Es noticia
Blockchain y protección de datos, ¿dos mundos compatibles?
  1. Economía
  2. Tribuna
Tribuna EC10

Tribuna

Por

Blockchain y protección de datos, ¿dos mundos compatibles?

Si la información está encriptada y es seudónima, ¿se puede considerar como un dato personal, de forma que la tecnología Blockchain se encuentre en el ámbito subjetivo del reglamento?

Foto: Foto: Reuters.
Foto: Reuters.

La tecnología Blockchain, que se encuentra en pleno auge y desarrollo, ofrece grandes ventajas para crear mercados y registros descentralizados y automatizados, pero tiene implicaciones desde el punto de vista de la privacidad que deben ser analizadas y, por supuesto, resueltas, para que su adopción resulte pacífica.

Blockchain es un sistema distribuido de datos. Es un libro de registro ('ledger', en inglés) difícilmente modificable que contiene en orden cronológico y secuencial la historia completa de todas las transacciones que se han ejecutado en la red. A su vez, en las que usan mecanismos de consenso de prueba de trabajo, cada participante en el mantenimiento de esa red es un nodo, que en realidad viene a ser un ordenador conectado a la red y que utiliza un 'software' para almacenar y distribuir una copia actualizada en tiempo real de la cadena de bloques. Estos nodos se conectan en una red descentralizada, sin un ordenador principal, formada por un conjunto de nodos distribuidos por todo el mundo. Y como puede colegirse fácilmente, son participantes a su vez en el proceso de tratamiento de los datos que se ponen sobre una Blockchain.

Foto: foro-blockain-teoria-practica-empresas-bra

Dado que el diseño, el desarrollo y el lanzamiento al 'mercado' de la Blockchain de bitcoin, así como la de ethereum, fueron liderados por perfiles predominantemente técnicos (desarrolladores, criptógrafos, matemáticos…), creando una tecnología que puede plantear dudas sobre su compatibilidad con la normativa de protección de datos aplicable en ese momento, y con el actual Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (el 'reglamento'). Y hasta cierto punto, parece que no es completamente compatible.

Es cierto que en una cadena de bloques la información puede registrarse bien como texto llano o 'hasheada'. La primera cuestión que se plantea es que si efectivamente la información está encriptada y es supuestamente seudónima, ¿se puede considerar esta información como un dato personal, de forma que la tecnología Blockchain se encuentre en el ámbito subjetivo del reglamento?

Foto: Roberto Fernández Hergueta, director del área digital de Everis. Fotos: Carmen Castellón.
TE PUEDE INTERESAR
"El regulador debe entender el blockchain para que las empresas hagan negocios"
C.O. Fotografía: Carmen Castellón

Para contestar a esta pregunta debemos acudir a la definición que el reglamento hace del dato personal. Esta es muy amplia, pues da cabida a cualquier información sobre una persona física identificada o identificable; es decir, se admite como dato personal aquel dato que pueda conducir a identificar a una persona aunque no esté directamente identificada.

Ante esta amplia definición de dato personal, cabe preguntarse si la clave pública puede considerarse un dato personal (y, por tanto, bajo las estipulaciones del reglamento), ya que es un dato seudonimizado a través de un sistema 'hash', y la respuesta a la que apuntan los académicos más respetados, como Michèle Finck, es que sí, apoyándose entre otros en el Dictamen 5/2014 que emitió el Grupo de Trabajo del Artículo 291.

Esto nos lleva entonces a afrontar nuevos retos, como la calificación jurídica de los nodos mineros, o la gestión de la relación entre estos y la red de bitcoin, o de ethereum, que no está respaldada por ninguna persona jurídica. Resulta difícil, por no decir casi imposible desde el punto de vista práctico, intentar identificar al responsable del tratamiento de todos los datos personales que circulan en una de estas dos cadenas de bloques, ya que los datos están almacenados, como hemos visto en el comienzo de este artículo, en sistemas de información descentralizados donde los nodos o usuarios que forman la red están distribuidos por todo el mundo, sin que exista ningún organismo central de control y sin que tengan que necesariamente identificarse.

Resulta difícil intentar identificar al responsable del tratamiento de todos los datos personales que circulan en una de estas dos cadenas de bloques

No es este el único obstáculo que encuentran las Blockchain públicas y descentralizadas respecto del GDPR. El artículo 5, de conservación de los datos, es otro más: los datos personales solo deben mantenerse durante un periodo no superior al necesario para los fines por los cuales se recogen. El inconveniente es que uno de los pilares de la cadena de bloques es la permanencia e inmutabilidad de los datos.

Pese a lo anterior, lo cierto es que desde organismos como el CNIL o el Observatorio Blockchain de la Comisión Europea, están estudiando y proponiendo soluciones que hagan compatible una regulación necesaria, por garantista, con una tecnología que usan, aunque sean pocos, muchos ciudadanos. La asimilación del borrado de claves a la eliminación del dato, el uso de bases de datos 'offchain' (desconectadas de la cadena de bloques) como repositorio para los datos personales, y el hecho de que en algunos casos el propósito de la recogida del dato es tan dinámico que pone en duda el propio artículo 5, son alternativas que están siendo actualmente discutidas y que evidencian la necesidad patente de poder, y saber, conjugar tecnología y regulación.

1La seudonimización consiste en la sustitución de un atributo (normalmente un atributo único) por otro en un registro. Por consiguiente, sigue existiendo una alta probabilidad de identificar a la persona física de manera indirecta; en otras palabras, el uso exclusivo de la seudonimización no garantiza un conjunto de datos anónimo.

*Marina Foncuberta, abogada, Pinsent Masons.

*Cristina Carrascosa, 'counsel', Pinsent Masons.

La tecnología Blockchain, que se encuentra en pleno auge y desarrollo, ofrece grandes ventajas para crear mercados y registros descentralizados y automatizados, pero tiene implicaciones desde el punto de vista de la privacidad que deben ser analizadas y, por supuesto, resueltas, para que su adopción resulte pacífica.

Tecnología Ley de protección de datos