Conflicto entre la tecnología blockchain y la normativa de protección de datos

El Blockchain es una tecnología entendida como; un medio a través el cual, se puede certificar y validar cualquier tipo de información de una manera descentralizada, confiable, resistente a la manipulación de datos, donde todo queda registrado. Esta tecnología permite almacenar información que jamás se podrá modificar, perder o eliminar. La información está garantizada y mantiene su integridad en todo momento. Cada bloque está matemáticamente vinculado al bloque siguiente, cada vez que se añade uno nuevo a la cadena, esta se vuelve inalterable. Si un bloque fuera modificado, su relación con la cadena se romperá, pero toda la información registrada en los demás será inmutable y perpetua. Cada nodo de la red almacena así una copia exacta de la cadena. Si un atacante quisiera provocar una denegación del servicio, se debería anular todos los nodos en la red, ya que con que uno de los nodos esté operativo, la información estará disponible.

Cada nodo tiene firmas digitales y certificados, para verificar la información y validarla, lo que permite asegurar la autenticidad de dicha información.

Principales características del Blockchain respecto de la legislación en materia de protección de datos de carácter personal

El Blockchain es una tecnología basada en el tratamiento de datos regulada en las disposiciones del Reglamento 2016/679 de 27 de abril de 2016 de RGPD, también está regulado por la LO 3/2018 de 5 de diciembre en materia de protección de datos personales y garantía de los derechos digitales (LOPDGDD). Esta normativa vigente establece que el consentimiento del interesado para la recopilación de datos sensibles o de tipo personal ha de ser expreso. Cada usuario verificará y validará los datos antes de que se agreguen al blockchain, deberá proporcionarse además un historial de las transacciones como prueba del consentimiento. En este aspecto el blockchain no provoca un conflicto con la normativa de protección de datos sino que es la herramienta ideal para cumplir con ella.

En lo que se refiere al diseño las cadenas de bloques se basan en la privacidad usando seudónimos y algoritmos de cifrado para millones de usuarios. Cumpliendo así con la privacidad ya que, de manera previa a cualquier tipo de tratamiento de datos, la implantación de medidas se anticipa a los problemas antes de que ocurran.

El responsable del tratamiento de datos almacenados en Blockchain, según la legislación que lo regula es aquella persona física o jurídica, autoridad pública, servicio y otro organismo que, sólo o conjuntamente con otros, determina los fines y medios del tratamiento de datos. Esto podría entrar en conflicto con la protección de datos, ya que al tratarse de una tecnología descentraliza, no hay una persona, entidad u organismo a cargo de ella, sino que conjuntamente con otros se determinan los fines y medios del tratamiento de datos, ya que se trata de un protocolo y en consecuencia no puede ser considerada una sola persona física o jurídica responsable del tratamiento sino a todo internet, lo que provoca un conflicto con la regulación en materia de protección de datos.

Con respecto al “derecho al olvido”, el interesado tendrá derecho a obtener del responsable del tratamiento de datos, a exigir la eliminación de sus datos personales, a la mayor brevedad posible, el responsable tendrá por tanto la obligación de borrar dichos datos. Como una de las principales características de la cadena de bloques, es que los datos introducidos en dicha cadena, no se pueden ni rectificar, ni borrar una vez ha sido validada la transacción de información, no podría por tanto ejercitarse el derecho al olvido y en consecuencia se estaría vulnerando la normativa de protección de datos.

La legislación vigente también estipula que los datos de carácter personal sólo deberán conservarse durante un periodo que no sea superior al estrictamente necesario y siempre para la finalidad para la que han sido recogidos, sino quedarán indefinidamente en la cadena de bloques, para poder ser revisados y constituir un modo de prueba. Desde este punto de vista tampoco se cumpliría con la limitación del tratamiento y en consecuencia con la legislación vigente en materia de protección.

La tecnología Blockchain, como ya hemos mencionado anteriormente, tiene múltiples utilidades, pero para que sea incluida en el uso diario deberá solventar antes ciertas carencias en materia de protección de datos para cumplir con la legislación.

La CNIL (Commission nationale de l’informatique et des libertés) autoridad francesa de protección de datos personales es la primera autoridad europea de protección de datos personales en pronunciarse sobre la compatibilidad de esta tecnología con la protección de los datos personales, tal y como está regulada en la normativa existente. Tanto la normativa europea de protección de datos como la tecnología blockchain buscan dar más control al individuo sobre el tratamiento de datos personales. Es aquí donde podrían entrar ambas en conflicto; por una parte, la normativa europea, dice que toda organización se rige por un sistema centralizado en el cual el responsable del tratamiento de datos personales, tendrá un control absoluto de los mismos, dentro del marco que definan las normas, por lo que el responsable siempre podrá acceder, modificar o suprimir estos datos. Pero el blockchain parte de la premisa de la descentralización de su gestión, de modo que no hay nadie que pueda tomar decisiones unilaterales sobre los datos que estén registrados en la cadena de bloques.

El Informe de la CNIL dice que podrán ser responsables del tratamiento todos aquellos que introduzcan datos personales en la cadena de bloques, siempre y cuando, quien los introduzca sea una persona física o jurídica y el tratamiento de datos personales esté relacionado con una actividad profesional o comercial

Cuando un grupo de entidades o de personas decidan realizar el tratamiento de datos personales utilizando blockchain podrán ser considerados en su totalidad como corresponsables, a menos que se haya creado la figura de una persona jurídica que represente a todos los participantes y que asuma la responsabilidad del tratamiento. Aquellos que tengan acceso a datos personales para desarrollar Smart contracts o validen transacciones, deberán ser considerados encargados y responsables de tratamiento de datos, por lo que será necesario que cumplan con las obligaciones impuestas en el artículo 28 del RGPD.

La CNIL para mitigar riesgos recomienda, basándose en el artículo 25 del RGPD, que el blockchain se utilice solo en aquellos casos en los que sea necesario. Y que tenga permisos de acceso con garantías adicionales para el tratamiento de datos. Minimizando los datos personales de tal forma que el único dato personal sea la clave pública, que debería durar lo mismo que el periodo de vida de la blockchain. Si fuera necesario registrar más datos personales en la cadena de bloque, se recomienda la implementación de medidas adicionales que aseguren la máxima confidencialidad. La CNIL termina su informe advirtiendo de la necesidad de una regulación más específica de la normativa a nivel europeo para facilitar el tratamiento de datos personales en la blockchain. Y que los derechos de los interesados se cumplan.

Se debería por tanto realizar un previo análisis del impacto y limitar el número de validadores dentro de la cadena, esto ayudaría a implementar las medidas técnicas necesarias para evitar errores de algoritmo y un plan de emergencia, ya que son muchas las dudas abiertas sobre el tratamiento de los datos personales en blockchain, sobre todo en el caso de que estas sean públicas.

Y es que la tecnología Blockchain ofrece una gran ventaja, sobre todo en el mundo financiero y de las transacciones monetarias en internet, pero al tratarse de una tecnología muy reciente, se encuentra en pleno desarrollo y carece de una legislación específica.

Sobre el autor: Marcelino Tamargo es socio director de Espacio Legal.