¿SON INCOMPATIBLES RGPD Y BLOCKCHAIN?
Desde Grupo Adaptalia analizamos el binomio RGPD y Blockchain. Las peculiaridades del Bockchain tienen consecuencias sobre el tratamiento de datos personales y el derecho a la intimidad.
1. ¿Qué es Blockchain?
Blockchain es una base de datos compartida en la que se almacenan y distribuyen datos a un gran número de ordenadores y en la que todas las entradas, denominadas “transacciones”, son visibles para todos los usuarios. Una de sus características es la inmutabilidad de las operaciones, lo cual dota al sistema de una increíble seguridad jurídica.
Aunque se ha hecho mundialmente conocida por su aplicación directa en la base de la criptomoneda virtual “bitcoin”, la tecnología Blockchain puede utilizarse en una multitud de ámbitos: dar fe de compraventas, agilizar pagos y remesas, almacenamiento distribuido en cloud, smartcontracts, etc.
2. ¿Cuáles son las características y los diferentes tipos de Blockchain?
La tecnología blockchain se caracteriza por ostentar las siguientes propiedades:
- Transparencia: todos los participantes pueden ver todos los datos registrados;
- Distribución y descentralización: varias copias de la “cadena de bloques” coexisten en los diferentes ordenadores de los operadores;
- Irreversibilidad: una vez que los datos se han registrado, no pueden ser alterados o eliminados;
- Desintermediación: todas las decisiones se toman por consenso entre los participantes, sin un árbitro central.
En la práctica, existen varios tipos de Blockchain, que utilizan diferentes niveles de autorización, en función de las diferentes categorías de participantes.
- Blockchain “públicas”: son accesibles para todos, en cualquier parte del mundo. Cualquiera puede registrar una transacción, participar en la validación de los bloques o acceder a una copia de los mismos.
- Blockchain “privadas”: están controladas por un actor único que es el único que supervisa la participación y la validación. Según algunos expertos, esta categoría no respeta las propiedades tradicionales del Blockchain, como la descentralización y la validación compartida. En cualquier caso, no plantean problemas específicos en relación con su cumplimiento del RGPD. Son simplemente bases de datos distribuidas “tradicionales”.
- Blockchain “Híbridas”: tienen reglas que establecen quién puede participar en el proceso de validación o incluso registrar transacciones. Pueden, según los casos, ser accesibles para todos o estar restringidas.
3. ¿Qué tiene que ver el RGPD y Blockchain?
Cuando una cadena de bloques contenga datos personales, se deberá aplicar el RGPD. Sin embargo, las características específicas de Blockchain pueden tener consecuencias sobre la forma en que se almacenan y tratan los datos personales.
Por ejemplo, la inalterabilidad que caracteriza a Blockchain puede tener como consecuencia la imposibilidad de ejercitar los derechos de supresión, y derecho al olvido de los interesados.
En consecuencia, el impacto de Blockchain en los derechos individuales (es decir, el derecho a la intimidad y el derecho a la protección de los datos de carácter personal) requerirá, por tanto, un análisis específico.
4. ¿Quién se considera Responsable del tratamiento en Blockchain?
El RGPD, y los principios clásicos de protección de datos, fueron diseñados sobre el concepto de que la gestión de los datos debe estar centralizada en una concreta organización.
A este respecto, el modelo descentralizado que utiliza la tecnología de Blockchain y la multitud de entes que pueden intervenir en el tratamiento de los datos, conducen a una definición más compleja de su función.
Sin embargo, hay ciertos participantes que tienen derecho a escribir en la cadena y que deciden enviar datos para su validación por mineros, y que pueden ser considerados como Responsables del tratamiento. En efecto, estos participantes en la cadena de bloques definen los propósitos (objetivos perseguidos por el tratamiento) y los medios (formato de datos, utilización de tecnología de Blockchain, etc.) del tratamiento.
Para intentar aclarar este tema, la Agencia Francesa de Protección de Datos, CNIL, se ha pronunciado considerando que un participante puede considerarse Responsable del Tratamiento:
- Cuando dicho participante sea una persona física y la operación de tratamiento de datos personales esté vinculada a una actividad profesional o comercial (es decir, cuando la actividad no sea estrictamente personal).
- Cuando dicho participante sea una persona jurídica y registre datos personales en Blockchain.
Por ejemplo, si un notario registra la escritura de propiedad de su cliente en Blockchain, el notario podrá considerarse Responsable del Tratamiento.
5. ¿Qué sucede si varias personas deciden conjuntamente tratar datos en Blockchain y Protección de datos?
Cuando un grupo de personas decida llevar a cabo operaciones de tratamiento con un propósito en común, se debe identificar de antemano al Responsable del tratamiento. Por ejemplo, las distintas personas físicas pueden crear una persona jurídica a los efectos de que éste sea el Responsable. Otra posibilidad, sería identificar a uno de los componentes del grupo, para que tome las decisiones y designar a dicho participante como Responsable del tratamiento.
En caso de que no se nombre un representante, todos los participantes podrían ser considerados Corresponsables, según lo dispuesto en el artículo 26 del RGPD, y por lo tanto deberían determinar, de manera transparente, sus respectivas responsabilidades para asegurar el cumplimiento de la normativa, a través de un contrato de Corresponsabilidad.
6. ¿Hay encargados del tratamiento en Blockchain?
Sí, el ejemplo más claro podría encontrarse en los mineros. Los mineros son usuarios que resuelven problemas informáticos a cambio de una retribución en Bitcoins.
Pues bien, esta figura, también podría ser considerada Encargada del tratamiento. De hecho, siguen las instrucciones de los Responsables del tratamiento al comprobar si la transacción cumple criterios técnicos (como un formato y un tamaño máximo determinado, y que el participante está autorizado, de acuerdo con las reglas de la cadena, para llevar a cabo su transacción).
Por lo tanto, deberán establecer un contrato con el participante que actúe como Responsable del tratamiento, conforme al artículo 28 RGPD.
Otro ejemplo de Encargados del Tratamiento, podrían ser los desarrolladores de contratos inteligentes que tratan datos en nombre del Responsable. Por ejemplo, si un desarrollador de software ofreciera una solución a una compañía de seguros, en forma de un smart contract que permitiera a los pasajeros ser automáticamente reembolsados cuando su vuelo se haya retrasado. Este desarrollador sería un encargado del tratamiento si interviene en el tratamiento de los datos de datos personales, siendo la compañía aseguradora la responsable del tratamiento.
7. ¿Es compatible el ejercicio de derechos RGPD y Blockchain?
El RGPD fue diseñado para devolver a los individuos el control sobre sus datos de carácter personal. De hecho, una de las premisas del nuevo RGPD fue crear nuevos derechos que pudieran reforzar el control de dichos datos. Entre estos derechos, el RGPD impone la obligación de borrar o rectificar datos cuando un interesado lo solicite.
Esta posibilidad de modificar o suprimir datos, es la que puede generar mayores vicisitudes entre el RGPD y Blockchain. El motivo es que hay un choque frontal entre el derecho a la supresión de los datos (incluido el derecho al olvido) y la inalterabilidad e inmutabilidad del dato en Blockchain, puesto que la alteración del dato no es una posibilidad real en la cadena de bloques.
A día de hoy, ya hay organizaciones que están intentando solucionar esta incompatibilidad. Aunque la mayoría de expertos coinciden en que la posibilidad de editar o suprimir datos sería posible únicamente en ciertas Blockchain privadas, las cuales podrían mantener el cifrado de los datos, permitiendo su modificación, pero que necesitarían de la existencia de un “administrador” responsable de las mismas. Lo cual podría contravenir el carácter descentralizado de Blockchain.
Por otro lado, la CNIL al intentar buscar una solución al respecto, ha determinado que a los efectos de minimización de riesgos, se debe buscar un método Criptológico que garantice la confidencialidad de los datos almacenados fuera de Blockchain. Si disponemos de un sistema que garantice la confidencialidad o encriptación de estos datos fuera de la “cadena de bloques” se haría muy difícil e incluso imposible recuperar la información contenida en el hash correspondiente, y por tanto, se podría asegurar el control del interesado sobre el mismo.
Lo cierto es que, a día de hoy, el único dato claro es que aún queda mucho camino por recorrer. Y que antes de valorar la posibilidad de iniciar un negocio que utilice la tecnología Blockchain, se deberá realizar un estudio jurídico exhaustivo previo, a los efectos de comprobar la legitimidad de los tratamientos realizados. En Grupo Adaptalia, como consultora experta en RGPD, Blockchain y ciberseguridad, estaremos encantados de ayudarle y asesorarle de inicio a fin en su nueva aventura tecnológica.