El término Blockchain, o cadena de bloques, hace referencia a una base de datos digitalizada, compartida, sincronizada y distribuida entre los distintos dispositivos de los participantes o nodos que forman parte de la red. Cada bloque de la cadena incluye distintas transacciones que se pueden agregar a la cadena de bloques ya existente mediante funciones criptográficas o hash, de manera que resulta imposible revertir el contenido de cada uno de los bloques, puesto que la transacción en cuestión se encuentra distribuida en cada uno de los nodos y la modificación de la información almacenada supondría la modificación del hash, que es un conjunto alfanumérico único de cada bloque. Cada nuevo bloque, por lo tanto, incorpora la información del anterior, y así sucesivamente.
La naturaleza de la Blockchain, abierta y distribuida, presenta de por si problemas de encaje con las disposiciones establecidas en el RGPD (Reglamento General de Protección de Datos), no obstante, en base al principio de neutralidad de la red, deberán aplicarse las mismas normas que se aplican para el tratamiento de datos en cualquier sistema automatizado por lo que no está exenta del cumplimiento normativo en esta materia.
Mediante el presente, pretendemos poner encima de la mesa las situaciones conflictivas (preguntas y no respuestas) que pueden producirse entre la aplicabilidad del RGPD y el uso de la tecnología Blockchain.
En cuanto al almacenamiento de datos personales incorporados en cada transacción, el uso de técnicas de hasheo supone una garantía de integridad de la transacción, esto es, su imposibilidad de ser modificada. El uso de técnicas hash o criptográficas no supone la anonimización de los datos y por tanto que queden fuera del ámbito de aplicación del RGPD, sino que su uso permite la seudoanonimización, esto es, la información encriptada puede ser desencriptada y, por tanto, verificar el contenido de los datos (personales) que se contienen en la misma al poderse vincular a un sujeto determinado.
En relación a los roles de cada uno de los intervinientes en la Blockchain, debemos determinar primeramente si la cadena de bloques es pública o privada. Es pública cuando el acceso a la misma no está restringido (por ejemplo, la red Bitcoin) y permite sumar participantes que validen las transacciones mediante un sistema de incentivos. La red es privada cuando el acceso a la misma se obtiene mediante invitación o el cumplimiento de una serie de requisitos (por ejemplo, una red creada por una empresa o un consorcio de empresas).
Pues bien, cuando nos encontramos ante redes públicas, los nodos participantes actúan como responsables del tratamiento de los datos que integran la Blockchain puesto que cada uno de ellos puede controlar la información que se contiene en su libro registro (o ledger) mediante el uso de su clave privada de acceso siempre, claro está, que esta actividad tenga una finalidad comercial. No obstante, esta interpretación, que deriva de la CNIL (la autoridad francesa de protección de datos), deja abierta la puerta a considerar a los nodos participantes como encargados del tratamiento puesto que siempre o casi siempre estarán al servicio de un diseñador de software que será quien decida la finalidad y medios de tratamiento de los datos y por tanto será éste el responsable y no los nodos. Además, como hemos indicado, una de las características de la cadena de bloques es su invariabilidad, por lo que los nodos no podrán realizar modificaciones en los datos personales que se contengan en las transacciones y por tanto no podrían ser considerados responsables del tratamiento.
Estos problemas parecen tener un mayor grado de resolución cuando nos encontramos ante redes privadas, puesto que serán las propias partes las que determinen el grado de participación, obligaciones y derechos de cada uno de los intervinientes mediante la redacción de modelos de gobernanza.
Por último, en cuanto al ejercicio de los derechos por parte de los interesados, los titulares de los datos personales, entendemos que es técnicamente imposible que éstos ejerzan su derecho al borrado o modificación de los datos una vez se han insertados en la Blockchain debido, nuevamente, a la invariabilidad de ésta, por lo que habría que introducir mecanismos para garantizar, entre otros, estos derechos de los interesados.
Como vemos, el uso de esta tecnología plantea distintos interrogantes en cuanto a protección de datos se refiere, por lo que cobran más sentido si cabe los principios de privacidad desde el diseño y por defecto. Desde la fase de desarrollo de la tecnología se deberán tener en cuenta las implicaciones jurídicas del proyecto desde un punto de vista de cumplimiento normativo.
La metodología de análisis de riesgo ayudará a detectar las vulnerabilidades del proyecto y las amenazas a las que debe hacer frente y, consiguientemente, establecer las medidas de seguridad adecuadas tendentes a garantizar los derechos fundamentales de las personas intervinientes.
Gerard Espuga
