Blockchain y la protección de los datos personales

Actualizado: 03/07/2019 19:44 horas

Blockchain está de moda. Puede ser una tecnología que revolucione las transacciones y la forma de operar en Internet, pero, ¿qué tal se lleva con el nuevo marco de regulación de la privacidad establecido en el Reglamento General Europeo de Protección de Datos (RGPD)? 

En la actualidad, existe un gran debate sobre las posibles incompatibilidades entre lo dispuesto en el RGPD y el uso de la tecnología Blockchain. Entre las distintas cuestiones que plantean controversia, analizamos a continuación algunas de ellas, así como la eventual solución que podría adoptarse.

La primera es la identificación de los actores intervinientes en el tratamiento de datos personales y su posición jurídica, con el fin de poder atribuir a cada uno de ellos las obligaciones y responsabilidades y/o derechos, establecidos en el RGPD. Este objetivo colisiona, en principio, con la esencia de la tecnología Blockchain, en la que cada uno de los actores de la red (propietarios de la red, desarrolladores de la tecnología, nodos participantes en la red o los propios interesados) se sitúa en un plano de igualdad en la transacción. lo que les permite tener acceso a los datos personales. De esta manera se genera la dificultad de determinar la condición de responsable y encargado de tratamiento entre los mismos. 

Esta cuestión no es pacífica, siendo uno de los últimos debates entre las principales autoridades de protección de datos y grupos de trabajo especializados en el territorio europeo, que recomiendan la definición de los actores caso por caso. Entre ellos está la CNIL (autoridad de protección de datos francesa), que se ha pronunciado respecto de los supuestos en los que considera que el actor ostenta la condición de responsable, de corresponsable o de encargado de tratamiento en Blockchain.

Frente a esta dificultad, resultará más fácil operar en una red Blockchain privada. Por sus características, facilita el cumplimiento de la normativa al decidir los propietarios de la red (consorcios, empresas, entidades gubernamentales, etc.), quién puede participar, así como el flujo de datos que se produce y las condiciones del tratamiento (lectura, escritura, acceso, etc.) y, por tanto, a priori identificar el rol en protección de datos que jugaría cada uno.

Otra cuestión que genera controversia es la del ejercicio de derechos. Merecen especial atención los derechos de rectificación y el derecho a la supresión, al ser los que plantean mayores dudas en cuanto a la posibilidad de ser ejercitados cuando aplicamosBlockchain, ya que se opera dentro de una red que es, en principio, por naturaleza inmutable.

Para que una empresa pueda dar respuesta a una solicitud del derecho de supresión, lo que se plantea es la posibilidad de aplicar procesos de anonimización irreversibles, de modo que el dato sea tan inaccesible que pudiera equivaler a la supresión del mismo. Por ejemplo, la eliminación de la clave secreta del hash– un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija- haría que no se pudieran conocer los datos que había dentro del hash.

Además, en relación con la rectificación, dada la inmutabilidad de los bloques, la atención del derecho ejercitado comportará la introducción de un nuevo registro que modifique el anterior. En este sentido, el último registro que incluye los datos más actualizados anularía la información del anterior, siendo el último el válido.

Conviene detenerse también en analizar cómo conviven los tratamientos que comporten la toma de decisiones automatizadas con efectos jurídicos junto con el RGPD. El uso de smart contracts -que, en el marco de su funcionamiento, implican la automatización de decisiones- debe permitir que el interesado solicite la intervención humana cuando dicha decisión automatizada produzca efectos jurídicos para los interesados, es decir, poder impugnar la decisión automatizada derivada del contrato. 

Lo anterior es contrario a la esencia sobre la que descansa la elaboración de los smart contracts, que es precisamente la automatización de la ejecución de los mismos, sin la intervención humana que garantiza RGPD.

Aunque los smart contracts, tal y como están configurados en la actualidad, chocarían con el art. 22 del RGPD, la versatilidad de Blockchain permitirá que dichos contratos inteligentes puedan ser configurados y adaptados, de modo que den cumplimiento a la exigencia de la intervención humana.

Al margen de las cuestiones indicadas, la posibilidad de que participen multitud de actores en diferentes lugares del mundo en un sistema basado en Blockchain podría suponer la existencia de transferencias internacionales de datos que, en su caso, sería necesario regular. 

En todo caso, la utilización per se de Blockchain no supone un incumplimiento de la normativa de protección de datos. Sin embargo, el modo en el que se configure y utilice la tecnología si podría dar lugar a incumplimientos. De esta forma, resulta imprescindible que se lleve a cabo un análisis del impacto en la privacidad desde el inicio, contemplando la base que legitima el tratamiento, la posición jurídica que ocupa cada uno de los actores intervinientes en la cadena de distribución y los efectos jurídicos que puede comportar la existencia de toma de decisiones automatizadas.

Assumpta Zorraquino, socia de Regulación Digital de PwC Tax & Legal Services.

Alejandra Matas, directora de Regulación Digital de PwC Tax & Legal Services.

Source: Expansion

Judith Chao Andrade

Apasionada del conocimiento, de compartirlo y de aprender de todo lo que me rodea, disfruto aprendiendo y realizando actividades. Actualmente estoy aprendiendo programación pero me fascinan los temas relacionados con los materiales especiales, las cuiriosidades, el humor, los eventos, las redes sociales ... Mi mayor interés podría decir que es no perder nunca la cuiriosidad por lo que si tienes un plan en mente solo proponlo !.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *