Protección de datos en la tecnología Blockchain 

Cuando hablamos de Blockchain, pensamos directamente en criptomonedas, y más específicamente en Bitcoin, tal vez porque fuera esta la primera, o por los picos de sierra que sufre su cotización –por cierto, hoy por las nubes-. 

Pero lo cierto es que resulta complicado hablar de Blockchain y no mencionar Bitcoin, ya que el origen es común, como veremos posteriormente.  

Blockchain no es solo Bitcoin. Blockchain es el paraguas que da cabida a las criptomonedas, y que podríamos definir como una red distribuida para el almacenamiento y la realización de transacciones con valor -no sólo monetario-, de forma segura y rápida, a partir de protocolos de seguridad, integridad, inmutabilidad, basados en criptografía aplicada.  

Por tanto, sus características claves son: 

• • Sólo permite añadir, no eliminar, modificar o sobrescribir los registros.  
  • Inmutable. Los registros distribuidos son criptográficamente seguros e inmutables, garantizando que los datos que contienen no han sido modificados, y que los datos son acreditables. 
  • Compartido entre muchos nodos. 
  • Distribuido, por lo que reduce el riesgo de ataque. 

Blockchain, del inglés <<cadena de bloques>>, se dio a conocer en el año 2008, por un tal Satoshi Nakamoto, cuya identidad real es aún un misterio, quien en un gesto de altruismo hacia la humanidad publicó el famoso Bitcoin Whitepaper. Sin embargo,  muchos autores ven el origen de esta tecnología en el jurista Nick Szabo, quien en el año 1995 ya hablaba de los Smart Contracts, a pesar de que entonces no existía la tecnología que pudiera llevarlos a cabo. 

El nombre cadena de bloques no es baladí, ya que es un reflejo gráfico de su funcionamiento. Para la creación de un bloque es necesario la intervención de distintos actores -que pueden tratar datos personales-, y cada nuevo bloque se va engarzando con el anterior, almacenando cronológicamente la información, lo que hace que sea inmutable.  

Su ciclo de vida sería el siguiente: 

1. Transacción  
2. Verificación  
3. Estructura 
4. Validación  
5. Minería  
6. Cadena 

Sin ánimo de entrar a definir las distintas fases en este artículo, podemos resumirlo a grosso modo en que un bloque te da la verdad de algo que pasó. Por ejemplo: dije que estamos en el centro del Universo. Esa es la verdad de lo que dije, que lógicamente no tiene nada que ver con lo que ocurre en el Universo.  

El secreto de Blockchain está precisamente en la confianza (resuelve el famoso problema de los generales bizantinos).

La sociedad actual está basada en estructuras sociales que generan confianza, con el trinomio tecnología–persona–proceso. Sin embargo, con Blockchain se simplifica a uno: tecnología. Ahí radica su valor. Al igual que las antiguas monedas basaban su valor en el patrón oro, hoy Bitcoin basa su valor en la tecnología, en una doble vertiente: una, por el coste que supone minar hoy día; otra, porque la tecnología genera confianza per se.  

Esta tecnología hace que no sea necesario la intervención autoridades centrales que garanticen el servicio. Por ello que se habla de democratización tecnológica, ya que se crea de la colaboración entre muchas partes.  

 

Y todo esto ocurre en el ciberespacio, por lo que es supranacional y, por tanto, pueden converger distintas jurisdicciones, a efectos legales, con los problemas regulatorios inherentes.   

Llegados a este punto nos podemos plantear las implicaciones que puede tener la tecnología Blockchain en distintas normativas, sobre todo las que tienen una vocación universal, como es el derecho de protección de datos de carácter personal, que si bien no está reconocido expresamente en la Declaración Universal de Derechos Humanos, sí que reconoce el derecho a la no injerencia en la vida privada de las personas, base del derecho a la privacidad que encuentra su máxima expresión en los derechos reconocidos en la normativa sobre protección de datos.  

A nivel europeo, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos), contempla los derechos de los interesados en el Capítulo III, siendo los siguientes: 

• • Acceso 
  • Rectificación 
  • Supresión (derecho al olvido) 
  • Limitación del tratamiento 
  • Portabilidad de los datos 
  • Oposición 
  • Derecho a no ser objeto de decisiones individuales automatizadas 

Fácilmente se puede colegir que los derechos de rectificación y supresión chocan de plano con la idiosincrasia de la tecnología Blockchain, en cuanto a la inmutabilidad de la cadena de bloques, piedra angular donde reside la confianza en la misma. Lo mismo ocurre con el derecho a la portabilidad, derecho éste que complementa al derecho de acceso.  

Sin el ejercicio efectivo de estos derechos, no se puede cumplimentar la normativa, por lo que se hace necesaria soluciones técnicas que den curso a los mismos, como pueda ser la aplicación de procesos de anonimización que haga imposible el acceso (para el ejercicio del derecho de supresión), o el uso de las conocidas bifurcaciones en el lenguaje de programación (para el ejercicio del derecho de rectificación).  

Además, como he indicado antes, en la conformación de los bloques intervienen muchos actores, que pueden tratar datos personales, por lo que habría que delimitar quienes tienen la condición de Responsables del Tratamiento (persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento). En Blockchain resulta esta una tarea harto complicada, por lo que es fácil adivinar que aun más complejo es definir quienes de estos Responsables deben garantizar el ejercicio de los derechos de los interesados.  

Pero también es complicado definir aquellos que, dentro de la cadena, tienen la condición de Encargados del Tratamiento (persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del Tratamiento), con sus correspondientes obligaciones frente al Responsable.  

La Autoridad Francesa de Protección de Datos (CNIL) se ha interesado por ponerle nombre a los distintos actores intervinientes en la Blockchain, y la compatibilidad de esta tecnología con el Reglamento General de Protección de Datos. En este sentido, viene a distinguir entre <<participantes>>, con permisos para escribir en la cadena de bloques, y <<mineros>>, quienes validan transacciones y van creando con ello los bloques. En el caso que hubiera varios participantes, la CNIL señala que es necesario indicar quién es el Responsable del Tratamiento, por aquel que tenga mayor protagonismo, o en caso de relativa paridad serían todos considerados Responsables. En el caso de los mineros, al ser quienes validan el registro de los datos en la Blockchain, éstos tendrían la consideración de Encargados del Tratamiento.    

Otro escollo a solventar es la cuestión de las transferencias internacionales de datos (TID), pues recordemos que en la creación de la cadena de bloques intervienen distintos actores que pueden estar ubicados en cualquier lugar del mundo. Dichas TID deben cumplir escrupulosamente la normativa europea, por lo que, si se quiere conjugar tecnología con derechos inherentes a las personas, debe configurarse la Blockchain con la máxima de la privacidad desde el diseño.  

Por todo ello, y para ganar confianza en los más escépticos, se debe apostar por una regulación del Blockchain, aunque sea mínima, si bien todos sabemos que el derecho termina regulándolo todo, y en este campo no será diferente.