalterable d'esdeveniments de confiança i verificació, no de les dades en si. Aquest disseny permet la revocació o invalidació de credencials en el registre sense haver d'esborrar la PII subjacent, que es gestiona fora de la cadena.

Definint Rols: Responsable del Tractament, Encarregat del Tractament i Corresponsable

El GDPR distingeix clarament entre responsables del tractament (els que determinen els propòsits i els mitjans del tractament de dades personals) i encarregats del tractament (els que tracten dades en nom del responsable). En un ecosistema d'identitat DLT descentralitzat, aquests rols poden difuminar-se, donant lloc a ambigüitats de compliment. Per exemple, la persona que té la seva SSI és un responsable? L'emissor d'una credencial verificable és un responsable o un encarregat? I què passa amb els validadors o els nodes que mantenen el registre?

Perquè una solució d'identitat DLT sigui compatible amb el GDPR, s'ha d'establir una base legal clara per al tractament, i els rols de tots els participants s'han de definir explícitament. En molts models SSI, l'individu es converteix en el responsable principal del tractament de les seves pròpies dades personals. Els emissors de credencials, com una universitat que emet un títol o una agència governamental que emet un DNI, actuen com a responsables de les dades que verifiquen i certifiquen. Els participants de la xarxa DLT (miners, validadors) podrien considerar-se corresponsables o encarregats del tractament segons el seu nivell d'accés i influència sobre el tractament de dades personals. Aquesta complexa interacció requereix marcs legals robustos i acords transparents entre totes les parts.

Privacitat per Disseny i Mesures de Seguretat

El GDPR exigeix 'privacitat per disseny' i 'privacitat per defecte' (article 25), la qual cosa significa que la protecció de dades s'ha d'incorporar al sistema des del seu inici. Per a la identitat DLT, això es tradueix en diverses consideracions clau:

• Minimització de Dades: Com s'ha comentat, només s'han d'emmagatzemar dades essencials i no PII en el registre. Per exemple, un resultat de Estimació d'Edat (per exemple, 'major de 18 anys') es podria emmagatzemar com una credencial verificable sense revelar la data de naixement exacta.
• Pseudonimització i Anonimització: Utilitzar tècniques criptogràfiques per pseudonimitzar dades a la cadena, fent difícil vincular-les a una persona sense informació addicional.
• Seguretat: Implementar mesures de seguretat robustes a tot l'ecosistema. Això inclou el xifratge d'extrem a extrem per a les dades fora de la cadena, la gestió segura de claus per als usuaris i controls d'accés forts. Didit, per exemple, té la certificació ISO 27001 i utilitza TLS 1.3 per a les dades en trànsit i AES-256 per a les dades en repòs, garantint una seguretat de grau empresarial.
• Transparència: Assegurar que els interessats siguin plenament conscients de quines dades es tracten, per què i per qui. Això inclou mecanismes de consentiment clars per a la compartició de dades.

A més, la Llei d'IA de la UE, que cada vegada és més rellevant per a les solucions d'identitat basades en IA, requerirà consideracions addicionals per a la transparència, la supervisió humana i el seguiment de biaixos. Didit ja està preparada per a la Llei d'IA de la UE, demostrant el seu compromís amb l'IA responsable en la verificació d'identitat.

Com Ajuda Didit

Didit, com a plataforma d'identitat nativa d'IA i orientada al desenvolupador, està posicionada de manera única per donar suport a les empreses que construeixen solucions d'identitat DLT compatibles amb el GDPR. Tot i que Didit no proporciona directament infraestructura DLT, la seva arquitectura modular i el seu disseny orientat al compliment ofereixen elements essencials que es poden integrar perfectament i reforçar els ecosistemes d'identitat basats en DLT.

El KYC bàsic gratuït de Didit, que inclou una robusta verificació d'identificació (OCR, MRZ, codis de barres), detecció de vivacitat passiva i activa per a la prevenció del frau, i coincidència facial 1:1, es pot utilitzar per verificar l'autenticitat dels usuaris i els seus documents d'una manera que preservi la privacitat. Els resultats d'aquestes comprovacions es poden certificar en una DLT, en lloc d'emmagatzemar PII sensibles directament en el registre. Per exemple, en lloc de posar el nom complet d'un usuari a la cadena, una credencial verificable podria simplement indicar que 'l'Usuari X ha passat amb èxit la verificació d'identificació de Didit'. De la mateixa manera, els resultats de la detecció i seguiment AML es poden tokenitzar o vincular criptogràficament a la DLT sense exposar dades de compliment detallades.

El compromís de Didit amb el compliment (compatible amb el GDPR, certificat ISO 27001, preparat per a la Llei d'IA de la UE) i el seu enfocament en dades d'identitat estructurades asseguren que qualsevol dada processada a través de la seva plataforma es gestiona de manera segura i d'acord amb els requisits reglamentaris. La seva modularitat significa que podeu triar només els passos de verificació que necessiteu, donant suport a la minimització de dades. Sense tarifes de configuració i amb un model de pagament per comprovació reeixida, Didit proporciona una base flexible i compatible per a la pròxima generació d'identitat digital, ja sigui centralitzada, descentralitzada o un enfocament híbrid.

Llest per Començar?

Voleu veure Didit en acció? Obteniu una demostració gratuïta avui mateix.

Comenceu a verificar identitats de forma gratuïta amb el nivell gratuït de Didit.