Como vimos en la primera parte de este artículo, la tecnología blockchain no es en sí misma incompatible con el RGPD. Afirmar algo así sería como decir que los smartphones son incompatibles con el RGPD o que la propia internet lo es. Blockchain es tan solo una tecnología disponible de la que se pueden hacer distintos usos. Son estos usos los que podrían ser contrarios al RGPD. A continuación, examinamos algunas de las dificultades que existen hoy en día para el uso de la tecnología blockchain, asegurando el respeto al RGPD.
“Tensiones” con el RGPD y algunas soluciones
No obstante, el uso de la tecnología blockchain presenta importantes retos para los actores que decidan ponerla en práctica, ya que existen cuestiones aún por clarificar en relación a su uso. A continuación citamos algunas de las tensiones y soluciones que aparecen recogidas en el informe del observatorio de la UE para blockchain:
- Dificultad o imposibilidad de identificar al responsable: Esta dificultad es más acusada dependiendo del tipo de red.
a) Redes públicas: En una red pública como la Bitcoin, resulta extremadamente difícil, si no imposible, determinar quién es el responsable del tratamiento de los datos, ya que la red se encuentra completamente distribuida, y no hay un actor claro que la ordene o tome decisiones sobre ella.
b) Redes privadas: En una red privada resultaría más sencillo de definir el responsable o el conjunto de responsables del tratamiento. Podríamos entender que, si la red se comparte entre diversas entidades, podrían considerarse corresponsables del tratamiento de los datos.
Solución: Pese a que no existe una fácil solución, el informe aboga por considerar responsables del tratamiento a las entidades que incluyan datos personales en una red pública. En redes privadas, aboga por que las partes que compongan la red privada delimiten su posición respecto del tratamiento, sugiriendo el modelo de corresponsabilidad.
- Dificultad para determinar la base legitimadora:
a) Redes públicas: En este tipo de redes, el único requisito para introducir datos en la blockchain es descargar un software cliente. Junto con la dificultad o imposibilidad de determinar el responsable del tratamiento, se encontraría la dificultad de determinar la base legitimadora para el tratamiento de los datos. Por ejemplo, ¿a quién debería el usuario dar su consentimiento? ¿Quién sería el encargado de solicitarlo, informarle y guardarlo?. ¿Y si entendemos que por el mero hecho de usar la tecnología se está dando un consentimiento? El RGPD estipula que el consentimiento debe ser específico, expresado mediante una clara acción afirmativa. Por otro lado, podríamos entender que, por el hecho de utilizar la tecnología podríamos ampararlo en la necesidad para la ejecución de un contrato, sin embargo, estaríamos ante un contrato sin una contraparte y sin unos términos y condiciones claros.
b) Redes privadas: En redes privadas el problema se podría solventar mediante la firma de un contrato entre las partes, de tal forma que se identifica a todas y existen unos términos y condiciones ciertos para el uso de dicha red.
Solución: Evitar el uso de una blockchain pública para almacenar datos personales y únicamente introducir datos personales en una red privada si es estrictamente necesario. Todo ello hasta que existan tecnologías de cifrado que permitan guardar tan solo las pruebas de la existencia de determinados documentos o hechos, sin introducir los propios datos.
- Dificultad para cumplir con los derechos de rectificación y supresión: Por la inmutabilidad de la propia blockchain, independientemente del modelo de red, nos encontramos ante una dificultad difícil de superar. Y es que la blockchain no está diseñada para ser alterada, puesto que en eso reside la confianza que los usuarios depositan en la misma.
Solución: Nuevamente, evitar la introducción de datos personales en una blockchain. Aunque cabe destacar que en el informe que publicó la agencia de protección de datos francesa (CNIL) se hablaba de que el RGPD no especifica lo que debe entenderse por supresión de los datos, dejando abierta la posibilidad de emplear determinadas técnicas de encriptación, junto con la destrucción de claves de descifrado de la información (lo que conllevaría que nadie pudiera acceder a los datos) pudiera considerarse como una forma de supresión. No obstante, todavía se está trabajando en fórmulas para garantizar la rectificación de los datos.
- Dificultad para ejercer el derecho de acceso: El derecho de acceso se define como el derecho a obtener del responsable del tratamiento una confirmación acerca de si está tratando datos de un afectado, en su caso, concretar qué datos, para qué finalidades, s se comunican a terceros, etc. Precisamente la dificultad de determinar un responsable hace que difícilmente se pueda llevar a la práctica este derecho.
Solución: En este caso la solución pasa por determinar un responsable encargado de informar al usuario.
- Decisiones automatizadas basadas en el tratamiento automatizado de los datos: Otro de los derechos que recoge el RGPD indica que los interesados tienen derecho a no ser objeto de decisiones automatizadas basadas únicamente en el tratamiento automatizado que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Así los interesados tendrían derecho a la intervención de un humano para verificar dicha decisión automatizada. Aunque minoritario todavía, la blockchain se utiliza también para la elaboración de “smart contracts”, contratos que se programan en la propia blockchain para que se ejecuten de forma automática cuando se dan una serie de circunstancias.
- Territorialidad: Por la propia naturaleza descentralizada, puede ser muy difícil de controlar que la información que se introduce en una blockchain pública no se aloje en territorios que no ofrezcan un nivel de protección equivalente a la Unión Europea.
Solución: El empleo de una red privada, cuyos servidores se encuentren ubicados en territorios que garanticen un adecuado nivel de protección.
Conclusiones
La tecnología blockchain es, sin duda, una herramienta muy poderosa que ya está contribuyendo con cambios en algunos modelos de negocio. No obstante, su verdadero potencial está aún por explotar. Son evidentes las tensiones que se producen entre el empleo de esta tecnología y la adecuada aplicación del RGPD para las que, por ahora, no existe una solución. Mientras el legislador, agencias de control y el Comité Europeo de Protección de Datos se pronuncian respecto a determinados aspectos sobre el uso de esta tecnología en relación con el RGPD, las empresas que decidan hacer uso de la misma, deberán actuar con suma cautela, evitando siempre incluir datos personales en la blockchain.
Víctor Méndez
Legal Department
Áudea Seguridad de la Información