LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 14:28:44

LegalToday

Por y para profesionales del Derecho

LEGALTECH TOUR: TOUR 2 BLOCKCHAIN

Blockchain y Reglamento Europeo de Protección de Datos: ¿juntos pero no revueltos?

abogada y Directora de Asesoría Jurídica Corporativa de ARAG

A nadie escapa el potencial transformador de la tecnología Blockchain, que permite realizar operaciones sin intermediarios y de forma segura en base a la utilización de sistemas de encriptación asimétrica. De ahí que la Comisión europea, la misma que impulsó el nuevo Reglamento Europeo de Protección de Datos (RGPD), anunciara el pasado 1 de febrero la creación del Observatorio y Foro Blockchain para hacer el seguimiento de la influencia de esta tecnología en el desarrollo de servicios digitales y transacciones de nuevos modelos de negocio en diferentes ámbitos.

escudo protección

La inmutabilidad y la inalterabilidad que caracterizan a la tecnología Blockchain lo convertirían a priori en una herramienta ideal para dar cumplimiento a algunas de las exigencias que impone la inminente aplicación del RGPD en lo que respecta a la seguridad de los datos y a la reducción de vulnerabilidades. Pero al mismo tiempo, son cada vez más las voces que alertan respecto de la incompatibilidad entre Blockchain y algunas de las previsiones del RGPD. Y todo apunta a que, de no prosperar algunas iniciativas que solicitan a las Instituciones Europeas que excepcionen Blockchain de la aplicación del RGPD, a los desarrolladores de esta tecnología se les presenta el difícil, o quizá irresoluble el reto de buscar la manera de superar esa incompatibilidad.

¿Cuáles son los principales puntos de fricción entre Blockchain y RGPD?

Es precisamente el hecho de que la información no pueda editarse ni eliminarse la que plantea los mayores interrogantes desde un punto de vista legal, especialmente para las blockchain públicas.  

El RGPD parte de la premisa de que los datos personales están bajo el control de  responsables claramente identificados y que son estos responsables  y un número limitado de encargados o subencargados de tratamiento igualmente conocidos quienes tratan los datos. Y que unos y otros controlan quién y cuándo accede a los datos, a quién se le transfieren, etc…Esta visión es difícilmente encajable en redes descentralizadas como las de Blockchain, donde los nodos o usuarios que forman la red están dispersos por todo el mundo, sin que exista ningún organismo central de control.

En consonancia con su visión "centralizada", el RGPD reconoce una serie de derechos a los titulares de los datos cuyo ejercicio puede generar la obligación de borrar o rectificar los datos. El ejemplo paradigmático del choque frontal entre la inmutabilidad del dato en Blockchain y la exigencia legal del RGPD es el derecho a la supresión de los datos, que incorpora también el derecho al olvido. Y es que la  alteración o el borrado de los datos no funcionan en estas cadenas de bloques.   

Por otra parte, la definición que el Reglamento hace del dato personal es muy amplia, dando cabida a cualquier información sobre una persona física identificada o identificable. Y el conjunto de Autoridades Europeas de Protección de Datos a través del Grupo de Trabajo del Artículo 29, ya dejó claro su criterio de que el concepto de dato personal incluye a datos encriptados aunque se hayan utilizado algoritmos de hash como los de las cadenas de bloques. (Opinión 5/2014, de 10 de abril sobre técnicas de anonimización)   

Llegados a este punto, surgen ya algunas propuestas para buscar esa compatibilidad, pero ninguna de ellas está exenta de controversia y la mayoría de los expertos coinciden en que únicamente parecen factibles para las cadenas de bloques privadas, pero no para las públicas. Por ejemplo, la del Blockchain editable, que permite modificar los datos registrados manteniendo el cifrado, pero que requiere para su funcionamiento de la intervención de un "administrador" cuya existencia no acaba de avenirse con el carácter descentralizado de Blockchain. Se apunta también la posibilidad de utilizar la red Blockchain únicamente para almacenar la información encriptada correspondiente a cada dato (los "hashes"), pero dejando los datos personales almacenados en otras bases de datos separada gestionada por el responsable del tratamiento. Sus defensores consideran que de este modo se podrían modificar y eliminar los datos personales y garantizar el ejercicio de los derechos, pero sin renunciar totalmente a los beneficios inherentes a la inmutabilidad que caracteriza la tecnología blockchain. Sus detractores inciden en la merma de seguridad y transparencia que implican.

En este contexto va a ser muy interesante seguir de cerca las vicisitudes de ALASTRIA, que se presenta como el primer Consorcio multisectorial promovido por empresas e instituciones para el establecimiento de una infraestructura semipública Blockchain que soporte servicios con eficacia legal en el ámbito español y acorde con la regulación europea.  

Lo que parece fuera de toda duda es que a partir del 25 de mayo es imprescindible una  profunda valoración jurídica previa a la utilización de la tecnología Blockchain en el ámbito de los datos personales para dar cumplimiento a las exigencias del RGPD de privacidad por defecto y desde el diseño.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.