Una de las cuestiones más debatidas alrededor de la tecnología blockchain es la de su compatibilidad con el nuevo Reglamento Europeo de Protección de Datos (RGPD o el Reglamento).
Como regla general, no debería hablarse de compatibilidad o incompatibilidad de una determinada tecnología con el RGPD. Los mandatos del Reglamento se establecen desde una perspectiva de neutralidad tecnológica, por lo que no hay en principio tecnologías compatibles o contrarias a sus premisas. Lo que sí habrá serán casos de uso, en este caso sobre blockchain, respetuosos o irrespetuosos de los mandatos del Reglamento.
Por otra parte, es ya una tradición que la legislación vaya siempre muy por detrás de la tecnología. Esta prudencia de nuestro legislador, que no entra a regular un determinado entorno sin un conocimiento previo y exhaustivo de la tecnología en cuestión es muy de agradecer, pues en otro caso las leyes serían un absoluto desastre. En ese sentido, la evolución que observo en el desarrollo y democratización del uso de blockchain me recuerda a lo ocurrido ya hace años con Internet, que hubieron de estar muy generalizadas tanto las comunicaciones electrónicas como los contratos a distancia para la promulgación de las Leyes de Comercio Electrónico (2002) y Firma Electrónica (2003). Hasta entonces, los abogados nos manejábamos únicamente con los postulados recogidos en Códigos Civil y de Comercio y con la LOPD. Esa transición es la que estamos viviendo en estos días en los que los abogados tenemos que ser creativos e innovadores a la hora de asegurar que un determinado caso de uso sobre blockchain es compatible con la normativa aplicable, aunque ésta sea de hace un par de siglos.
Con el RGPD pasa un poco lo mismo, empezó a tramitarse en 2012, se aprobó en 2016 y entró en vigor a mediados del año pasado con la intención de entrar a regular cuestiones no previstas por la normativa anterior, muy especialmente la elaboración de perfiles y el derecho al olvido. A su vez, el RGPD no solo no nace pensando en blockchain, sino que además está orientado a métodos centralizados de gestión de la información, lo que dificulta su aplicación a redes distribuidas, en las que los datos se distribuyen entre los distintos nodos. Por último, el Reglamento se haya plagado de conceptos jurídicos indeterminados que exigen que sus mandatos se cumplan pero sin indicar cómo deben acometerse esos cumplimientos.
Lo primero que ha de concretarse es qué se entiende por dato de carácter personal de cara a una blockchain. Sobre este punto, parece que hay consenso general a la hora de atribuir esta condición a los datos de las transacciones y a las claves públicas porque, bien por su reversibilidad o bien por asociación, podrían llegar a permitir la identificación de una persona física en una red. Así lo indicaba el grupo de trabajo del artículo 29 (aunque no específicamente para una red de blockchain) al señalar que los hashes son datos pseudonimizados y, por tanto, sujetos al RGPD del que solo quedarían excluidos los datos anónimos (y sólo serían anónimos los datos cuando se procede al borrado de su fuente de origen o cuando son anónimos desde el principio). Existen fórmulas técnicas que dificultan la reversibilidad o la asociación (así, la tecnología Zero-Knowledge o la encriptación homomórfica, por ejemplo, que permite distribuir la información entre nodos de manera troceada).
Aclarado eso, las redes de blockchain públicas lo tienen algo más complicado a la hora de acometer el cumplimiento del RGPD, no así las redes privadas o las públicas permisionadas (como es el caso de la Red Alastria), en las que será la propia gobernanza de la red la encargada de establecer las normas que aseguren el respeto a sus mandatos. Así, en el caso de una red de blockchain controlada, lo primero que habrá de asegurarse es que los nodos se implementan dentro del territorio de la UE o que, en caso de salir del territorio comunitario, se respetan las normas que contiene el RGPD en cuanto a la transferencia internacional de datos de carácter personal. El objetivo es que los datos no viajen, o que si viajan lo hagan a un país con un nivel de protección adecuada.
Otra cuestión compleja es la identificación de los sujetos obligados al cumplimiento de los mandatos del Reglamento. En el caso de redes controladas, será la propia gobernanza de la red la que establezca el régimen de atribución de responsabilidades entre nodos. En mi opinión, lo más práctico será que cada nodo sea considerado como el único responsable de los datos de las transacciones que realice, evitando así que el resto de los nodos se conviertan en encargados del tratamiento por el simple funcionamiento distribuido de la red. Con el agravante de que, además, lo que se distribuye entre los distintos nodos son los hashes identificativos de cada bloque de transacciones que integran la cadena y ¿en qué medida ese “hash de hashes” sería un dato de carácter personal? En mi opinión, con toda la prudencia, sería perfectamente justificable considerar que no lo son, no solo porque la distribución de la información no depende de la voluntad de cada nodo receptor sino porque los principios de reversibilidad o de asociación no serían fáciles de aplicar a ese conjunto de hashes desde el punto de vista técnico. En todo caso, insisto, esta cuestión dependerá, en última instancia, de la propia red de blockchain en cuestión y de su sistema de gobernanza. Otro día abordaré otras cuestiones asimismo importantes, como son la inmutabilidad de la red y el derecho de
supresión de los datos, o el uso de decisiones de carácter automatizado y los Smart Contracts.
Hoy concluyo insistiendo en que asegurar la compatibilidad entre RGPD y la cadena
de bloques pasa por llevar a cabo un análisis casuístico por evitar almacenar datos que no sean estrictamente necesarios, por no dejar de innovar y ser lo más claro y transparente posible. Pero, sobre todo, por verificar si la utilización de una red de blockchain genera un valor añadido al proyecto en cuestión, o si prescindiendo del uso de esta tecnología el proyecto sigue siendo el mismo. Ello por que, aunque parezca evidente, hay casos de uso en los que esta tecnología no solo no ayuda en la gestión, sino que la complica, porque no todos los proyectos empresariales necesitan utilizar la tecnología blockchain.
Madrid, 7 de octubre de 2019.
Autora: Cristina Martínez Laburta.
Chief Legal Officer at Alastria Blockchain Ecosystem
Aquí, más artículos relacionados.