Working for legal solutions

Source Europa.eu

La inevitable colisión entre el GDPR y la tecnología Blockchain

Oímos recientemente hablar mucho de la nueva normativa europea de protección de datos (RGPD) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), sus siglas en inglés DPGR. Ahora bien, la pregunta es ¿Qué elementos deben tenerse en cuenta en el tratamiento de datos personales, cuando enlazamos con el uso de la tecnología Blockchain?

Uno de los puntos clave del Reglamento es la posibilidad que tienen ahora los residentes en un Estado miembro de ejercitar los conocidos derechos de Acceso, Rectificación, Borrado (también conocido como derecho de supresión o cancelación) y, más recientemente con la sentencia caso Costeja del Tribunal de Justicia Europeo, el denominado derecho al olvido + la nueva exigencia europea en la limitación del tratamiento, transparencia y portabildad, que van a determinar una obligación de los responsables del tratamiento, o los delegados de los mismos, a rectificar o eliminar aquellos datos personales, bajo un número variado de circunstancias. Pero, existe una colisión muy relavante con los posibles usos de la llamada tecnología blockchain, a nivel jurídico, en materia de protección de datos.

Aquellos que hayan oído hablar de la blockchain, sabrán que tratamos con el núcleo que sustenta a las llamadas criptomonedas, que vio su nacimiento allá por el año 2008,  cuando se nos presentaron de forma casi milagrosa, por aquel ente inmaterial, Satoshi Nakamoto, los White Paper de bitcoin. Desde entonces el uso de esa tecnología no ha hecho más que crecer, dando origen a una diversidad de figuras, aplicaciones, registros e incluso, a nuevos sistemas de gestión de identidad.

Pero existe un gran problema del que nadie habla, la incompatibilidad de su uso con el vigente RGPD.

Una de las caraterísticas clave de la tecnología blockchain es que, además de funcionar a través de una red descentralizada de nodos, donde cada dispositivo conectado a la red actuaría como tal, aquella trabaja con un registro compartido, que no para de crecer, en el cual se comparte y registra información sobre operaciones o fragmentos de cualquier otro tipo de datos, que en la práctica es inmutable y actúa en la actualidad como uno de los pilares que sutentan el raciocinio y uso de este tipo de tecnología.

Para los proyectos en base a blockchain que necesiten almacenar datos personales, estos dos hechos no compatibilizan en absoluto, más aun si ponemos en perspectiva el régimen sancionador previsto por el RGPD, con multas de hasta 20€ millones o el 4% del beneficio global.

Aquí es donde su uso va a acarrear serios problemas y haga que probablemente, en su desarrollo y ejecución, esos proyectos no compatibilicen o puedan respetar lo determinado por el RGPD.

Teóricamente hablamos de una red distribuida, la blockchain, con una naturaleza inmutable que colisiona directamente con el RGPD que determina que, como particulares, debemos ser capaces de eliminar cualquier rastro de nuestros datos personales, salvo, por supuesto las excepciones al tratamiento sin consentimiento expreso del particular ennumeradas en la vigente legislación. No obstante, recientemente parece haberse descubierto formas alternativas de eliminar información una vez ha sido grabada en la cadena de bloques a través de un procedimiento de «hasheo» del contenido de un bloque, en donde además debe crearse una llave pública y otra privada (public/private keypair) y en el momento de creación del siguiente bloque en nuestra cadena, repitiendo el mismo proceso de «hasheo» de la información, facultando al creador del nuevo bloque para borrar o modificar el contenido dentro del mismo.

De ser así, encontraríamos una solución idónea para el eliminado de esos datos personales ya grabados en la cadena de bloques. Lamentablemente hablamos de una vía aun no probada, que además, pondría en peligro la sustentabilidad de toda la llamada tecnología blockchain, al romper ese principio de inmutabilidad de la información grabada en ella.

Fuera de esta alternativa solución, es técnicamente posible reescribir la información una vez ha pasado a formar parte de nuestra cadena de bloques; aquí es muy importante diferenciar entre dos tipos diferentes de cadenas:

blockchain Privada o blockchain Permitida, que va a estar sometida al control de un grupo muy limitado (por ejemplo, la cadena de bloques de Ripple que fue diseñada agilizar pagos entre proveedores de servicios financieros) en contraposición con las blockchain públicas, que en realidad no estan bajo el control de ningún agente, como es el caso de las redes de Bitcoin o Ethereum.

Una vez se ha definido la naturaleza de nuestra red, de nuestra blockchain, debemos aceptar entonces, la posibilidad de realizar una reescritura de la información contenida en la cadena de bloques, pero que sólo va a ser posible a traves de un llamado «fork», que es básicamente un consenso de la mayoría de los nodos para crear una nueva versión de esa blockchain que incluya los cambios, y después de continuar usando esa versión en vez de la original. Esto sería relativamente fácil si tratamos una cadena de bloques privada, pero al hablar de una cadena pública nos plantamos ante un extremadamente raro evento.

Desde un punto de vista de la blockchain, el RGPD no estaría actualizado ya que parece que se hace muy complicado que la regulación pueda ir a la par con el desarrollo tecnológico. Pero este punto de vista es tremendamente complicado de sustentar ya que nos encontramos ante un Reglamento de protección de datos que acaba de ser publicado y aplicado, y como bien sabemos, la regulación europea tiende a estar vigente durante periodos largos de tiempo, antes de que una posible revisión siquiera se plantee. La anterior directiva de protección de datos que tocaba esta materia, predecesora del RGPD, es una norma de 1995.

Uno de los puntos más interesantes en relación al RGPD y la tecnología blockchain, es que la normativa parece haber sido pensada para servicios de almacenamiento de información en la nube. Pongamos como ejemplo que, una pequeña empresa que para el ejercicio de su actividad necesita recoger datos privados y almacenarlos en algún servicio online del tipo «cloud» o nube, que a la vez va a prestar los servicios de hosting de la web a través de la cual nuestra pequeña empresa recoge efectivamente esos datos de los clientes. Existiría un contrato de hosting que vincularía a esta empresa y a la proveedora de hosting, en base al cual se transmitiría la responsabilidad en relación a las obligaciones de privacidad que inicialmente tenía nuestra pequeña empresa.

Este esquema podría funcionar si hablamos de casos en los que existe solo un proveedor, pero se complica infinitamente cuando operamos en una red descentralizada, como puede ser la blockchain, en donde es imposible formalizar ese contrato con todos los nodos de una red de Ethereum o Bitcoin.

Podríamos pensar entonces en quien sería el responsable en la adecuación del tratamiento de datos personales en una cadena de bloques privada. En este caso la respuesta sería más sencilla y podríamos encuadrar como tal a auqella organización que estuviese desplegándola, pero la ecuación se complica cuando intentamos determinar quien sería ese responsable si la información es grabada en una blockchain pública o descentralizada; en este caso, una de las posibles soluciones sería nombrar como tal, a cualquier usuario que pusiese a disposición pública datos personales y sería responsable de asegurar que se cumpliese la adecuación al RGPD.

Pero no todo es pánico en relación a esta adecuación a la normativa. Una de las soluciones que se barajan para hacer frente a este problema sería crear un sistema de «lista negra» en donde ciertos datos verían una especie de bloqueo al intentar ser consultados, incluso si no hubiesen sido borrados de la cadena de bloques, no podrían ser consultados efectivamente.

Personalmente,pienso que la solución más razonable es «hashear»

esos datos personales que quisiesen grabarse en la blockchain, en vez de incluír los propios datos en la misma. Mediante esta operación de hasheo lo que se hace es encriptar la información a través de fórmulas matemáticas que, implementadas correctamente, enseñarían el contenido y podrían ser usadas para verificar la información subyacente. Con este sistema de hasheo de los datos personales, sería posible borrar información de la cadena de bloques sin necesidad de alterar la misma. De esta forma podría incluirse esta información en la blockchain y a la vez, asegurar el cumplimiento del RGPD.

Santiago Chamat

@chamatabogados

Actualidad jurídicaBlockchainDPGRRGPD

chamatabogados • 13 septiembre, 2018


Previous Post