El blockchain va cobrando cada vez más relevancia en el mundo digital, especialmente dentro de las criptomonedas y en el desarrollo del metaverso, además de ser esencial para el uso de los smart contracts. Pero ¿qué impacto tiene el uso del blockchain en la protección de datos? ¿Cumple el RGPD el blockchain? ¿Qué desafíos plantea el blockchain para la protección de datos?
En este artículo hablamos de:
Relación Blockchain y normativa de protección de datos
Lo cierto es que a nivel regulatorio, no existe una relación entre el blockchain y la normativa de protección de datos, ya que ni el Reglamento General de Protección de Datos (RGPD) ni la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) lo mencionan ni lo regulan.
Sin embargo, puesto que en el empleo del blockchain se tratan datos personales, en el sentido de que se usan identificadores únicos que pueden conducir a la identificación de las personas, si se cruzan estos datos, sí que es de aplicación al blockchain la protección de datos, algo que, cómo veremos más adelante, plantea una serie de problemas por la propia naturaleza de esta tecnología y la forma en la que registra y almacena la información en la cadena de bloques.
Debemos recordar que el blockchain es una base de datos distribuida (compuesta de diferentes nodos y en la que no hay intervención humana) que permite registrar transacciones de información, que son validadas por todos los nodos de la cadena. Este sistema se basa en las redes entre pares (P2P) y el cifrado de información para garantizar la transparencia y la privacidad de las transacciones.
Es decir, que al llevar a cabo una transacción mediante blockchain, se genera un nodo o bloque de datos, que se conecta a un nodo anterior y a otro posterior, de manera que cada nodo verifica y valida la transacción, lo que imposibilita la manipulación de la información y garantiza su inmutabilidad, es decir, que no se puede modificar ni eliminar.
¿Cumple el blockchain el RGPD?
A la hora de hablar de blockchain y protección de datos, es inevitable preguntarse si cumple el blockchain el RGPD y la LOPDGDD. Y lo cierto es que, por el momento, la respuesta es que el blockchain, si bien cumple con algunas de las obligaciones y requisitos establecidos en la normativa de protección de datos, con otros choca frontalmente, planteando desafíos legales que a los que será necesario buscar una solución técnica, si se quiere poder usar el blockchain dentro de las condiciones que recoge la normativa de protección de datos.
En lo que respecta al cumplimiento y la privacidad de los datos, el blockchain permite asegurar la privacidad de transacciones y usuarios, puesto que una de sus principales características es el uso de seudónimos y el cifrado de la información que viaja y se registra en cada nodo de la cadena. Es decir, en el blockchain no se registran nombres ni otros datos personales (con la excepción de la IP, de lo que hablaremos más adelante) y se emplean técnicas de cifrado avanzadas para que solo el emisor y el receptor de la información tengan acceso a ella.
En otras palabras, si un tercero intentara acceder la información registrada en uno de los nodos de la cadena, no podría «leerla».
En ese sentido, cualquier transacción realizada en blockchain cumpliría con el principio de privacidad desde el diseño.
El blockchain también tiene la capacidad de dar un mayor control de los datos a los titulares de los mismos, permitiéndoles determinar quién puede acceder a sus datos personales y con qué finalidad usarlos.
Sin embargo, pese a las ventajas que para la privacidad parece aportar el blockchain, cómo decíamos, plantea una serie de problemas de cumplimiento respecto al RGPD y la LOPDGDD que es necesario conocer y tener presentes, si está considerando utilizar el blockchain dentro de la empresa.
Blockchain y RGPD ¿qué problemas plantea?
La descentralización y la inmutabilidad del blockchain son los principales focos de conflicto con la protección de datos y crean los siguientes problemas en el uso de blockchain y la protección de datos:
– Se registra la dirección IP:
Pese a que a priori parece que el blockchain no registra datos de carácter personal, esto no es del todo cierto, puesto que cada vez que se accede a la cadena para efectuar una transacción, quedan registradas las entradas y salidas, es decir, se registra la dirección IP del usuario cada vez que realiza una transacción.
De acuerdo a la AEPD y al Tribunal Supremo, la dirección IP es un dato personal, ya que permite identificar a la persona a la que pertenece dicha dirección (es cierto que no es algo que se pueda hacer de manera sencilla, pero la posibilidad está ahí).
Esto solo ya implica la aplicación del RGPD y la LOPDGDD en el uso del blockchain, lo que nos lleva a los siguientes problemas.
– Identificación del responsable del tratamiento:
Como sabéis, la normativa de protección nos dice que debe haber un responsable del tratamiento, encargado de cumplir con las obligaciones de la misma y ante quien los interesados (los usuarios) pueden ejercer sus derechos.
Dado que el blockchain es una base de datos descentralizada, no hay realmente un responsable del tratamiento al que acudir ni que se responsabilice de informar los usuarios del tratamiento de sus datos, de quién los está tratando ni con qué finalidad. Así mismo, tampoco es posible ejercer ninguno de los derechos sobre los datos personales que tenemos los usuarios (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición).
– No se puede fijar un plazo de supresión de los datos:
El RGPD establece que los datos personales solo pueden tratarse por un plazo de tiempo limitado, que será el mínimo necesario para cumplir con la finalidad propuesta. El conflicto entre el blockchain y RGPD surge porque una vez registrados en los nodos de la cadena, los datos, como decíamos, son inmutables e irreversibles. Es decir, que no se pueden borrar.
Esto plantea un problema claro, y es que no se puede fijar un plazo de conservación de los datos ni eliminarlos una vez terminado. Además, quién fija ese plazo es el responsable del tratamiento, que, como ya hemos visto, no existe en el blockchain.
– Dificultad para atender el derecho de supresión y la limitación del tratamiento:
En línea con lo anterior, y debido a esa imposibilidad de borrar o alterar la información registrada en los nodos de la cadena, resulta imposible que ningún usuario pueda ejercer su derecho de supresión (o derecho al olvido) y/o su derecho de limitación del tratamiento en las circunstancias y casos que establece el RGPD.
Así mismo, la inexistencia de un responsable del tratamiento, también dificulta este ejercicio de derechos, porque ¿ante quién presentaríamos la solicitud de estos derechos?
La inmutabilidad de los datos, que garantiza la seguridad de las transacciones en el blockchain, hace imposible que se puedan suprimir o limitar los datos. La única forma de hacerlo, sería que todos los participantes de la cadena se pusieran de acuerdo para llevar a cabo la supresión o limitación de los datos en sus copias de la base de datos (sus nodos), algo prácticamente imposible desde un nivel organizacional. Pero, además, habría otro problema técnico, y es que modificar la información cifrada en los nodos sería muy complejo.
– Los smart contract y las decisiones automatizadas:
Finalmente, el último problema del blockchain frente al RGPD está relacionado con los smart contracts, ya que estos se basan en la cadena de bloques para la ejecución de los términos del contrato cuando las condiciones acordadas entre las partes se cumplan.
El problema de los smart contracts y la protección de datos está en la aplicación del artículo 22 del RGPD, que regula el uso de las decisiones automatizadas con impacto jurídico en los interesados.
Debemos tener en cuenta que los smart contracts se basan, precisamente, en decisiones automatizadas, si dichos contratos implican el uso de datos personales que pudieran afectar de forma significativa al interesado, sería necesario que estos cumpliesen con los requisitos que establece el citado artículo 22, es decir, el interesado debe tener derecho a obtener intervención humana por parte del responsable del tratamiento, a expresar su punto de vista y a impugnar su decisión.
En el momento en que es necesario cumplir esas obligaciones, las ventajas que aporta el uso de un smart contract pueden perderse (puesto que su finalidad es automatizar ciertos procesos).
Así mismo, a estas medidas de seguridad, ante el eventual uso de smart contracts hay que sumar el resto de obligaciones que establece el RGPD (medidas de seguridad que garanticen la privacidad desde el diseño y por defecto, realizar evaluaciones de impacto o la información a los usuarios sobre las decisiones automatizadas, etc.).
En definitiva, si bien el blockchain tiene múltiples usos y es muy posible que se vaya expandiendo con el desarrollo del metaverso, lo cierto es que en lo que a protección de datos se refiere, tiene una serie de problemas importantes, que chocan con la aplicación del RGPD.
Por ello, antes de recurrir al uso de esta tecnología, es recomendable consultar con un especialista en protección de datos, para asegurarnos de que no estamos infringiendo la normativa de protección de datos.