¿Son compatibles blockchain y el derecho al olvido?

network-3537401_960_720

AD 52/2018

Apreciados lectores de A definitivas, hoy nos toca hablar del derecho al olvido, pero con la intención de responder a una de las innumerables cuestiones que nos planteamos los jóvenes juristas y abogados, concretamente la compatibilidad entre el derecho al olvido y la disruptiva tecnología blockchain.

Dicho esto, en el día de hoy nos centraremos en el derecho al olvido y daremos unas pequeñas pinceladas a la cadena de bloques, con la finalidad de resolver la pregunta planteada en la segunda parte del artículo que se publicará la próxima semana.

Para comenzar con la explicación acudiremos a la Real Academia Española, concretamente al diccionario del español jurídico, en el cual se define el derecho al olvido como: “el derecho a eliminar, ocultar y cancelar aquellas informaciones o hechos pasados de la vida de las personas”. En este punto, es normal que rápidamente se nos venga a la cabeza la necesidad de vincular la definición con el concepto de dato personal, puesto que el derecho al olvido en Internet, está basado en el derecho que dispone cualquier persona para poder ejercitar la protección de sus datos personales y solicitar la retirada o borrado de los mismos.

Pero, ¿qué entendemos por dato personal? El artículo 4 del RGPD, establece que son datos personales “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Entendido lo que es un dato personal, nos adentraremos en el contenido del RGPD que consagra el derecho al olvido junto con los ya existentes, en normas nacionales e internacionales, derechos ARCO (acceso, rectificación, cancelación y oposición) y otros de nueva creación (como el derecho a la portabilidad de los datos o a la limitación del tratamiento). De modo que, el RGPD incorpora un grupo indiviso de reglas aplicables en toda la Unión Europea con el propósito de actualizar el marco regulatorio, como respuesta a los profundos cambios que han ido aconteciendo en cuanto a la forma en que se recopilan, almacenan y procesan los datos personales.

De esta manera, podemos interpretar el derecho al olvido como la actualización de los clásicos derechos de cancelación y oposición, que han ido evolucionando simultáneamente con las nuevas tecnologías, teniendo su mayor incidencia sobre los datos contenidos en los buscadores de internet, sobre todo en GOOGLE. En consecuencia, el interesado tiene derecho a que el responsable del tratamiento de los datos suprima todos o algunos datos personales y se abstenga de darles más difusión cuando ya no son necesarios para los fines para los que fueron recogidos o tratados.

Concretamente, el RGPD define en su artículo 17 el derecho al olvido o derecho de supresión, como el “derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias“.

De esta definición podemos obtener dos ideas, la primera es el reconocimiento que se le concede al ciudadano para poder ejercitar su derecho a suprimir la información afectada, de manera inmediata, en el sitio web, así como el deber de abstenerse de dar más difusión por parte del responsable a esta información siempre que el titular de los datos lo solicite. En segundo lugar, este derecho repercute en la esfera del responsable del tratamiento (la corporación, entidad, red social sitio web que trata los datos, etc.); éste deberá optar entre limitar el tratamiento (artículo 18 RGPD), o bien suprimir sin demora la información (artículo 17 RGPD), ponderando en cada uno de los supuestos el alcance de este derecho con el derecho a la libertad de expresión, la salud pública, el deber de conservación de los datos para dar cumplimiento a una obligación legal y el interés público, etc.

A continuación, el artículo 17.1 del RGPD recoge los supuestos en los cuales los interesados deben tener derecho a que sus datos personales dejen de tratarse y se supriman sin dilación indebida:

a) cuando ya no son necesarios para los fines para los que fueron recogidos o tratados;

b) cuando han retirado su consentimiento para el tratamiento o se opongan al tratamiento de datos personales que les conciernen;

c) cuando sus datos se traten de forma ilícita;

d) cuando los datos personales deban suprimirse en cumplimiento de una obligación legal. 

e) cuando los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información dirigida a niños (en los términos del RGPD art.8.18).

Como excepción, la posible retención de los datos personales es válida cuando sea necesaria para (RGPD cdo.65 y art.17.3): a) el ejercicio de la libertad de expresión e información; b) el cumplimiento de una obligación legal; c) el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; d) por razones de interés público en el ámbito de la salud pública; e) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos; f) el ejercicio o la defensa de reclamaciones.

Identificadas las nociones del derecho al olvido, será necesario precisar si este derecho debe tener en cuenta la eventual colisión que se produce entre derechos de rango constitucional. La cuestión planteada tiene mucho sentido ya que por un lado tenemos los derechos a la protección de datos de carácter personal y al honor e intimidad personal y familiar y por otro los derechos a la libertad de información y expresión. Como regla general, la libertad de información prevalece en aquellos supuestos en los que la información objeto de publicación es veraz y de relevancia pública.

En este punto, podemos detenernos a tratar el caso de Mario Costeja que marcó un antes y un después en el tratamiento de la información ya que consiguió retirar los enlaces hacia unos anuncios que aparecían en la página web del periódico “La Vanguardia” y que contenían información sobre unos embargos por deudas a la seguridad Social ejecutados hace 16 años.

El TJUE en su sentencia de 13 de mayo de 2014 (asunto Costeja v. Google) entendió que el particular tiene derecho a que la información ya no esté vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de sus datos personales y, por tanto, el interesado tiene derecho a eliminar los datos de la lista de resultados proporcionada por el motor de búsqueda cuando la información en cuestión relativa a su persona ya no esté, en la situación actual vinculada a su nombre por una lista de resultados obtenida tras la búsqueda efectuada a partir de su nombre, sin que […] tal derecho presuponga que la inclusión de la información en la lista de resultados cause perjuicio al interesado. Puesto que este puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no solo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información. Sin embargo tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener acceso a la información de que se trate.

Por tanto,  el concepto de derecho al olvido fue introducido a raíz de la sentencia del TJUE de 13 de mayo de 2014 como expresión de los ya mencionados derechos de cancelación y oposición en materia de protección de datos. La intención primordial es impedir la difusión innecesaria de información personal a través de los buscadores de internet, en contextos tales como pueden ser la desactualización de la información, o que la misma esté obsoleta o carezca de interés público.

Así pues, de la mencionada sentencia debemos extraer la idea de encontrar un equilibrio necesario entre los derechos fundamentales a la protección de datos personales y a la libertad de información y expresión. De este modo, el interesado tiene derecho a que la información relativa a su persona no esté vinculada a su nombre por una lista de resultados obtenida tras una búsqueda en internet efectuada a partir de su nombre; derecho que, en principio, prevalece sobre, el interés económico del gestor del motor de búsqueda y el interés del público de acceder a la información que resulta de una búsqueda sobre el nombre de esa persona. No obstante, no se dará el supuesto si la intromisión en sus derechos fundamentales está justificada por el interés superior de dicho público en tener acceso a la información, teniendo en cuenta que se considera un argumento de fuerza en favor de la desindexación el hecho de que el resultado de búsqueda que se pretende eliminar esté causando un perjuicio (desproporcionado) al interesado. En este punto podemos preguntarnos qué se entiende por interés público, concepto que hace referencia al interés legítimo que tiene el público general para acceder a una información. Para valorar la existencia de interés público, el TJUE menciona cuatro factores principales a tener en cuenta en cada supuesto:

  1. La naturaleza de la información de que se trate, así sea incompleta o inadecuada, inexacta o falsa, excesiva, obsoleta o ya no relevante actualmente.
  2. El carácter sensible de la información para la vida privada de la persona afectada.
  3. El interés público de los ciudadanos en disponer de esta información en el presente.
  4. El papel que la persona afectada desempeñe en la vida pública (por ejemplo, políticos o funcionarios públicos).

A modo ilustrativo podemos citar la sentencia de la Audiencia Nacional de 11 de mayo de 2017 (recurso núm. 30/2016), en la cual se revoca una resolución de la Agencia Española de Protección de Datos (en lo sucesivo, AEPD). En este supuesto, la Audiencia rechazó la petición de un médico que solicitaba a Google la retirada de un enlace que conducía a un foro en el cual un paciente le criticaba de forma muy negativa. La decisión se basa exactamente en varios motivos, de los cuales destacaremos que existe un interés general, “legítimo de los internautas potencialmente interesados en tener acceso a la información […], pues al tratarse de un médico en activo, que presta servicios sanitarios privados, los usuarios o potenciales pacientes tienen derecho a conocer las experiencias y opiniones vertidas por quienes, con anterioridad, han sido pacientes de este mismo dolor”, por lo que, la Audiencia Nacional sentencia que Google no tendría que haber sido obligado a eliminar de sus resultados enlaces que lleven a contenidos de este tipo.

Por último, debemos hacer mención a la reciente sentencia del Tribunal Constitucional de 4 de junio de 2018 en la que se declara que utilizar nombres propios como criterio de búsqueda y localización de noticias en una hemeroteca digital puede vulnerar el derecho al olvido. De la sentencia podemos destacar que “la libertad de información constituye no sólo un derecho fundamental de cada persona sino también una garantía de la formación y existencia de una opinión pública libre y plural, capaz de adoptar decisiones políticas a través del ejercicio de los derechos de participación”, pero este derecho no es absoluto, sino que debe ser modulado por dos elementos: uno, el valor del paso del tiempo a la hora de calibrar el impacto de la difusión de una noticia sobre el derecho a la intimidad del titular de ese derecho, y dos, la importancia de la digitalización de los documentos informativos, para facilitar el acceso a la información de todos los usuarios de internet (…) “siempre será posible si existe una finalidad investigadora en la búsqueda de información alejada del mero interés periodístico en la persona investigada, localizar la noticia mediante una búsqueda temática, temporal, geográfica o de cualquier otro tipo”. Por lo tanto, no son necesarios los datos personales de los solicitantes del amparo, que nada agregan al interés de la noticia, bastando las iniciales del nombre y los apellidos.

Cerrando el estudio del derecho al olvido, debemos hacer referencia a que, en el contexto de globalización actual en el que vivimos los datos personales se tratan y transfieren a través de un creciente número de fronteras virtuales y geográficas y se conservan en servidores ubicados en numerosos países. En este contexto en el que la tecnología parece haber evolucionado más rápido que la Ley nos encontramos con blockchain o cadena de bloques, que a pesar de estar hoy en día en boca de todos, apareció en el año 2009 con la llegada de Bitcoin por Satoshi Nakamoto, cuya identidad real es desconocida.

Blockchain es una tecnología que funciona como un libro de cuentas distribuido globalmente o libro de asientos contables de una empresa, en el cual solamente podemos escribir, no modificar datos. De este modo, consigue un registro distribuido, inmutable y permanente que no permite borrar o modificar, solo permite escritura y bajo consenso.

Debemos destacar que esa transferencia de datos digitales mencionada no requiere de un intermediario centralizado que identifique y certifique la información (como podría ser una entidad financiera actualmente) sino que está distribuida en múltiples ordenadores independientes entre sí que la registran y la validan a través de los denominados mineros, sin necesidad de que exista confianza entre las partes.

Los mineros son dispositivos electrónicos (puede ser un ordenador, aparato, procesador ASICs) con su propio procesador, diseñado específicamente para resolver una prueba de esfuerzo (resolver un cálculo matemático muy complicado con la finalidad de demostrar que estás atento, vivo y disponible para trabajar en la cadena de bloques); la finalidad que tiene esta prueba de esfuerzo es validar la operación que se pretende escribir en el blockchain. Entonces, este dispositivo electrónico debe ser lo suficientemente potente para llevar a cabo esta operación, no cualquier ordenador o aparato puede realizar dicha tarea. 

Concretando aún más el concepto, blockchain puede definirse como un fichero o archivo actualizado, descargable para cualquiera, al que incluso se puede acceder a través de servidores webs. Como bien indica su nombre, nos encontramos ante una cadena de bloques, con información codificada de una operación en la red.

Cada bloque de la cadena porta el paquete de operaciones y dos códigos, uno que indica cuál es el bloque que lo precede, y otro para el bloque que le sigue, es decir, que están entrelazados o encadenados por lo que se llaman códigos o apuntadores hash.

En el momento en que se quiera validar la operación, ésta se repartirá de manera aleatoria entre todos los mineros del mundo y quien haga el mayor esfuerzo será quien se encargará de resolver y validar la operación a cambio de una recompensa.

Por tanto, cuando hay dos bloques que apuntan al mismo bloque previo, sencillamente gana el primero en ser desencriptado ya que existe un mayor esfuerzo por parte de ese minero y de este modo será validada la operación para todo el blockchain.

Asimismo, blockchain funciona con una tecnología similar a los programas P2P (peer to peer) ya que en éstos los paquetes de información son entregados por distintos clientes y la transferencia de los mismos se organiza según la disponibilidad y capacidad de cada uno de ellos.

Por otro lado, blockchain no dispone de una regulación específica, situación que supondrá abundantes vacíos legales que harán necesario la creación de nuevos marcos normativos que recojan toda la casuística que engloba esta tecnología. Como apunte ejemplificativo a ello, podemos citar la decisión del Tribunal de Justicia, de 22 de octubre de 2015, mediante la cual se establecen en la Unión Europea las transacciones de Bitcoin como transacciones de dinero digital.

Dejando de lado este inciso, debemos entender que la tecnología blockchain es una nueva forma de almacenar datos distribuidos entre varios bloques esparcidos por todo el mundo. La información nunca puede ser borrada, lo que la convierte en una tecnología inmutable que hace el sistema muy poderoso y capaz de defenderse ante posibles transacciones ilícitas o duplicadas. Sin embargo, la inalterabilidad de los datos es lo que podría colisionar directamente con RGPD y el derecho al olvido, ya expuesto.

Llegados a este punto, resulta imprescindible plantearse si puede aplicarse el RGPD al sistema blockchain o si el reglamento incluye expresamente alguna mención a la cadena de bloques.

Para dar respuesta a estas cuestiones, acudiremos al artículo 2.1 y 3.1 del RGPD relativos al ámbito de aplicación y al ámbito territorial del mismo. Del artículo 2.1 podemos extraer que “el presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. A continuación, el artículo 3.1 expone que “el presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”.

A simple vista, podríamos afirmar que el RGPD engloba dentro de su ámbito de aplicación la tecnología blockchain pero con matices. En primer lugar, en este sistema no se almacenan datos personales directamente, lo habitual es que se almacenen direcciones (direcciones de carteras, wallets que no están vinculadas a una persona física), es decir, se tratan datos numéricos, aunque esto no impide que se pueda tratar información o incluso datos personales. Por tanto, al dejar abierta la posibilidad al criterio del usuario, debemos entender que podría tener cabida blockchain dentro del RGPD ya que realmente podemos introducir un texto y en consecuencia datos personales.

Otro problema que podríamos encontrar a la hora de aplicar el RGPD, es el del tratamiento de los datos que en blockchain se lleva a cabo por los mineros que, como hemos mencionado, son millones de personas que indirectamente validan la información desconociendo su contenido.

Además, el fichero descargable recoge todos los datos de los usuarios que han hecho uso de la tecnología blockchain, en su totalidad y desde su existencia y, por tanto, encontrar un dato concreto dentro de la infinidad de información que el fichero almacena, requiere, como mínimo, de una formación muy técnica y especializada lo que complica aún más la existencia de un responsable que trate los datos.

Todo ello nos conduce a pensar que el legislador a la hora de precisar el contenido del RGPD, no tenía en cuenta el entorno que rodea la tecnología blockchain, sino que regulaba para las empresas, entidades o personas físicas y jurídicas, que disponen de un profesional que se encarga de controlar y tratar los datos directamente. Por lo cual, surge la problemática ya que en blockchain no existe un control directo sobre la información que se almacena, ni hay una figura responsable de los mismos, todo lo contrario, la información es libre y esto podría interpretarse hacia la posición de que blockchain no debería cumplir el RGPD. Sin embargo, como ya hemos mencionado este es solo un matiz que debemos tener en cuenta, puesto que blockchain puede tratar datos personales.

Por último y en relación directa con lo anterior, no encontramos expresamente una mención hacia la tecnología blockchain en los artículos 2.1 y 3.1 del RGPD, la escasa técnica con la que el legislador ha elaborado el contenido de los preceptos nos hace pensar que debería hacer un inciso, que incluya ésta tecnología, que ya utilizan millones de personas. Es más, el RGPD no tiene en cuenta la tecnología específica que se utiliza para el procesamiento y tratamiento de los datos personales, puesto que, fue redactado bajo la suposición de que el responsable utilizaría un servicio centralizado que controla los derechos de acceso a los datos del usuario; punto de vista totalmente contrario al funcionamiento de una cadena de bloques.

En consecuencia, entendemos que el RGPD precisa de una revisión adecuada y adaptada a la tecnología del blockchain, puesto que el mismo nace desactualizado, sin tener en cuenta esta novedosa tecnología, siendo un sistema muy estandarizado y de uso común en numerosos países como puede ser los Estados Unidos. 

Finalmente, expuestos los conceptos básicos y esenciales del derecho al olvido (o derecho de supresión) y de la tecnología blockchain, la semana que viene os esperamos con un nuevo post explicando la incompatibilidad total de los mismos y proponiendo posibles soluciones o alternativas para superar este obstáculo.

 

Atte. Felipe Herrera  y Jun Wei del equipo de A definitivas.

Palma, 6 de agosto de 2018

2 comentarios en “¿Son compatibles blockchain y el derecho al olvido?”

  1. Buen artículo. El derecho al olvido, como todos los derechos positivos, tiene el problema de generar obligaciones en terceros. Y a diferencia de las prohibiciones que generan los derechos negativos, las obligaciones son más difíciles de hacer cumplir. El estado normalmente se las apaña bien, pero parece que no es tan fácil obligar a un conjunto descentralizado de individuos. Cómo calificamos una ley que no es posible hacerse cumplir? Ley imposible? Y qué hacer con una ley imposible? Tengo curiosidad por ver cómo resolvéis, no ya la incompatibilidad, sino la aparente imposibilidad. Os pondréis del lado de la realidad o de la ley? Demostrareis que no existe tal imposibilidad? Veremos en el próximo artículo. Un saludo.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s