AD 54/2018
Abstract:
En el presente artículo se da continuación al artículo titulado «¿son compatibles blockchain y el derecho al olvido?«. Concretamente el autor se centra en definir blockchain y su funcionamiento para, posteriormente, plantear las posibles incompatibilidades que generan sus características con el posible ejercicio, por parte del interesado, del derecho al olvido.
Finalmente la publicación concluye con unas breves recomendaciones y soluciones a la problemática planteada.
Palabras clave:
- Derecho al olvido
- Blockchain
- Blockchain y RGPD
- Incompatibilidad blockchain y derecho al olvido
Antes de introducirte en esta lectura, quiero que sepas estimado lector que la misma fue elaborada a principios del 2018 y, a pesar de haber sido actualizada (en dos ocasiones), deja muchos aspectos legales importantes sin tratar. Por tanto, si te interesa el tema, te recomiendo que leas «La fuerza imparable (RGPD) contra el objeto inamovible (Blockchain)«, un trabajo donde se analiza en detalle la relación entre Blockchain y el RGPD.
En la primera parte de este extenso estudio definimos de manera minuciosa el concepto de derecho al olvido y acabamos con un vídeo ilustrativo sobre lo que es blockchain.
Ahora, en esta segunda parte, comenzaremos con otro vídeo del equipo de Innovación de Versia que nos dan una visión introductoria, aunque muy clara, sobre lo que es Blockchain:
Dicho esto, ¿cómo podemos definir nosotros este concepto que de primeras parece muy complejo? En este caso, apostaremos por la humildad y nos ayudaremos de la espléndida definición que dio nuestro compañero Jorge Morell en su artículo titulado «Smart Contracts, teoría, práctica y cuestiones legales».
Así pues, blockchain, es una base de datos autorizada y distribuida que permite “anotar” datos de todo tipo que no pueden ser revisados o alterados. Como analogía podríamos decir que blockchain es un libro que en principio tiene páginas infinitas y en el que puede escribirse casi cualquier cosa (desde una poema a un programa informático).
No obstante, algunos profesionales del sector jurídico recomiendan no anotar datos personales, aunque ese ya es otro tema que dejaremos para otra publicación.
Ahora bien, lo escrito no puede modificarse aunque sí consultarse en cualquier momento. De hecho, está accesible a todo el mundo. Y, en verdad, que haya millones de ojos observando lo escrito en el libro es lo que hace materialmente imposible que lo escrito pueda manipularse.
La particularidad de esa base de datos que es blockchain es la forma en la que se mantiene y actualiza ya que ello le otorga un alto nivel de confianza. Como blockchain no está controlado por una persona, entidad u organización, no hay nadie que tenga control final sobre la misma y su contenido.
Ahora bien, es normal que en este punto nos planteemos ¿entonces quién mantiene, actualiza y asegura blockchain? Todos los ordenadores o nodos que forman parte de la cadena (que pueden ser unos cientos o millones). De ese modo, cada ordenador que integra blockchain mantiene siempre una copia de todas las “anotaciones” realizadas, manteniéndose cada copia sincronizada con las restantes.
Siendo aún más precisos, podemos señalar que normalmente hay dos tipos de nodos. Los nodos validadores y los nodos de participación.
Los primeros además de realizar operaciones de validación deben resolver un conjunto de problemas criptográficos antes de poder incorporar un nuevo bloque a la cadena.
Por tanto, para crear un nuevo bloque válido, deben seguir las reglas exactas especificadas por el algoritmo de consenso. Poniendo a disposición de la red su poder computacional, con los gastos energéticos y a nivel de infraestructura que ello comporta y recibiendo una compensación por realizar esta tarea.
A esta acción descrita se la denomina minería y los nodos validadores también son conocidos como mineros.
En resumen, el primer nodo validador que consigue resolver el problema criptográfico recibe una pequeña comisión.
Por su parte los nodos de participación almacenan copias sincronizadas de la información. Dependiendo de la tecnología específica, no todos los nodos pueden almacenar necesariamente toda la información.
Ahora bien, en caso de discrepancia entre las copias existentes entre los nodos, por consenso matemático se da mayor puntuación a la versión más común y, entonces, esa copia será la compartida entre la red de ordenadores y en la que se seguirá “anotando”.
O lo que es lo mismo, para alterar con éxito una blockchain se debería atacar y modificar simultáneamente el 51% de la misma (para que así el algoritmo de consenso matemático diera prioridad a la base de datos más común, que en este caso sería la alterada).
No obstante, eso es algo materialmente imposible en las blockchain sobre las que funcionan monedas como bitcoin o ethereum, dado el tamaño que tienen.
Por otro lado, como blockchain se constituye como una base de datos “append-only” (solo permite escribir y recuperar datos antiguos, pero no borrar o modificar los datos), nunca puede eliminarse lo allí escrito.
Además, como cada anotación en la cadena se asegura con un proceso criptográfico, la propia cadena puede así detectar y rechazar cualquier intento de distribuir una copia alterada de las transacciones registradas.
Por lo tanto, el carácter constantemente sincronizado, distribuido y autorizado de blockchain garantiza que únicamente exista un registro de las transacciones anotadas.
Por si fuera poco, las blockchain sobre las que funcionan monedas como bitcoin o ether son públicas, pudiendo uno ver (con matices) todas las transacciones que se han realizado. A lo que debemos sumar que la tecnología es código abierto, lo que facilita saber qué hace o no el software en todo momento, es decir, máxima transparencia. Todo ello es lo que convierte a blockchain en una tecnología tan interesante puesto que proporciona un sistema para crear bases de datos cuyas anotaciones serán altamente fiables, al ser tan improbable su manipulación.
Llegados a este punto, es normal que nos plateemos qué tipos de blockchain existen. Hay diferentes tipos de blockchains como por ejemplo, la original, que fue inventado para utilizar bitcoin, más conocida como blockchain pública, y las blockchain privadas, que a su vez se diferencian en su grado de autorización.
Las públicas se caracterizan por no exigir a los usuarios el cumplimiento de ningún requisito para unirse a ellas, es decir, que cualquiera puede convertirse en un nodo validador o de participación.
Para hacerlo, simplemente hay que instalar el software cliente (software que casi siempre es de código abierto) y descargar una copia completa de la cadena de bloques. A partir de ese momento ya eres un nodo completo que puede participar en el proceso de almacenamiento y/o anotación de información.
Además, el contenido de la blockchain es transparente y visible para todos los usuarios (y en algunos casos no usuarios), ya que habitualmente no se exigen permisos o invitaciones para poder acceder y participar.
Por otro lado, existen las blockchain privadas, que se caracterizan por ser de carácter cerrado, es decir, que se requiere una invitación. Ésta puede ser validada personalmente por quien crea la red o un grupo limitado de creadores, o por un ciertas reglas que se dejan preestablecidas.
De este modo, un grupo reducido está autorizado a acceder, comprobar y añadir transacciones a la cadena de bloques. Este grupo también está en posición de decidir qué nuevos usuarios podrán incorporarse a la red y bajo qué requisitos.
En este tipo de redes, los nodos validadores son nodos de confianza y leales, situación que reduce los procesos requeridos para su funcionamiento del mismo modo que reduce el riesgo de sufrir ciberataques y brechas de seguridad. Esto deriva de que estos nodos son preestablecidos y por tanto, no necesitan ninguna comisión para realizar las tareas de validación.
El proceso de validación de transacciones es más rápido que el de las redes públicas, a la vez que consume menos. Por todo ello, estas redes reciben el calificativo de autorizadas, aunque esta característica hace que puedan existir diferenciaciones en la blockchain privada.
Al existir distintos niveles o grados de autorización, desde redes para grupos cerrados en las que los anteriores requisitos se cumplen en su grado máximo hasta redes que prácticamente se podrían cualificar de públicas, en su modo de funcionamiento, pero que, eso sí, tienen requisitos de acceso y utilización a modo de términos y condiciones de servicio, por lo que, en rigor, hablamos de autorizadas y no autorizadas.
Ahora bien, de todo lo anterior, podemos extraer que la tecnología blockchain, por su propia naturaleza, ofrece una serie de ventajas o características. Veamos cuáles son:
- Transparencia: blockchain es un protocolo informático de código abierto al que todos los usuarios tienen acceso, ello implica que todos puedan ver la información sobre las transacciones que se efectúan.
- Irrevocabilidad: una vez que la información se anota en una red blockchain, en general no es posible eliminarla de allí, en otras palabras, no hay vuelta atrás. La información es poseída por todos los usuarios por lo que es imposible eliminarla de la red. Los datos incorporados a la cadena de bloques se distribuyen a todos y cada uno de los ordenadores que intervienen en ella.
- Inmutabilidad: como consecuencia del encadenamiento sucesivo de los bloques basado en la criptografía (los hash), el contenido de la cadena de bloques es inmutable. Si un nodo decide cambiar el contenido de la cadena de bloques alterando una transacción ya realizada e incluida en un bloque provocará que el contenido de su versión del libro registro varíe, un cambio que será fácilmente identificable por el resto de los ordenadores. Por lo tanto, a la hora de someter a aprobación una nueva transacción, éstos no aceptarán su versión del registro puesto que el contenido será distinto.
Antes de continuar, pensamos que puede ser interesante para el lector definir lo que es un hash. El Hash es una funcio?n criptogra?fica, o ma?s concretamente, un algoritmo matema?tico que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija.
Independientemente de la longitud de los datos de entrada, el valor hash de salida tendra? siempre la misma longitud. Por tanto, los hash o funciones son algoritmos que consiguen crear, a partir de una entrada (como por ejemplo, un texto), una salida alfanume?rica de longitud normalmente fija que representa un resumen de toda la informacio?n que se le ha dado.
Como analogi?a podri?amos decir que el hash es como una huella digital unidireccional, en tanto que a partir de ella no puedes recrear lo hasheado. De la misma forma que no puedes crear un ser humano a partir de su huella.
Ahora bien y llegados a este punto, sí que podemos empezar a plantearnos ¿blockchain es compatible con el derecho al olvido? Antes de aventurarnos a dar respuesta a la cuestión debemos señalar que a parte de la hipotética incompatibilidad existen otras posibles discrepancias entre el RGPD y la tecnología blockchain que giran en torno a tres cuestiones principalmente:
- La identificación y las obligaciones de los responsables del tratamiento de datos y del encargado del tratamiento en una blockchain.
- La anonimización de los datos personales.
- El ejercicio de algunos derechos de los interesados que establece el RGPD que puede resultar incompatibles cuando los datos se registran en blockchain. En este punto centraremos lo que queda de explicación y esperamos pronto poder sacar un nuevo artículo hablando sobre el RGPD en su conjunto.
Como hemos visto, las cadenas de bloques generalmente parecen estar diseñadas para que los datos o la información una vez anotadas, no se puedan cambiar ni eliminar. Esta inmutabilidad es una característica clave de la tecnología, sin embargo, en estas circunstancias, ¿cómo puede un interesado ejercer su derecho al olvido?
Incluso si se pudiera encontrar a un responsable del tratamiento en una blockchain pública como bitcoin por ejemplo, es imposible volver atrás y eliminar o actualizar el registro de una transacción sin destruir la cadena. Como hemos indicado, el punto esencial de la blockchain es asegurar que las transacciones, nunca se olviden para generar una confianza descentralizada. Por tanto, en una blockchain pública a priori lo mejor es no anotar datos personales.
Y, aunque pueda parecer que utilizar una blockchain privada autorizada soluciona los problemas, no es así, a no ser que esa red esté diseñada de tal forma que todos y cada uno de los datos sean legibles solo por las partes que lo necesitan absolutamente, y puedan ser rectificados o borrados en la red a solicitud del interesado. Por tanto, hay que que definir previamente el uso que queremos dar a la blockchain para prevenir la problemática.
Asimismo, debe tenerse en cuenta que el RGPD no especifica qué constituye un borrado de los datos. Por tanto, podrías llegar a pensar que algunas técnicas de encriptación, junto con la destrucción de las claves, pueden potencialmente considerarse como borrado, incluso si no se borra en el sentido más estricto. Aunque seguimos especulando con las soluciones.
De hecho, no podemos dar una solución exacta, puesto que, la situación que nos planteamos es totalmente gris. No obstante, sí que podemos dar una serie de recomendaciones preventivas a la hora de utilizar la tecnología blockchain en aras de evitar posibles incompatibilidades con el RGPD o concretamente con el derecho al olvido.
En primer lugar, antes de empezar a utilizar la tecnología blockchain debemos plantearnos como mínimo, ¿qué tipo de datos necesitaremos tratar? ¿Quién va a consultarlos? ¿Con qué finalidad los vamos a tratar? ¿Sobre qué base legal? Y por último, ¿durante cuánto tiempo?
Posteriormente y teniendo en cuenta el principio de protección del RGPD por diseño y por defecto (art. 25 RGPD), podremos plantearnos la viabilidad de utilizar la tecnología blockchain para el tratamiento de los datos puesto que, si no es así, ejercitar nuestro derecho al olvido u otros será casi imposible.
Recordemos que el artículo 25 RGPD obliga a tener en cuenta la protección de los datos personales en todo proyecto que conlleve un tratamiento de los mismos. Por este motivo, recomendamos utilizar blockchain solo en aquellos casos en los que sea necesario.
Y en estos casos recomendamos utilizar, en la medida de lo posible, una blockchain autorizada antes que una pública, puesto que, podremos establecer garantías adicionales para el tratamiento de datos personales en estas, como por ejemplo, cláusulas tipo, normas corporativas vinculantes, códigos de conducta, términos y condiciones, entre otras.
En segundo lugar, actualmente hay mucho humo en torno a la cadena de bloques, pero la realidad es que no es la solución a todos los problemas. Por este motivo, los empresarios no deben partir de la premisa de que el uso de la blockchain les abaratara los costes y será más segura, puesto que, no vale para todo.
En tercer lugar no es recomendable anotar datos personales y en el supuesto de que se haga se tienen que utilizar técnicas de ofuscación, encriptación y agregación de datos para anonimizar los datos personales.
O lo que es lo mismo, se deberían utilizar técnicas de cifrado más radicales, aunque no hay unas directrices concretas sobre cómo utilizar dichas técnicas en una blockchain. Lo recomendable sería utilizarlas para almacenar pruebas inmutables de que existen ciertos datos, en lugar de almacenar los datos en sí.
En cuarto lugar si la finalidad, únicamente, es anotar datos personales siempre será mejor utilizar blockchains privadas y autorizadas, nunca públicas.
De este modo, los datos personales podrían restringirse a una cadena de bloques privada, de empresa, con un pequeño número de nodos, donde es posible exigir que sus miembros acuerden los términos contractuales que definen con precisión sus funciones y obligaciones y la política de privacidad para los usuarios finales, así como el proceso para modificar los datos si es necesario.
Además, éstos pueden formar una entidad legal separada que actuará como responsable del tratamiento de datos o pueden elegir actuar como responsables conjuntos.
Asimismo, los derechos de los interesados, como por ejemplo el derecho al olvido, traerán las mayores dificultades a la hora de asegurar su ejercicio efectivo en el caso de datos personales registrados en una blockchain.
Y, en este sentido, recomendamos tener en cuenta ciertas medidas específicas para llegar a ejercer estos derechos de la forma más amplia posible, aunque reconocemos que estas medidas posiblemente no logren el ejercicio de derecho en cuestión en todos los supuestos.
Por último, debemos aplicar el sentido común y trabajar en colaboración con los legisladores y la comunidad. De hecho hay que plantearse claramente el uso que se le quiere dar a la tecnología blockchain antes de empezar a trabajar con ella.
Cientos de desarrolladores de todo el mundo están trabajando actualmente para conocer más profundamente las posibilidades que nos ofrece blockchain, por tanto, debemos conocer bien la tecnología y la ley y tener esperanza de que los estándares aceptados y las mejores prácticas surgirán dentro de los próximos tres a cinco años.
Atte. Felipe Herrera Herrera del equipo de A definitivas.
Palma, 13 de agosto de 2018.
Pingback: ¿Son compatibles blockchain y el derecho al olvido?
Mmm… Muy interesante. Algunas dudas y algunas reflexiones respecto a las 4 opciones:
a) «pese a que lo que se encuentra almacenado en blockchain es inalterable, se puede tratar de ocultar pu?blicamente»
Vamos, seguir la cadena de tratamiento de información hasta encontrar un sector muy concentrado (con pocos jugadores) y tratar de obligarles a ellos.
Como bien explicas, «encontrar un dato concreto dentro de blockchain , requiere, de una formacio?n muy te?cnica y especializada». No obstante, no es un buscador, cualquier programador puede hacer un pequeño programa para leer la cadena de bloques, subirlo a una web… Es decir, sigue siendo algo muy descentralizado difícil de controlar, no crees?
b) «Creacio?n de blockchain editable». Un titulo más descriptivo sería: «Prohibición de blockchain’s no editables». Esta creo que es directamente imposible. Al menos imposible de hacer cumplir.
c) «Sistema de validación». Esta opción es, creo, por la que se esta tirando. Ligada con la primera, la mejor opción para controlar Bitcoin, es buscar la parte del negocio más concentrada (con menos empresas) y atacar por ahí. Las partes o sectores donde menos jugadores hay suelen ser donde existen barreras de entrada. Una barrera de entrada muy típica en negocios de nuevas tecnologías es el ‘efecto red’ (el incremento de un usuario adicional, aporta también valor a todos los anteriores). Google o fb tienen efecto red, y todos lo market places también. Cuantos más negociantes hay en una plataforma de compra y venta de Bitcoin (más liquidez), más interés para registrarme en ella. Es lógico que el estado ataque por ahí exigiéndoles que identifiquen a sus usuarios. Un registro central es cuestión de tiempo.
d) El sistema de rectificación es interesante. No obstante, con el periódico, la obligación de rectificar esta clara sobre quien recae. Pero sobre quien recae en el caso del blockchain? Ademas, hay tipos de información que no se trata de rectificarlos dejando un histórico. Hay alguna información que directamente no queremos que exista de forma publica. Como se rectifica una fotografía íntima por ejemplo?
Me gustaría hacer también un par de reflexiones generales a raíz de este párrafo.
«En conclusio?n, un sistema de validacio?n es otra alternativa para intentar compatibilizar tanto el RGPD como el derecho al olvido con la tecnologi?a blockchain y podri?a llegar a funcionar si los usuarios confi?an plenamente en la tecnologi?a, da?ndole un uso li?cito y adecuado. Si el usuario aprecia la innovacio?n y el avance tecnolo?gico no deberi?a existir inconveniente alguno en pertenecer a una comunidad en la que blockchain funcionara de manera transparente y segura, y en este punto es donde un sistema de validacio?n podri?a resolver muchas dudas y cuestiones que trae consigo la cadena de bloques.»
Los usuarios de Bitcoin generalmente ya saben lo que es (para ellos) un uso ‘adecuado’ (moralmente hablando), el problema es que muchas veces no coincide con lo que es ‘licito’ (legalmente hablando).
Funcionar de manera ‘transparente’ y ‘segura’, también es, en muchas ocasiones, incompatible. Precisamente aquí se está hablando, en cierto sentido, de como evitar la transparencia y sin embargo proponemos darle el monopolio al estado. Los individuos quieren estar seguros, pero seguros frente al estado. Para que no les robe, no les diga en que pueden o no gastar su dinero; esa es la seguridad que, en mi opinión, buscan y que les aporta Bitcoin.
Bitcoin es incompatible con la ley. Pero en mi opinión, surge precisamente para eso, es precisamente eso lo que busca, lo que le aporta valor, el ser incontrolable. Si se descubriera una forma de controlarlo coactivamente desaparecería. No creo que el usuario aprecie «la innovacio?n y el avance tecnolo?gico» en abstracto. El usuario aprecia la innovación aplicada a sus necesidades practicas. Y el caso del Bitcoin, la innovación le permite protegerse frente al estado. Así que quizá, no haya forma de compatibilizarlo…
Cuestión tangencial que me planteo en ocasiones (quizá para el siguiente artículo):
Qué pasaría si una persona tiene gran parte de su patrimonio en BTC y se muere saltándose la legítima o se separa saltándose el reparto de la sociedad conyugal? Como se le obligaría? Ha habido ya algún caso?
Muy buenas Diego,
La verdad es que las cuestiones que me planteas son cuanto menos realmente interesantes sobre todo cuando apuntas que “los usuarios de Bitcoin generalmente ya saben lo que es (para ellos) un uso ‘adecuado’ (moralmente hablando), el problema es que muchas veces no coincide con lo que es ‘lícito’ (legalmente hablando)”, evidentemente la cadena de bloques y la ley son incompatibles y creo que en eso estaremos todos de acuerdo. Sin embargo, hay ciertos tipos de mercados, más que ilícitos, poco morales, que se están potenciando gracias a las lagunas legales que encontramos respecto blockchain y las criptomonedas en general y, es es el punto que considero que es necesario combatir, aunque no dejándolo bajo el control y dominio total del Estado… Del mismo modo, las alternativas que se plantean en el estudio son a nivel práctico poco ejecutables, por no decir imposibles, a excepción de la rectificación en una blockchain pública. Sin embargo, si extrapolamos las propuestas a unos administradores concretos, que validan las operaciones bajo un consenso reducido, la mayoría de las alternativas serían viables aunque, es evidente que, la casuística aún está por aparecer y quiero ver como se responde ante problemas como el que planteas de una fotografía íntima por ejemplo.
Como son bastantes cuestiones las que me planteas, por un lado, te propongo poder hablar personalmente todos los puntos que consideres interesantes, aquí te dejo mi correo electrónico: felipeandresherrerarivera@gmail.com y, por otro lado, te invito, públicamente, a participar o incluso a colaborar conjuntamente para responder a la apasionante cuestión que me planteabas:
“¿Qué pasaría si una persona tiene gran parte de su patrimonio en BTC y se muere saltándose la legítima o se separa saltándose el reparto de la sociedad conyugal? ¿Como se le obligaría? ¿Ha habido ya algún caso?”
Un saludo y muchas gracias por dedicarnos parte de tu tiempo.