El Blockchain es una estructura de datos cronológicos en la que las transacciones se agrupan en grupos o bloques, que luego se registran de manera idéntica en una red de computadoras. Cada bloque contiene información sobre una determinada cantidad de transacciones, metainformación sobre el bloque anterior, así como una respuesta a un problema matemático complejo (mecanismo de consenso) que permite la validación de la información asociada a ese bloque, y evita su borrado o posterior modificación. Por tanto, cuando un número suficiente de usuarios participa en la cadena de bloques, permite la identificación perfecta, irreversible y sincrónica de los contenidos incorporados a la cadena.
El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) entró en vigor el 25 de mayo de 2018, con el objetivo de eliminar los obstáculos a la libre circulación de datos personales entre los Estados miembros de la UE, garantizando al mismo tiempo la protección del derecho fundamental a la protección de datos personales. El GDPR se autodefine como una ley tecnológicamente neutral, lo que significa que pretende definir los objetivos a alcanzar, pero sin imponer ni discriminar a favor del uso de un tipo particular de tecnología. La neutralidad tecnológica busca equilibrar la sostenibilidad del tiempo y la seguridad jurídica.
Sin embargo, el Blockchain puede suponer una amenaza para esta supuesta neutralidad. Teniendo en cuenta las características de los deberes y derechos que establece el GDPR, y las tecnicidades del Blockchain, ya es posible identificar varias tensiones entre ellos, como es la dificultad para identificar al responsable de determinados deberes o la colisión entre la integridad de los datos y el derecho a la rectificación y a la supresión conocido como «derecho al olvido».
¿Quién es el responsable del tratamiento de los datos?
Así pues, una de las primeras cuestiones a considerar es a quién, de entre todos los actores del ecosistema Blockchain (desarrolladores de software, mineros, nodos y usuarios), se le pueden exigir responsabilidades. El GDPR define al responsable del tratamiento como el sujeto que determina los fines y los medios del tratamiento de datos, y al encargado del tratamiento, aquel que lo realiza por cuenta del responsable del tratamiento. Asimismo, la norma también prevé la posibilidad de responsables conjuntos, lo que tiene una gran importancia en el ámbito de Blockchain.
La red blockchain es del tipo peer-to-peer (P2P) ya que está formada por un conjunto de computadoras, los nodos, que se comportan como iguales entre sí. Hay tres niveles básicos en la estructura de la red. El núcleo interno lo constituye la red de comunicaciones: Internet con protocolos TCP/IP. Los nodos se sitúan en el nivel superior inmediato del blockchain, y se comunican a través del protocolo Blockchain, utilizando esa Internet. En este mismo nivel se sitúan los mineros. Encima de estas dos capas operan las dApps, o aplicaciones distribuidas y los Smart contracts.
Según el modo de acceso a los datos, blockchain se puede clasificar en público o abierto y privado. En el blockchain público, no existen limitaciones para leer y verificar los datos, que son visibles para todos, o para concluir transacciones en la cadena. En el privado, tanto el acceso a los datos como el envío de transacciones a la cadena están limitados a determinadas entidades. Según su proceso de validación, blockchain puede clasificarse como sin permiso, en el que no existen limitaciones para procesar transacciones y crear bloques, o permisionadas, en el que el proceso de validación de la transacción se limita a una lista predefinida con identidades conocidas. En la práctica, puede haber todo tipo de combinaciones de acceso y permisos. El llamado consorcio blockchain es un sistema semiprivado, controlado por un grupo de usuarios en el que solo un conjunto de nodos definidos puede generar los bloques en la cadena. Es un sistema descentralizado controlado centralmente.
La respuesta a la pregunta de quién califica como responsable del tratamiento podría ser más clara en el caso de las cadenas de bloques privadas y permisionadas, en las que la empresa o el consorcio propietario de la cadena de bloques determina tanto los fines como los medios del procesamiento de los datos. De la misma manera, cuando nos referimos a aplicaciones basadas en blockchain, como los Smart Contracts, es la entidad legal que ejecuta la capa de aplicación quien califica como controlador de datos.
La complejidad aumenta al analizar una blockchain pública y sin permiso. En aquellas, los desarrolladores de software y los mineros son menos propensos a ser considerados responsables porque los primeros no deciden el diseño, simplemente sugieren, y los segundos son únicamente los medios para hacer que el protocolo de consenso funcione, pero no tienen ninguna influencia en la determinación de los fines y medios del procesamiento de los datos.
Calificar a los usuarios y nodos como responsables del tratamiento de datos es más controvertido. Existe cierto consenso en considerar que un usuario de blockchain califica como co-responsable dado que al elegir dicha infraestructura esta determinando los medios de procesamiento, mientras que su razón para usar dicha tecnología califica como determinación de los fines. Pero sin embargo, los usuarios no tienen capacidad para rectificar ni tan siquiera las transacciones realizadas por ellos mismos. En cuanto a los nodos, la cuestión también es compleja. Si bien por un lado no hay duda de que son ellos los que almacenan toda la cadena de transacciones, comprueban la legitimidad de la transacción y verifican las firmas, y hasta tienen cierta influencia para cambiar las reglas por la vía del llamado ‘fork’, por otro lado, la realidad es que solo tienen acceso a datos encriptados. Por lo tanto, no está claro quién podría calificar como responsable de datos según la definición de GDPR, en el esquema Blockchain.
¿Qué se entiende por datos personales a los efectos del Blockchain?
Otro factor clave a considerar al analizar las fricciones entre la tecnología Blockchain y el GDPR es la definición de datos personales. El artículo 4 (1) del GDPR define los datos personales de una manera muy amplia, que va desde la información que se relaciona directamente con una persona física identificada, hasta la información que se relaciona indirectamente con una persona física identificable. En ello hay espacio para un amplio espectro de posibilidades.
Asimismo, el GDPR ha introducido el concepto de ‘seudonimización’, como un proceso mediante el cual se descomponen los datos de modo que se necesita información adicional para atribuir los datos a cualquier persona identificada o identificable. Los datos seudonimizados todavía se consideran datos personales a los efectos del GDPR, pero con un riesgo reducido. Solo los datos anónimos están fuera del alcance de GDPR.
Todos estos conceptos hay que tenerlos en cuenta no solo respecto de los datos encriptados o los datos transaccionales que están disponibles para los nodos y permanecen en la cadena de bloques, sino también respecto a las claves públicas que cualifican como datos personales. El Blockchain está ‘encriptado asimétricamente’ lo que significa que tiene un sistema de verificación de dos pasos en virtud del cual cada usuario posee tanto una clave pública como una privada, matemáticamente relacionadas, de modo que la clave privada puede desencriptar los datos que han sido cifrados a través de la clave pública. La clave pública es aquella que, compartida con otro usuario, habilita la transacción, y debido a que se requieren datos adicionales para identificar a la persona detrás de ella, se considera un dato seudónimo.
El responsable del tratamiento tiene algunos deberes sobre estos datos, directamente relacionados con los derechos del interesado, como el derecho de acceso, el derecho de rectificación, o el derecho al olvido. Pero como se señaló anteriormente, los nodos solo pueden ver datos encriptados, lo que resulta difícil de conciliar con el derecho de acceso. Por otro lado, cada nodo tendría que intervenir para modificar una determinada cadena de bloques para cumplir con el derecho de borrado.
En definitiva, aunque a priori puede parecer que existe un cierto grado de incompatibilidad entre la tecnología Blockchain y el GDPR, algunos autores destacan que el Blockchain se pueda utilizar como solución para la protección de datos por diseño. Algunos trabajos técnicos están en progreso para ofrecer una cadena de bloques compatible con el GDPR, como por ejemplo un prototipo que mantiene la mayoría de las características clave de la tecnología pero elimina los datos antiguos, o aquel otro sistema que permite a los propietarios de los datos imponer el consentimiento de uso de datos, que solo las partes designadas pueden procesar datos personales y registra todas las actividades de datos en un libro mayor distribuido inmutable utilizando smart contracts y técnicas de criptografía. Sin duda se trata de una materia que requiere un análisis profundo y posiblemente la reconsideración de algunos conceptos de GDPR sobre la base de su objetivo de neutralidad tecnológica.
Maria Luisa Mena Duran. Abogado.
LLM Transnational Law King’s College London.
Actualmente PGR King’s College London.
Suscríbete a nuestro newsletter aquí.
