Blockchain y protección de datos

La autoridad francesa de protección de datos personales (CNIL por sus siglas en francés) publicó el 6 de noviembre de 2018 un informe sobre la protección de datos personales y tecnologías de registro distribuido (a efectos de facilitar la lectura, utilizaremos el término “blockchain” para referirnos a las mismas). La CNIL es la primera autoridad europea de protección de datos personales en pronunciarse sobre la compatibilidad de esta tecnología con la protección de los datos personales, tal y como está regulada en la normativa existente.

El principal problema entre la normativa actual y blockchain reside en la divergencia de sus premisas. Si bien tanto la normativa de protección de datos personales como la tecnología blockchain buscan dar más control al individuo sobre el tratamiento de datos personales, la forma en la que lo hacen parece ser completamente irreconciliable.

Por un lado, la normativa de protección de datos parte de la premisa que toda organización se rige por un sistema centralizado en el que el responsable del tratamiento de los datos personales siempre tendrá un control absoluto de los mismos, dentro de marco que definen las normas. Por lo tanto, el responsable, siempre podrá, por ejemplo, acceder, modificar o suprimir los datos personales que trata.

Por otro lado, blockchain parte de la premisa de la descentralización de su gestión, de modo que no hay nadie capaz de tomar decisiones unilaterales sobre los datos que se encuentran registrados en la cadena de bloques.

Bajo esta divergencia inicial, la CNIL realiza las siguientes afirmaciones en su informe:

Responsables del tratamiento

Podrán ser responsables del tratamiento todos aquellos que introduzcan datos personales en la blockchain siempre y cuando:

  • quien introduzca los datos personales sea una persona física y el tratamiento de datos personales esté relacionado con una actividad profesional o comercial; o
  • quien introduzca los datos personales sea una persona jurídica.

Corresponsabilidad en el tratamiento

Cuando un grupo de entidades o de personas decide realizar el tratamiento de datos personales utilizando blockchain podrán ser considerados en su totalidad como corresponsables, a menos que:

  • se cree una persona jurídica en representación de todos los participantes que asuma ser el responsable del tratamiento a todos los efectos; o
  • se designe a uno de los participantes como responsable del tratamiento.

Encargados del tratamiento

Desarrolladores de smart contracts que tengan acceso a datos personales de los usuarios de sus smart contracts desarrolladores o validadores de transacciones, como son los mineros en las blockchain públicas con un protocolo de consenso de prueba de trabajo, cuando validan transacciones que contengan datos personales, pueden ser considerados como encargados del tratamiento. Por lo tanto, será necesario que los mismos cumplan con las obligaciones impuestas a los encargados del tratamiento en el artículo 28 RGPD.

Pese a realizar esta aseveración, la CNIL reconoce que esta obligación deviene prácticamente imposible en blockchains públicas.

Recomendaciones

Para mitigar los riesgos en materia de protección de datos personales derivados del uso de esta tecnología, la CNIL realiza también una serie de recomendaciones:

  • el artículo 25 RGPD obliga a tener en cuenta la protección de los datos personales en todo proyecto que conlleve un tratamiento de los mismos. Así, recomienda utilizar blockchain solo en aquellos casos en los que sea necesario. En los casos en los que sea necesario, recomienda utilizar, en la medida de lo posible, una blockchain permisionada antes que una pública, al ser posible establecer garantías adicionales para el tratamiento de datos personales en estas (cláusulas tipo, normas corporativas vinculantes o códigos de conducta).
  • minimizar los datos personales de tal forma que el único dato personal en la blockchain sea la clave pública. En este sentido, la CNIL admite como periodo de conservación de una clave pública el periodo de vida de la blockchain.
  • en caso de ser necesario registrar más datos personales en la blockchain, la CNIL recomienda la implantación de medidas adicionales que aseguren la máxima confidencialidad.

En cualquier caso, la propia CNIL reconoce que estas recomendaciones podrían ser consideradas como no conformes al Reglamento General de Protección de Datos y recomienda acciones a nivel europeo para facilitar el tratamiento de datos personales en una blockchain.

Ejercicio de derechos

En cuanto a los derechos de los interesados, los derechos de supresión, oposición, y limitación del tratamiento ceran las mayores dificultades a la hora de asegurar su ejercicio efectivo en el caso de datos personales registrados en una blockchain. En este sentido, la CNIL recomienda tener en cuenta ciertas medidas específicas para llegar a ejercer estos derechos de la forma más amplia posible, pero reconoce igualmente que estas medidas posiblemente no logren el ejercicio de derecho en cuestión en todos los casos.

Precauciones adicionales

Asimismo, la CNIL recomienda a todo el que vaya a tratar datos personales con la tecnología blockchain, (i) realizar un análisis de impacto; (ii) analizar una evaluación del número mínimo de validadores necesarios para evitar el control por parte de un grupo de más del 51 por ciento de la capacidad de validación de la blockchain; y (iii) llevar a cabo las medidas técnicas necesarias para evitar potenciales errores en los algoritmos de funcionamiento, así como prever un plan de emergencia para estos casos.

Como se ha podido apreciar a lo largo de este artículo, pese al análisis realizado por la CNIL, son muchas las dudas sobre el tratamiento de datos personales en blockchain que permanecen abiertas, sobre todo, en el caso de blockchains públicas.

Autor: Pedro Méndez de Vigo

 

Autores:

Asociado

6 artículos



pedro.mendezdevigo@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *