Blockchain y RGPD

  • Tecnología
  • 7 minutos de lectura

Cuando el misterioso Satoshi Nakamoto lanzó Bitcoin allá por el año 2009, muchos no éramos conscientes de la revolución que ello podría desatar en muchos aspectos. Y es que La criptomoneda Bitcoin (BTC), venía acompañada de un compañero de viaje muy especial, tan especial, que lo guardaba en su corazón: Blockchain.

¿Qué es blockchain?

Podríamos definir blockchain muy a grandes rasgos, como una base de datos. Hay quien lo define como un libro de contabilidad en el que se van añadiendo los distintos asientos contables, uno detrás de otro. Pero pensemos en una base de datos donde almacenamos información.

Esta base de datos es un poco particular. La primera implementación de la tecnología blockchain se hace en 2009 de la mano de bitcoin. Es la primera implementación de una blockchain pública en donde cualquier persona que descargue el software puede participar, y donde la información de esta blockchain no tiene ningún tipo de restricción en cuanto a su acceso (por ejemplo, puede ser consultada con herramientas como el explorador de bloques).

A parte de su publicidad, otra característica que hace única a esta base de datos tan particular es que se encuentra distribuida. Dicha base de datos se encuentra replicada en miles de nodos a lo largo del mundo. Estos nodos son máquinas (ordenadores y servidores) que se encargan de escribir y mantener viva la blockchain, manteniendo sincronizados los datos entre todas ellas.

Así, la primera blockchain es una base de datos que puede ser pública y que se encuentra distribuida. Además de estas características, blockchain guarda un último secreto. Es una base de datos de un solo sentido, es decir, una vez introducida la información en la blockchain, ésta no puede alterarse ni borrarse.

¿Qué tipos de redes de blockchain existen?

Dado que blockchain es una tecnología descentralizada de base de datos, necesitan de una red para funcionar. Esta red de blockchain se encuentra formada por nodos (ordenadores y servidores) que pueden ser de dos tipos:

  1. Nodos de validación: Son los únicos nodos que pueden añadir datos a la blockchain.
  2. Nodos participantes: Son los que guardan una copia sincronizada de los datos de la blockchain.

Según un reciente informe del observatorio de la UE para blockchain, existen tres tipos de redes de blockchain:

  1. Redes públicas y sin permisos, donde cualquiera puede participar como un nodo de validación o como un nodo participante. Los únicos requisitos para participar activamente son instalar el software cliente y bajar una copia de la blockchain. En este tipo de redes, todos los nodos pueden ver los datos almacenados en la blockchain.
  2. Redes públicas y con permisos: en este tipo de redes cualquiera puede participar y ver los datos almacenados en la blockchain, pero solamente algunos actores podrán actuar como nodos de validación y, por tanto, añadir datos a la blockchain.
  3. Redes privadas y con permisos, donde los nodos de validación deben ser autorizados por quienes dispongan de dicha red y donde suele haber normas que definen quién está autorizado a ver los datos de la blockchain.

La tecnología blockchain, ¿cumple con el RGPD?

Dada la propia naturaleza de blockchain, se ha generado la percepción de que es totalmente incompatible con el RGPD. No obstante, toda tecnología es neutra en sí misma. Todo depende del uso que se haga de la misma. Si mediante el uso de una tecnología se incumplen las normas o se genera un daño, no significa que la tecnología en sí sea ilícita, sino que alguien se vale de ella para atentar contra las normas. Con blockchain viene a suceder lo mismo. Se trata de una tecnología muy poderosa que no tiene por qué considerarse incompatible con el RGPD. Efectivamente, existen tensiones evidentes entre los casos de usos de blockchain y el RGPD, como la dificultad de rectificar y suprimir los datos que se han introducido previamente en una blockchain.

La tecnología blockchain no es en sí misma incompatible con el RGPD. Afirmar algo así sería como decir que los smartphones son incompatibles con el RGPD o que la propia internet lo es. Blockchain es tan solo una tecnología disponible de la que se pueden hacer distintos usos. Son estos usos los que podrían ser contrarios al RGPD. A continuación, examinamos algunas de las dificultades que existen hoy en día para el uso de la tecnología blockchain, asegurando el respeto al RGPD.

“Tensiones” con el RGPD y algunas soluciones

No obstante, el uso de la tecnología blockchain presenta importantes retos para los actores que decidan ponerla en práctica, ya que existen cuestiones aún por clarificar en relación a su uso. A continuación citamos algunas de las tensiones y soluciones que aparecen recogidas en el informe del observatorio de la UE para blockchain:

  1. Dificultad o imposibilidad de identificar al responsable: Esta dificultad es más acusada dependiendo del tipo de red.
  2. Redes públicas: En una red pública como la Bitcoin, resulta extremadamente difícil, si no imposible, determinar quién es el responsable del tratamiento de los datos, ya que la red se encuentra completamente distribuida, y no hay un actor claro que la ordene o tome decisiones sobre ella.
  3. Redes privadas: En una red privada resultaría más sencillo de definir el responsable o el conjunto de responsables del tratamiento. Podríamos entender que, si la red se comparte entre diversas entidades, podrían considerarse corresponsables del tratamiento de los datos.

Solución: Pese a que no existe una fácil solución, el informe aboga por considerar responsables del tratamiento a las entidades que incluyan datos personales en una red pública. En redes privadas, aboga por que las partes que compongan la red privada delimiten su posición respecto del tratamiento, sugiriendo el modelo de corresponsabilidad.

Dificultad para determinar la base legitimadora:

Redes públicas: En este tipo de redes, el único requisito para introducir datos en la blockchain es descargar un software cliente. Junto con la dificultad o imposibilidad de determinar el responsable del tratamiento, se encontraría la dificultad de determinar la base legitimadora para el tratamiento de los datos. Por ejemplo, ¿a quién debería el usuario dar su consentimiento? ¿Quién sería el encargado de solicitarlo, informarle y guardarlo?. ¿Y si entendemos que por el mero hecho de usar la tecnología se está dando un consentimiento? El RGPD estipula que el consentimiento debe ser específico, expresado mediante una clara acción afirmativa.

Por otro lado, podríamos entender que, por el hecho de utilizar la tecnología podríamos ampararlo en la necesidad para la ejecución de un contrato, sin embargo, estaríamos ante un contrato sin una contraparte y sin unos términos y condiciones claros.

Redes privadas: En redes privadas el problema se podría solventar mediante la firma de un contrato entre las partes, de tal forma que se identifica a todas y existen unos términos y condiciones ciertos para el uso de dicha red.

Solución: Evitar el uso de una blockchain pública para almacenar datos personales y únicamente introducir datos personales en una red privada si es estrictamente necesario. Todo ello hasta que existan tecnologías de cifrado que permitan guardar tan solo las pruebas de la existencia de determinados documentos o hechos, sin introducir los propios datos.

Dificultad para cumplir con los derechos de rectificación y supresión: Por la inmutabilidad de la propia blockchain, independientemente del modelo de red, nos encontramos ante una dificultad difícil de superar. Y es que la blockchain no está diseñada para ser alterada, puesto que en eso reside la confianza que los usuarios depositan en la misma.

Solución: Nuevamente, evitar la introducción de datos personales en una blockchain. Aunque cabe destacar que en el informe que publicó la agencia de protección de datos francesa (CNIL) se hablaba de que el RGPD no especifica lo que debe entenderse por supresión de los datos, dejando abierta la posibilidad de emplear determinadas técnicas de encriptación, junto con la destrucción de claves de descifrado de la información (lo que conllevaría que nadie pudiera acceder a los datos) pudiera considerarse como una forma de supresión. No obstante, todavía se está trabajando en fórmulas para garantizar la rectificación de los datos.

Dificultad para ejercer el derecho de acceso: El derecho de acceso se define como el derecho a obtener del responsable del tratamiento una confirmación acerca de si está tratando datos de un afectado, en su caso, concretar qué datos, para qué finalidades, s se comunican a terceros, etc. Precisamente la dificultad de determinar un responsable hace que difícilmente se pueda llevar a la práctica este derecho.

Solución: En este caso la solución pasa por determinar un responsable encargado de informar al usuario.

Decisiones automatizadas basadas en el tratamiento automatizado de los datos: Otro de los derechos que recoge el RGPD indica que los interesados tienen derecho a no ser objeto de decisiones automatizadas basadas únicamente en el tratamiento automatizado que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Así los interesados tendrían derecho a la intervención de un humano para verificar dicha decisión automatizada. Aunque minoritario todavía, la blockchain se utiliza también para la elaboración de “smart contracts”, contratos que se programan en la propia blockchain para que se ejecuten de forma automática cuando se dan una serie de circunstancias.

Territorialidad: Por la propia naturaleza descentralizada, puede ser muy difícil de controlar que la información que se introduce en una blockchain pública no se aloje en territorios que no ofrezcan un nivel de protección equivalente a la Unión Europea.

Solución: El empleo de una red privada, cuyos servidores se encuentren ubicados en territorios que garanticen un adecuado nivel de protección.

Conclusiones

La tecnología blockchain es, sin duda, una herramienta muy poderosa que ya está contribuyendo con cambios en algunos modelos de negocio. No obstante, su verdadero potencial está aún por explotar. Son evidentes las tensiones que se producen entre el empleo de esta tecnología y la adecuada aplicación del RGPD para las que, por ahora, no existe una solución. Mientras el legislador, agencias de control y el Comité Europeo de Protección de Datos se pronuncian respecto a determinados aspectos sobre el uso de esta tecnología en relación con el RGPD, las empresas que decidan hacer uso de la misma, deberán actuar con suma cautela, evitando siempre incluir datos personales en la blockchain.

Hazle saber al autor que aprecias su trabajo

1+
Tu opinión vale, comenta aquí

Comentarios

Compártelo con tu mundo

Escrito por:

Cita esta página
Sánchez Elisa. (2019, febrero 19). Blockchain y RGPD. Recuperado de https://www.gestiopolis.com/blockchain-y-rgpd/
Sánchez, Elisa. "Blockchain y RGPD". GestioPolis. 19 febrero 2019. Web. <https://www.gestiopolis.com/blockchain-y-rgpd/>.
Sánchez, Elisa. "Blockchain y RGPD". GestioPolis. febrero 19, 2019. Consultado el 18 de Septiembre de 2019. https://www.gestiopolis.com/blockchain-y-rgpd/.
Sánchez, Elisa. Blockchain y RGPD [en línea]. <https://www.gestiopolis.com/blockchain-y-rgpd/> [Citado el 18 de Septiembre de 2019].
Copiar
Imagen del encabezado cortesía de 160246067@N08 en Flickr