Blockchain vs privacychain: ¿conceptos compatibles?

A nadie escapa el gran impacto que están teniendo tecnologías disruptivas, como el blockchain, en la forma en la que nos relacionamos, cómo han cambiado la forma en que realizamos negocios o su impacto en determinados sectores. De otra parte, tras la plena aplicación del Reglamento General de Protección de Datos, la privacidad ha vuelto a estar en el punto de mira de empresas, administraciones y ciudadanos. Una norma preparada para abordar los grandes retos tecnológicos que viviremos en los próximos años, garantizando el respeto a la privacidad e intimidad de las personas.

Ante estos dos hechos, surge la gran pregunta: ¿hasta qué punto tecnología y privacidad son compatibles, si se puede garantizar el respeto a este derecho de las personas con los avances comentados? Una cuestión que la propia tecnología pone encima de la mesa, haciendo patente que cuestiones como la anonimización cada vez se hacen más difíciles de llevar a cabo.

Y es que, la cantidad ingente de datos e información, su análisis, intervención de terceros, junto a técnicas como en análisis masivo de datos o la necesidad de aportar confianza y seguridad a los mismos, implican que el proceso de reidentificación imposibilita, en muchas ocasiones, que la anonimización sea completa y, por tanto, que dichos tratamientos, se encuentren sujetos a la normativa vigente en materia de protección de datos.

Así las cosas, estas tecnologías y tratamiento de la información en toda su extensión, harían difícil aplicar literalmente lo recogido en el Considerando 26 del Reglamento General de Protección de Datos, “los principios de protección de datos no deben aplicarse a la información anonimizada, es decir, a la información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo”.

Un aspecto que ha recogido la propia Agencia Española de Protección de Datos, al entender que la aplicación del blockchain, “puede contener, por una parte, datos personales que permitan la identificación de emisor y receptor de la transacción mediante claves públicas y, por otra parte, información de carácter personal relativa a terceros incluida en la transacción”.

Sobre esta posible compatibilidad o incompatibilidad entre tecnología y derecho, se pronunció la autoridad francesa de protección de datos (Commission nationale de l’informatique et des libertés). La cuestión parte de una dicotomía en la forma en que la están definidas ambas, los modelos de gestión, la forma en que pueden ser garantizados o atendidos los derechos de las personas sobre sus datos personales. La autoridad francesa intenta dar respuesta, en primer lugar, al encaje dentro de las figuras que establece la normativa europea: responsables, corresponsables o encargados del tratamiento. Así, la CNIL entiende que podrían ser considerados como responsables todos aquellos que participen, traten e incorporen datos dentro de la cadena de bloques cuando quien haga estas operaciones sea una persona física o jurídica y las acciones definidas se encuentren el marco de una actividad profesional.

Adicionalmente, podrían entenderse como corresponsables del tratamiento, aquel grupo de entidades o de personas que decidan realizar el tratamiento de datos utilizando blockchain, a menos que exista una persona jurídica o física que represente a todos los participantes y que asuma la responsabilidad del tratamiento.

Finalmente, podremos encontrarnos también casos en los que aquellos que tengan acceso a datos puedan ser considerados como meros encargados del tratamiento.

En este ámbito, deberán analizarse los roles, capacidades de decisión, entidades o personas que vayan a intervenir, de cara a la asunción de responsabilidad conforme a la normativa vigente en materia de protección de datos y poder definir los flujos de datos personales.

Ahora bien, este no es el único reto en materia de protección de datos. Si bien la autoridad francesa recomienda que el blockchain sea utilizado sólo en caos estrictamente necesarios, se aplique el principio de minimización y garantías en cuanto a la confidencialidad, integridad y seguridad de la información personal, estas medidas dejan otros riesgos que deberán evaluarse.

Un aspecto que ha sido puesto en el centro del debate entre esta tecnología y la privacidad es el cómo se pueden abordar la atención de ejercicios de derechos en este campo: el derecho de acceso y la forma en que se compartidos los datos con los diferentes nodos de la cadena de bloques, pudiendo estar deslocalizados, claramente puede determinar la ausencia de capacidad de control real de la persona sobre sus propios datos, máxime cuando la información se podría encontrar encriptada o fuera necesario la interacción de los diferentes nodos para poder llegar a atender este derecho

Dificultades similares pueden encontrarse en el caso de que el derecho ejercitado fuese el de rectificación, máxime si entendemos que la inmutabilidad, es una de las principales características del blockchain, aportando garantías para que los datos no puedan ser borrados o modificados, como regla general. Cuestiones que afectarían, igualmente al ejercicio de los derechos de supresión y oposición.

No debemos olvidar, en un momento en que las transferencias internacionales de datos se encuentran en el centro del debate europeo tras la anulación del Privacy Shield, la necesidad de avanzar hacia nuevos mecanismos para garantizar el cumplimiento o el status de otros países como el brexit en el caso de Reino Unido, a nadie escapa que la utilización del blockchain conlleva un componente muy elevado de este tipo de flujos de datos, que, en muchos casos pueden ser desconocidos, a priori, para el responsable del tratamiento en el momento de utilizar esta tecnología. Si bien, en ocasiones se ha defendido que el tratamiento se realiza de forma segura por diferentes actores en diferentes bloques, no debemos olvidar, como ocurre en otras tecnologías (como es el uso de biometría) que, en su conjunto, toda es información entraría, en suma, dentro de la definición de datos personales.

El cómo actuar ante una brecha de seguridad, incluso cómo detectarla y gestionarla es otro de los riesgos o retos que deben ser afrontados. En todos estos aspectos, ya contamos con determinados instrumentos jurídicos, tal y como recoge el propio RGPD, que puede facilitar la protección de los datos y el respeto de las exigencias legales, tales como la privacidad desde el diseño, donde profesionales de la privacidad, abogados y técnicos debemos hablar el mismo lenguaje, orientando al bien común y consecución de los objetivos fijados.

Adicionalmente, hasta que podamos contar con una normativa específica sobre estos tratamientos disruptivos, que, sin lugar a duda, han llegado para quedarse, deben utilizarse metodologías ya conocidas como el análisis de riesgos, evaluando los mismos, pudiendo adoptar medidas que puedan, si no eliminarlos, al menos mitigarlos.

A modo de ejemplo, siguiendo las indicaciones de la CNIL, limitando el número de validadores dentro de la cadena, implementando las medidas técnicas, evitando errores de algoritmo y definiendo un plan de emergencia.

En todo caso, antes los nuevos retos en materia de privacidad, debe apostarse por soluciones innovadoras, creativas, respetuosas con el tenor de la norma, avanzando hacia conceptos de nueva generación como el “privacychain”, o como garantizar que, cada uno de los bloques de la cadena cumple con la normativa, garantizando en su conjunto la protección de los datos e intimidad de las personas: todos formamos parte de los retos y todos formamos parte de la solución. Una solución que debe ser abordada desde una óptica jurídica organizativa y de seguridad para ser efectiva.

Sobre el autor: Daniel López Carballo es Socio del Área de IT, Privacidad y Protección de Datos de ECIJA.