Saltar al contenido

¿Quién es el responsable del tratamiento en blockchain?

Partimos de la premisa donde todos entendemos y conocemos el funcionamiento de blockchain y los distintos tipos que hay (si no es así os recomiendo la lectura de “la fuerza imparable (RGPD) contra el objeto inamovible (blockchain)”). De modo que vayamos al grano e intentemos identificar de forma escueta al responsable del tratamiento en cada caso.

En un modelo tradicional (cliente – proveedor) es relativamente fácil identificar al responsable del tratamiento y hacerle cumplir con el RGPD y su principio de privacidad desde el diseño y por defecto. Sin embargo, cuando lo intentamos identificar en un proyecto blockchain, especialmente los que operan en cadenas abiertas, la situación se complica. Veamos los casos.

Blockchain privadas

Blockchain privada.pngEncaja muy bien el modelo tradicional ya que este tipo de blockchains se caracterizan por ser de carácter cerrado, es decir, un grupo limitado de creadores que establecen las reglas del juego.

En estos casos la agencia de protección de datos francesa (CNIL) recomienda que en los consorcios de blockchain se identifique, lo más rápido posible, al responsable o corresponsables. En este sentido la CNIL habla de:

– La existencia de corresponsabilidad, entendiéndola en este caso como un grupo de entidades o de personas que decidan realizar conjuntamente un tratamiento de datos personales utilizando blockchain, de acuerdo al art. 26 RGPD.

– La creación de persona jurídica en representación de todos los participantes, siendo la misma quien asume ser el responsable del tratamiento a todos los efectos.

– La designación de uno de los participantes como responsable del tratamiento.

En conclusión, los posibles responsables serían: 1) el consorcio de empresas creador; 2) alguna de las mismas; 3) una fundación o 4) en determinados supuestos habrá una corresponsabilidad entre alguno de los anteriores participantes en la plataforma o usuarios de la misma.

Blockchain pública con permisos

Blockchain pública con permisos.pngEn este caso también encaja francamente bien el modelo tradicional. Las particularidades de este tipo de blockchains residen en que cualquier usuario puede ser un nodo de participación y por tanto ver todos los datos. Sin embargo, solo los usuarios aprobados previamente pueden ser nodos de validación y añadir datos a la cadena.

En este punto volvemos a mencionar la  recomendación de la CNIL y por tanto los posibles responsables mencionados para las blockchains privadas. Asimismo, debemos traer a colación el informe del Bundesblock donde se recomienda explorar la idea de las “Normas vinculantes de la cadena” para una blockchain que cumpla con determinados criterios.

En conclusión, los posibles responsables serían: 1) el consorcio de empresas creador; 2) alguna de las mismas; 3) una fundación; 4) o hay quien considera que incluso los propios interesados podrían ser responsables de sus propios datos, ya sean una persona jurídica o una física actuando en el ámbito de una actividad profesional jurídica.

Todo ello sin olvidar la mencionada corresponsabilidad del apartado anterior.

Blockchain pública sin permisos

Blockchain pública sin permisos.png

En este caso es donde menos encaja el modelo tradicional, ya que estas blockchains se caracterizan por querer reemplazar a dicho modelo por otro basado en el tratamiento colectivo de datos a través de un protocolo descentralizado.

Por descarte se entiende que no pueden ser responsables del tratamiento los nodos, ya sean de participación o de validación. En este sentido, la CNIL entiende que no lo son ya que solo validan transacciones y no delimitan las finalidades ni los medios para su tratamiento.

En todo caso, la CNIL sí entiende que podrían ser responsables los participantes que firman y envían transacciones a la cadena vía un nodo, siempre que sea una persona física y el tratamiento de datos personales esté relacionado con una actividad profesional o comercial.

Tampoco serían responsables los desarrolladores de la cadena, ya que son solo voluntarios que trabajan en un proyecto de código abierto, normalmente a coste cero.

En conclusión, sí que podrán ser considerados responsables del tratamiento:

1) Los participantes que firman y envían transacciones a la cadena vía un nodo, siempre que sea una persona física y el tratamiento de datos personales esté relacionado con una actividad profesional o comercial.

2) Los participantes persona jurídica que firman y envían transacciones a la cadena vía un nodo.

3) El interesado que realiza una transacción pudiera ser responsable de sus propios datos.

Y con ésto y deseando que todos os unáis a la transformación digital, nos despedimos recordando que el tema se tratará ampliamente en el Congreso Nacional de la Abogacía Española (a continuación os dejamos un PDF con el programa). No os olvidéis de que el mismo tendrá lugar del 8 al 11 de mayo en Valladolid.

Programa_CongresoAbogacia_2019

Atte. Felipe Herrera del equipo de A definitivas.

Twitter: @FelipeA_Herrera

 

Deja un comentario

2 ideas sobre “¿Quién es el responsable del tratamiento en blockchain?”

A %d blogueros les gusta esto: