En artículos anteriores hemos tratado temas jurídicos relacionados con la tecnología Blockchain, tales como La regulación internacional del Blockchain o Las criptomonedas y su fiscalidad, pero aún no habíamos analizado la problemática existente entre esta tecnología y la normativa vigente de protección de datos. A continuación, trataremos algunos de los puntos más controvertidos entre el Blockchain y el Reglamento (UE) 2016/679 (en adelante “RGPD”), y en especial con el conflicto existente con el ejercicio del derecho al olvido.
El impacto del Blockchain en los datos de carácter personal
El RGPD delimita los datos personales a “toda información sobre una persona física identificada o identificable (el interesado)”. De este modo, será “persona física identificable” aquella cuya identidad pueda determinarse, de manera directa o indirecta, mediante un identificador (un nombre, un número de identificación, datos de localización, un identificador en línea…) que determine varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Una de las características estructurales de la red Blockchain, es que los registros distribuidos dependen de bases de datos en continuo crecimiento, lo que choca con el RGPD, que establece en el artículo 5.1.c) que los datos personales serán: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (‘’minimización de datos’’).
Por lo que, aunque el dato que se recoja en la cadena de bloques no vaya asociado directamente a una persona, se entiende que dicha información es un dato de carácter personal cuando se pueda identificar al titular por cualquier medio, es decir, que en definitiva sea una persona física identificable. Por ejemplo, la dirección IP, también se considera como dato personal.
El Blockchain y su colisión con el derecho al olvido
Recordemos que, una de las características de la tecnología Blockchain es que se puede registrar datos e información de forma que resulte imposible su modificación en el tiempo y, debido a que el registro se encuentra descentralizado (ya que existen muchas copias del mismo por el mundo) resulta prácticamente imposible perder o eliminar dicha información del registro.1
Estas características de la tecnología Blockchain también entran en conflicto con la normativa actual de protección de datos, ya que la imposibilidad de eliminar o editar la información vertida (inmutabilidad) colisiona con el derecho al olvido reconocido en el RGPD.
El artículo 17 del RGPD establece que “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes: a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; b) el interesado retire el consentimiento en que se basa el tratamiento (…).”
Así, el derecho al olvido y los derechos de supresión y rectificación resultan de imposible ejercicio, ya que alteraría la cadena de bloques.
Posibles soluciones propuestas por los expertos frente al derecho al olvido
Frente a todo lo expuesto, se han contemplado varias soluciones técnicas para intentar garantizar los principios de legitimidad del tratamiento, la limitación del plazo de conservación, el derecho al olvido o supresión contenidos en el RGPD, veamos algunas de ellas:
- El uso de hashes para los datos personales: esta propuesta consiste en almacenar los datos personales en un fichero externo gestionado por un responsable del tratamiento (cosa que es algo prácticamente imposible si hablamos de Blockchain públicas), y almacenar y registrar en la red Blockchain un hash derivado de la encriptación de los datos de carácter personal. En caso de que dichos datos personales por ejercicio de los derechos contenidos en el RGPD fueran eliminados o modificados en la base de datos externa, el hash que permanecerá en la red Blockchain se convertirá en un número aleatorio sin sentido, siendo imposible la asociación directa con datos personales modificados.
- Ocultar los bloques: otra de las posibles soluciones consistiría en ocultar el bloque de los resultados de búsqueda en los buscadores. Si no se puede eliminar la información, quizás se puede suprimir su visualización.
No obstante, siendo que la aplicación de la norma de protección de datos exige replantearse el diseño de la tecnología Blockchain, lo más garantista y viable conociendo el estado de la técnica actual, es evitar en la medida de lo posible anotar o referenciar datos de carácter personal en la cadena de bloques. Pero, independientemente de lo anterior, siempre cabe plantearse si lo que debe cambiar es la tecnología para adaptarse a la normativa, o bien modificar la normativa y establecer excepciones que se ajusten al funcionamiento de esta nueva tecnología. Es decir, ¿merece la pena ceder una parte de nuestros derechos para poder beneficiarnos de ciertos avances tecnológicos?