Entrar en una página web y aceptar las galletas es un gesto muy común y repetido al moverse por Internet. Pero esta pequeña acción, que se realiza muchas veces de forma automática e irracional para poder continuar con la navegación, conlleva riesgos de seguridad: al consentir las galletas se pierde el control sobre la información sensible del usuario, ya que no puede revisar las condiciones que acaba de aceptar. Con el objetivo de evitar esta vulnerabilidad en la red, un equipo investigador de la Universidad Rovira i Virgili ha desarrollado un entorno innovador basado en la tecnología de la cadena de bloques (blockchain) que permite a los usuarios controlar en todo momento qué pasa con sus datos personales y para qué se utilizan.
La aceptación de las galletas otorga un permiso para que se comparta información sensible, y eso pone en peligro la privacidad de los usuarios, que no tienen la certeza de cómo será utilizada ni con qué objetivos. Para mitigar estos riesgos, la Unión Europea propuso el Reglamento general de protección de datos (RGPD), con el que los proveedores de servicios obtienen un consentimiento explícito por parte de las personas interesadas para recopilar y procesar sus datos personales.
La respuesta de muchos proveedores a la red a este requerimiento ha sido presentar un formulario a los usuarios cuando acceden a un servicio: el de aceptación de las galletas. Pero la ley no define cómo estos proveedores deben demostrar de forma transparente que ya tienen estos consentimientos y, por otro lado, la mayoría de usuarios desconocen qué derechos tienen sobre sus datos personales ni disponen de métodos eficientes para estar al acecho del que terceras personas hacen con sus datos.
El estudio liderado por la upF ha consistido en crear una plataforma de gestión de datos personales basado en la tecnología de la cadena de bloques (blockchain) . Permite generar contratos inteligentes(smart contracts) que, una vez generados, quedan de por vida publicados en la cadena de bloques sin posibilidad de que nadie trampee, bien modificando los términos acordados o bien negando tener relación con ese contrato.
Para poder utilizar este contrato inteligente, el usuario debe instalarse un programa en el navegador que intercepta la petición del consentimiento y responde en función de sus preferencias. “Esta pequeña acción permite una navegación más ágil y segura, y cumple con los principales requisitos de la ley de protección de datos que exige Europa”, afirma Jordi Castellà, investigador del Departamento de Ingeniería Informática y Matemáticas de la upfta, que ha participado en la investigación.
Además, todos los consentimientos aceptados se pueden controlar y gestionar desde una aplicación móvil para hacer seguimiento de quién los tiene, cuando se han otorgado, para qué se están usando y modificar los detalles de los consentimientos en cualquier momento.
En cuanto a los proveedores de servicios en la red, este entorno les permite demostrar que han obtenido el consentimiento de los usuarios en caso de que se haga una auditoría. El acceso a la información se realiza mediante un sistema de control de acceso seguro.
Esta investigación propone una gestión más transparente y segura de los datos personales y otorga al usuario más y mejor control sobre su información.