En esta sección podrás informarte sobre las diferencias entre el RGPD y Blockchain y las soluciones que la industria está aplicando para cumplir la ley.

Infografía de RGPD y Blockchain
 
Ver

Introducción al RGPD y Blockchain

El RGPD (Reglamento General de Protección de Datos) es la norma europea que regula la protección de los datos personales de las personas que se encuentran en la Unión Europea, independientemente de que los datos sean tratados por empresas establecidas en la UE o en otro Estado.

Este marco legal de protección de datos nació con el propósito de otorgar un mayor nivel de protección a los individuos y promover al propio tiempo la libre circulación de los datos personales dentro de las fronteras de la UE y hacia esos países que cuenten con un nivel de protección de datos adecuado.

Es, además, una norma tecnológicamente neutra, lo que significa que se aplica a cualquier tratamiento de datos personales que recaiga dentro de su ámbito de aplicación, independientemente de la tecnología utilizada. Ahora bien, y aquí está el origen de las fricciones entre el RGPD y Blockchain, cuando se elaboró el RGPD se estaba pensando en proteger a los ciudadanos frente al poder abusivo de los grandes silos de datos centralizados, y no en tecnologías de libre acceso con nodos distribuidos por todo el mundo que mantienen una copia idéntica de una misma base de datos.  

El RGPD no se concibió pensando en los problemas que surgirían al aplicar la norma a los tratamientos de datos personales por tecnologías de registro distribuido como Blockchain.

Tipos de Blockchain

Según los permisos que requiere una blockchain para que sus usuarios puedan participar en ella, se distinguen dos tipos de blockchains: las “sin permisos” (permissionless), y las “permisionadas” (permissioned).

  • Blockchains sin permisos: son accesibles a cualquiera en cualquier parte del mundo. Cualquiera puede participar conservando una copia de la cadena de bloques, registrando transacciones o validando los bloques.
  • Blockchains permisionadas: hay una entidad central que distribuye permisos de acceso y participación.

Asimismo, las blockchains sin permisos también se conocen comúnmente como blockchains públicas, y las blockchains permisionadas como privadas. No obstante, esta clasificación puede resultar ambigua, pues una blockchain permisionada puede ser al mismo tiempo privada cuando restringe la lectura de los bloques, o pública cuando es transparente.

Ambos tipos de blockchains presentan sus propios riesgos para la privacidad y la protección de datos, pero es en las blockchains sin permisos en las que las incompatibilidades entre el RGPD y Blockchain se hacen más evidentes y en las que mayor esmero se debe poner para crear aplicaciones que garanticen un buen nivel de protección de datos.

Cuando aplica el RGPD a una blockchain

El primero de los problemas entre el RGPD y Blockchain concierne su ámbito de aplicación.

Según el artículo 3 del RGPD, el Reglamento debe aplicarse a esos tratamientos “total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Lo primero que deberás evaluar para saber si debes observar el RGPD en tu blockchain es si tratas o no con datos personales.

Acto seguido, deberás verificar si:

  1. tratas datos personales en el contexto de un establecimiento ubicado en la UE, o
  2. no teniendo un establecimiento en la Unión, tratas datos personales de personas físicas que se encuentren en la Unión, ofreciéndoles bienes o servicios o controlando su comportamiento en la Unión.
Ámbito de aplicación. Quién está obligado a cumplir el rgpd
 

Infórmate de quién debe cumplir el RGPD y a qué tratamientos se debe aplicar.

Datos personales en la cadena de bloques

El RGPD define los datos personales en el artículo 4.1 como “toda información sobre una persona física identificada o identificable. Una persona física se considera identificable cuando su identidad “pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Existe un tipo de datos personales que son especiales porque vinculan información a una persona física, son los identificadores. En una blockchain los identificadores son las claves públicas de los participantes y sus direcciones, que se obtienen a partir de un hash de las primeras.

Vinculadas a las direcciones quedan registradas todas las transacciones en las que esa dirección ha participado, bien sea como remitente o destinataria, así como el contenido de la transacción y los metadatos contenidos en la cabecera de los bloques.

Toda la información de los bloques que se refiera a un individuo será un dato personal siempre y cuando su titular pueda llegar a ser identificado.

Además, ten en cuenta que, como bien señaló el GT29 en el Dictamen 4/2007 sobre el concepto de dato personal (wp136), la información también puede referirse a un objeto o a un proceso y solo indirectamente a una persona y en este caso también será un dato personal.

¿Puede identificarse al propietario de una clave pública?

El considerando 26 del RGPD establece:

Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.

Para operar en una blockchain como Bitcoin o Ethereum tan solo necesitas crear una clave privada y su clave pública y recibir la primera transacción. No debes pasar ningún procedimiento de registro donde debas introducir un nombre y apellidos, dirección o número de identificación.

Es por ello que la identificación directa con los datos de la blockchain es absolutamente imposible en la gran mayoría de casos.  Ahora bien, la blockchain no es una tecnología separada, más bien todo lo contrario: es una de las múltiples capas que integra una aplicación.

En consecuencia, si bien la identificación directa puede no ser viable, en muchos caso sí será posible identificar al titular de una clave pública indirectamente, combinando sus datos de la cadena de bloques con identificadores presentes en otros protocolos, dispositivos o aplicaciones. Arun Devan en “The Blockchain Technology Stack“, distingue las siguientes capas:

Capas de la tecnología Blockchain

Muchas de las organizaciones que prestan servicios blockchain podrán tener acceso a otros datos personales tuyos. Por ejemplo, un exchange regulado deberá acometer procedimientos KYC o de prevención de blanqueo de capitales, y cuando uses una de sus billeteras para ordenar transacciones, debería será capaz de vincular tu identidad real a tus claves públicas.

Otro ejemplo lo forman las entidades de e-commerce que acepten pagos en criptomonedas. En un estudio de la Universidad de Princeton se comprobó que muchas de estas entidades instalan cookies en los navegadores que recogen información acerca del flujo de compra que hace posible la identificación de la transacción concreta en la blockchain y, en otros casos,la cookie no solo recogía datos sobre la compra, sino que capturaba la transacción concreta o incluso la clave pública del pagador.

Cuando se combinan los datos del flujo de compra con otros datos a los que también tiene acceso un comerciante online, como la dirección IP o la identidad real del comprador y la dirección de entrega del pedido, es posible identificar a un individuo en la blockchain.

Red p2p blockchainPor otro lado, los nodos de una blockchain necesitan utilizar una red de comunicaciones para transmitirse los datos y alcanzar el consenso sobre el estado (sincronizarse). Actualmente la mayoría de blockchains sin permisos están diseñadas para utilizar la red de Internet y los protocolos TCP/IP, ergo los pares necesitan conocer las direcciones IP de los otros pares para comunicarse. Si la aplicación blockchain no ha introducido fuertes salvaguardas para la privacidad, sus usuarios también podrán tener acceso a las IPs y vincularlas a las claves públicas.

El acceso a datos de aplicaciones terceras y el uso de una red de comunicaciones abierta como Internet para enviar y recibir comunicaciones, son dos ejemplos de cómo desenmascarar al verdadero titular de una clave pública, pero lo cierto es que hay muchas más.

Si estás interesado en averiguar más sobre las distintas formas de identificar al individuo detrás de una clave pública de blockchain, puedes consultar “Datos personales y anonimidad en Bitcoin”, publicada en el nº 48 de la Revista Aranzadi de Derecho y Nuevas Tecnologías.

¿No son los datos anónimos?

En el WP 136, el GT29 definía los “datos anónimos” en los siguientes términos:

Los datos anónimos pueden definirse como cualquier información relativa a una persona física que no permita su identificación por el responsable del tratamiento de los datos o por cualquier otra persona, teniendo en cuenta el conjunto de medios que puedan razonablemente ser utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona. “Datos anonimizados” serán, por lo tanto, los datos anónimos que con anterioridad se referían a una persona identificable, cuya identificación ya no es posible.

Para valorar si la solución de anonimización es robusta y la re-identificación imposible, la técnica aplicada “[debe impedir] a todos singularizar a una persona en un conjunto de datos, vincular dos registros en un conjunto de datos (o dos registros pertenecientes a conjuntos diferentes) e inferir cualquier tipo de información a partir de dicho conjunto” (ver WP216).

Que una solución anonimizada deba ofrecer resistencia a la singularización, vinculabilidad e inferencia supone establecer un baremo de anonimización tan alto que en la actualidad es seguro afirmar que la mayoría de blockchains registran datos personales.

En las blockchains públicas los nodos requieren leer y procesar los datos para poder validar las transacciones. Salvo que se haya embebido en la blockchain una técnica centrada en la privacidad, como las ring signatures de monero, o el zk-SNARK de Zcash, los datos serán visibles al público y la única barrera para adquirir el status de dato personal será la participación de sus usuarios mediante claves públicas y el cifrado o hash de las transacciones, para que no consten en texto plano.

Ahora bien, debido a que las claves públicas singularizan al titular, a que es posible vincular los registros de la blockchain con otros conjuntos de datos de la propia blockchain o de otros protocolos o aplicaciones, y a que es posible inferir información a partir de los datos registrados en la cadena de bloques, en la mayoría de blockchains los datos no podrán considerarse anónimos.

El cifrado y el hashing son técnicas de seudonimización y no de anonimización, pues permiten la vinculación de la información seudonimizada con otros conjuntos de datos e identificar al interesado.

Aplicación territorial del RGPD y Blockchain

Uno de los problemas más acuciantes entre el RGPD y Blockchain es el que concierne al ámbito de aplicación territorial. Las blockchain sin permisos son libre acceso a cualquiera en cualquier parte del mundo, lo que habilita a cualquier persona a tener un nodo y participar en el tratamiento de datos personales desde cualquier rincón del mundo.

Este carácter transnacional levanta serias cuestiones jurisdiccionales, de Derecho aplicable y de reclamación de derechos, y es que en ciertas circunstancias el ámbito de aplicación del RGPD también comprende a responsables y encargados establecidos fuera de la UE.

Según el artículo 3 del RGPD, deberás aplicar el RGPD a los siguientes tratamientos:

  1. Tratamientos de datos personales en el contexto de un establecimiento ubicado en la UE, independientemente de dónde se sitúen los medios de procesamiento;
  2. no teniendo un establecimiento en la Unión, trates datos personales de personas físicas que se encuentren en la Unión, ofreciéndoles bienes o servicios o controlando comportamiento en la Unión.

No ocurre lo mismo en las blockchains permisionadas. En estas la entidad u organización propietaria de la blockchain puede decidir qué nodos participarán en la blockchain y con qué función y permisos (minando bloques, transmitiendo transacciones, solo lectura…).

Transferencias internacionales de datos en la blockchain

Una blockchain es una base de datos distribuida en la que cada nodo conserva una réplica idéntica de la información. Para funcionar, todos los nodos deben trabajar sobre la versión más reciente de la cadena y ello conlleva la necesidad de comunicarse constantemente las nuevas transacciones y bloques.

Según el RGPD, las transferencias de datos personales fuera del territorio del Espacio Económico Europeo sólo pueden ocurrir si se cumple alguna de las condiciones del capítulo V del Reglamento.

Satisfacer una de esas condiciones no debería presentar excesivas complicaciones en blockchains permisionadas, pues en estas el responsable puede tener absoluto control sobre la ubicación de los nodos de la Red.

Por otro lado, no puede decirse lo mismo en el caso de las blockchains sin permisos, pues los datos pueden transferirse sin control por todo el planeta y el RGPD no parece ofrecer un buen mecanismo para permitir estas transferencias internacionales.

Transferencias internacionales de datos en el RGPD. Transferencias fuera de la UE
 

Infórmate de cuales son las condiciones que debes cumplir para transferir datos personales fuera de la Unión Europea.

Responsables y encargados en el RGPD y Blockchain

El RGPD define al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

Normalmente coincide con la entidad que recoge los datos en primera instancia, pero no siempre es así; el responsable será quien determine la finalidad para la que se recogen los datos y cómo se van a tratar.

El encargado del tratamiento es “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

En una blockchain permisionada existirá una entidad o conjunto de entidades que operen la blockchain y tengan la capacidad de otorgar permisos a otros nodos para acceder o escribir en ella. Esta organización será el responsable del tratamiento y el resto de nodos de la red serán encargados del tratamiento en la medida en que sean entidades distintas al responsable.

En una blockchain sin permisos el panorama es muy distinto y de hecho la cuestión está lejos de tener una solución pacífica. En este tipo de blockchains el tratamiento es llevado a cabo conjuntamente por todos los nodos según las normas definidas en el software, que participan de forma automática en el protocolo, propagando y validando transacciones sin la necesidad de acción humana.

Aunque la automatización de su funcionamiento podría levantar la idea de que no existe acción humana y por lo tanto no hay responsable del tratamiento, esta afirmación no sería del todo correcta pues una aplicación con una infraestructura blockchain sin permisos debe ser instalada en un equipo primero, y eso requiere acción del usuario.

Si considerásemos a todos los usuarios manejando un nodo responsables del tratamiento, que no es seguro que lo sean, se generarían problemas significativos entre el RGPD y Blockchain en diferentes áreas. Por ejemplo para exigir responsabilidades, pues no existe una sola entidad a la que perseguir, o para ejercer alguno de los derechos de protección de datos, como se explica más adelante.

Principios de protección de datos en el RGPD y Blockchain

Guía para incorporar los principios de protección de datos del RGPD en una empresa
 

Si tratas datos personales debes hacerlo conforme a los principios de protección de datos. Infórmate de cuales son y cómo incorporarlos en tu operativa.

Principio de licitud, lealtad y transparencia

Este principio puede ser relativamente sencillo de cumplir en una blockchain permisionada, pues basta, por ejemplo, con recoger el consentimiento de los interesados. Pero, ¿y en una blockchain sin permisos?

En este caso no es tan sencillo, pues no existe un consentimiento válido en términos del RGPD. Sí sería posible entender que el tratamiento es lícito en base al interés legítimo cuando se ofreciese una información completa acerca del tratamiento en el momento previo a que los interesados accediesen al software.

En esos casos, los interesados en formar parte de la red conocerían las vicisitudes de utilizar la blockchain en relación con el tratamiento de sus datos personales y los riesgos que ello conlleva, lo que les permitiría tomar una decisión informada.

Es posible que entonces pudiera abogarse por la existencia de unas expectativas razonables en los interesados de que sus datos serán tratados en la forma que lo hace la blockchain en cuestión.

Principio de limitación de la finalidad

En este punto el RGPD y Blockchain sí parecen ser más compatibles. En los silos de datos centralizados existe el riesgo de que las entidades utilicen los datos personales para finalidades distintas de esas para los que originariamente fueron obtenidos. Esto no es así en una blockchain.

En la blockchain el tratamiento está programado en el software y hay absoluta certitud sobre cómo el resto de nodos van a tratar los datos y con qué finalidad. Por otro lado, en las blockchains permisionadas esto solo es parcialmente cierto, pues en estas nada impide al operador de la blockchain alterar el protocolo o utilizar los datos con otros fines.

Principio de minimización de datos

Este principio del RGPD y Blockchain se encuentran irremediablemente enfrentados. El principio de minimización de datos significa que solo se deben recoger y tratar datos personales que sean adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados.

La cadena de bloques es inmutable. Cada nuevo bloque que se añade a la cadena contiene el hash de la cabecera del bloque anterior, de modo que si se altera un bloque, se alteraría su hash y los bloques posteriores dejarían de ser válidos.

Esta forma de operar es esencial para mantener la blockchain segura de ataques, pero también es un problema para el RGPD y especialmente para el principio de minimización de datos.

La cadena de bloques nunca dejará de crecer y añadir nuevos bloques sobre los anteriores, aumentado su tamaño y con ello la cantidad de datos personales.

Principio de limitación del plazo de conservación

Los bloques en blockchains sin permisos como Bitcoin o Ethereum no expiran, existen a perpetuidad. Es cierto que hay excepciones y algunos datos si pueden eliminarse, por ejemplo, en Bitcoin se pueden “podar los bloques” para eliminar las transacciones completamente gastadas.

No obstante, la poda de bloques o “pruning” no puede ser realizada por todos los nodos, pues para validar las transacciones incluidas en un bloque los nodos necesitan acceso a la blockchain completa.

Por lo que se refiere a las claves públicas, que también son datos personales, estas forman parte de los metadatos de los bloques y no pueden ser suprimidas.

Respecto a los smart contracts, en Ethereum es posible programarlos para que al ejecutar la función selfdestruct() estos se suiciden. El suicidio de un contrato “contract suicide” supone que sus datos serán borrados, ergo un smart contract sí puede diseñarse abriendo una puerta para dar cumplimiento al principio de limitación del plazo de conservación.

Principio de exactitud

El principio de exactitud exige que se tomen las medidas razonables para asegurar que los datos personales que son correctos, se encuentran actualizados y no inducen a error.

Las blockchains no permiten borrar unos datos y reemplazarlos con otros, únicamente se pueden añadir nuevos datos en minando nuevos bloques con nuevas transacciones que contengan una declaración adicional y “aclaren” el error.

Si se pretendiese modificar el contenido de un bloque, se debería crear una hard fork, que sería una versión distinta de la cadena de bloques que coexistiría con la anterior.

En las blockchains permisionadas es posible modificar los bloques sin tener que crear una cadena de bloques distinta, si bien en este caso debería tenerse en cuenta que, cuanto más atrás en la cadena se encuentre el dato a rectificar, más costoso en tiempo y recursos será modificar el dato.

Principio de integridad y confidencialidad

Las blockchains presentan sus riesgos propios para la seguridad de la información y deben ser evaluados y tratados adecuadamente siguiendo un método de gestión de riesgos adecuado, como el del SGSI ISO 27001.

El principio de integridad y confidencialidad, o de seguridad de la información, significa que los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Para cumplir con este principio, deben identificarse las amenazas para los activos de la información que afecten a la integridad, confidencialidad y disponibilidad de la información que se derive del uso de la tecnología Blockchain, evaluar la probabilidad y el impacto de que una amenaza se aproveche de una vulnerabilidad y se materialice y, combinando ambas, determinar el nivel de riesgo y seleccionar los controles para tratarlo.

For instance, on Blockchain hashing algorithms are widely used, therefore one of the risks to review is that those algorithms are not easy to break. Under to circumstance a blockchain should use unsafe algorithms such as md5, since it may compromise integrity and availability of the information published on the blockchain and the security of the whole network.

Por ejemplo, en Blockchain se utilizan extensivamente algoritmos de hashing, ergo uno de los aspectos a revisar es que estos algoritmos no sean fáciles de romper. Bajo ningún concepto deberían utilizarse algoritmos poco seguros como el md5, pues ello podría comprometer la integridad y confidencialidad de la información publicada en la cadena y la seguridad de toda la red.

Otra amenaza para la información de la cadena de bloques es la pérdida de claves privadas. La pérdida de una clave privada puede provocar, si no se ha dispuesto un mecanismo de recuperación, que la información deje de estar disponible en la blockchain.

Seguridad de la información en el RGPD. Ciberseguridad.
 

¿Conoces los requisitos de seguridad de la información en el RGPD? Es la piedra angular de los principios de protección de datos.

Derechos del RGPD en Blockchain

Derechos del RGPD. Derechos ARCO. Protección de datos.
 

Aplicar el RGPD significa disponer los mecanismos adecuados para facilitar el ejercicio de los derechos de protección de datos al interesado. Infórmate de cuáles son esos derechos y cómo debes responderlos.

Otro de los ámbitos donde el RGPD y Blockchain se encuentran más en desacuerdo es en los derechos de protección de datos.

El responsable del tratamiento tiene el deber de disponer los medios necesarios y razonables para facilitar el ejercicio de los derechos de protección de datos a los interesados.

Facilitar el ejercicio de los derechos de protección de datos cuando los datos personales se encuentran publicados en una blockchain puede ser una tarea muy complicada.

Para empezar, si se asume que en una blockchain sin permisos todos los nodos participan en el tratamiento como responsables, cualquier interesado podría exigir a cualquiera de los nodos uno de sus derechos.

Esto puede ser especialmente problemático ya que, de entrada, los interesados difícilmente podrán identificar un nodo al que dirigir su petición y, aún y en el caso de que lo lograran, el nodo no sabrá qué datos de la cadena de bloques pertenecen al interesado, ya que solo tienen acceso a datos cifrados o hashes.

Derecho de Acceso

El derecho de acceso faculta a los interesados a exigir al responsable confirmación de si se tratan o no sus datos personales y, en caso afirmativo, obtener una copia de todos ellos. Además, también tendrá derecho a exigir que se le comunique:

  • la finalidad del tratamiento;
  • las categorías de datos que tratas (datos de salud, datos financieros, datos profesionales …);
  • los destinatarios a quienes comunicas o has previsto comunicar sus datos y, si los transfieres a países u organizaciones no miembros del Espacio Económico Europeo, las garantías que has dispuesto para que esa transferencia de datos sea legal;
  • los plazos de conservación de los datos que has definido;
  • la existencia de su derecho a la rectificación, supresión, limitación y oposición, así como su derecho a presentar una reclamación ante la autoridad de control;
  • la fuente de la que has obtenido sus datos, si no los has obtenido directamente de él o ella; y
  • la existencia de decisiones automatizadas (si las hay), incluida la elaboración de perfiles, la lógica aplicada, su importancia y las consecuencias.

¿Cómo puede el responsable dar respuesta a un derecho de acceso si no puede discriminar qué datos de la cadena de bloques son datos personales del interesado?

Una posibilidad sería facilitar al interesado el enlace donde poder descargar e instalar el software y así acceder a la cadena de bloques, aunque es discutible que esto fuese suficiente para responder la petición de acceso.

Derecho de Rectificación

El derecho a la rectificación permite a los interesados exigir al responsable del tratamiento que corrija sus datos personales cuando sean incompletos o inexactos.

En la blockchain es imposible modificar los datos de un bloque ya añadido a la cadena, pues esto originaría un cambio en su hash y los bloques posteriores dejarían de ser válidos. Esta resistencia es necesaria para evitar ataques a la blockchain pero también puede representar un problema para la efectividad del derecho de rectificación, salvo que se acepte la rectificación mediante declaraciones adicionales como solución válida.

Así lo preveé el RGPD en el artículo 16, que dicta:

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Si bien la blockchain no permite rectificar los datos de los bloques, sí permite añadir nuevos bloques con nueva información en la que se podría incluir una declaración adicional completando la información que sea incompleta o rectificando información errónea o inexacta. Queda por ver si esta forma de responder a una solicitud de rectificación se consideraría correcta.

Derecho de supresión (derecho al olvido)

El derecho de supresión  o derecho al olvido, faculta a los interesados para exigir al responsable la supresión de sus datos personales cuando exista alguna de las siguientes circunstancias:

  • los datos personales ya no sean necesarios para los fines del tratamiento;
  • los datos eran tratados en base al consentimiento y el interesado lo ha retirado, salvo que sea posible fundar el tratamiento en otra base legal;
  • el interesado ha ejercido el derecho de oposición;
  • los datos han sido tratados de forma ilícita (contra la ley o sin que exista ninguna base legal, como el consentimiento);
  • una ley obliga a su supresión;
  • se han obtenido los datos de un menor de 16 años sometido a tutela o patria potestad sin haber recabado previamente la autorización o consentimiento de su tutor o pariente.

La inmutabilidad de la blockchain también puede suponer un problema para el cumplimiento de las peticiones de supresión de datos personales.

Como ya se ha explicado al desarrollar el principio de limitación del plazo de conservación, existen algunas excepciones a la inmutabilidad y en ciertos casos hay datos que sí pueden eliminarse, como en las forks, la operación de prunning o el suicidio de smart contracts.

Estas soluciones no obstante tienen sus propios inconvenientes. En algunos casos no serán prácticas pues llevarlas a cabo será demasiado costoso y en otras el grado de supresión que ofrecen no parece suficiente para satisfacer el derecho a la supresión del RGPD.

En el Informe de Iniciativa para una Política en Blockchain Tokens como una Nueva Clase de Activos, se distinguía otra posible forma de hacer efectivo el derecho de supresión. En dicho informe se propuso como solución la destrucción de las claves privadas, lo que provocaría el bloqueo de la información en la blockchain, que permanecería cifrada ad infinitum sin posibilidad de ser accedida.

Soluciones para reconciliar el RGPD y Blockchain

Bases de datos centralizadas y hash pointers

Debido a las numerosas fricciones que existen entre el RGPD y Blockchain, una de las soluciones más recurrida es la de mover los datos transaccionales offchain y almacenarlos en una base de datos centralizada. En su lugar, la cadena de bloques solo contendría los metadatos de la cabecera y hash pointers apuntando a la segunda base de datos.

¿Qué es un hash pointer?

Un hash pointer es una estructura ampliamente utilizada en blockchains que se compone de los siguientes datos:

  • Pointer a dónde se almacenan los datos, y
  • Hash criptográfico de los datos.

Mientras el pointer se utiliza para obtener la información, el hash se utiliza para verificar que esa no ha sido alterada (vid. Hash Pointers and Data Structures, de Huabing Zhao).

Hash pointer

Con esta solución de segundo nivel se logra mover los datos personales contenidos en la lista de transacciones a una base de datos centralizada, donde pueden ser rectificados, suprimidos y manipulados con total libertad, si bien debería tenerse en cuenta que cualquier cambio en la información offchain provocaría un cambio en su hash y el hash pointer de la blockchain dejaría de ser válido.

Si bien esta es una solución recomendable para reconciliar el RGPD y Blockchain y facilitar el cumplimiento normativo, seguirá existiendo el problema de las claves públicas ya que estas son necesarias para validar los bloques y no pueden moverse fuera de la cadena.

El uso de bases de datos centralizadas y hash pointers se encuentra muy extendido, pero no exento de crítica. Si bien puede ser una solución idónea para blockchains permisionadas, es cuestionable si debería o no usarse para blockchains sin permisos, pues al recurrir a un tercero que ofrece un modelo centralizado para almacenar los datos personales se está introduciendo de nuevo un elemento de confianza, que es precisamente lo que Blockchain pretende suprimir o, más bien, trasladar de las entidades privadas al código y las matemáticas.

Pruebas de Conocimiento Cero

Las pruebas de “conocimiento cero” permiten que una parte (el prover) pruebe a otra (el verificador) que un enunciado es verdadero, sin revelar ninguna información más allá de la validez del enunciado en sí.

El zk-SNARK “Argumento de Conocimiento No Interactivo Sucinto de Conocimiento Cero” (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) es una criptografía de conocimiento cero en la que se puede demostrar la posesión de cierta información, por ejemplo, una clave secreta, sin revelar esa información, y sin ninguna interacción entre el prover y el verificador.

Los zk-SNARKs son utilizados por Zcash para demostrar que se han cumplido las condiciones para una transacción válida, sin revelar ninguna información crucial sobre las direcciones o los valores involucrados.

En Zcash las transacciones permanecen completamente cifradas en la blockchain sin revelar la dirección del remitente, del destinatario o el valor de la transacción.

Si deseas saber más sobre cómo funcionan las pruebas de conocimiento cero y cómo Zcash usa zk-SNARKs, pincha aquí.

Evaluación de impacto de protección de datos

El artículo 35.1 establece que se requerirá la realización de una evaluación de impacto sobre la protección de datos (“EIPD”) cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Para saber si un tratamiento “probablemente entraña un alto riesgo” y por lo tanto se requiere hacer una EIPD, el CEPD establece que deben observarse hasta 9 criterios, entre los que se incluye el uso innovador o nuevas soluciones tecnológicas u organizativas.

La necesidad o no de realizar una EIPD es una cuestión que debe valorarse caso por caso, pues en algunas situaciones es posible que un solo criterio ya entrañe un alto riesgo y motive una EIPD y en otros pueden concurrir dos o más criterios y juzgarse que no es necesario.

El CEPD estima que, en la mayoría de casos, la concurrencia de dos criterios ya motivará la necesidad de realizar una EIPD.

Evaluación de impacto de protección de datos del RGPD. Qué es, cuándo hacerla, cómo hacerla, modelos y ejemplos
 

Infórmate sobre qué es una evaluación de impacto, en qué casos es necesaria y cómo debes hacerla.

Si se observan el resto de criterios, es muy probable que muchas aplicaciones blockchain, especialmente las de carácter público sin permisos, presenten un alto riesgo y requieran realizar una EIPD, y es que rara es la blockchain pública en la que no se tratan datos a gran escala o no se obstaculiza significativamente el ejercicio de derechos.

El “alto riesgo para los derechos y libertades de las personas físicas” es una de las situaciones en las que debes realizar una evaluación de impacto sobre la protección de datos, pero no es la única.

También deberás llevar a cabo una EIPD cuando el tratamiento pueda incluirse entre los nombrados por el artículo 35.3 o cuando figure en la lista de la autoridad de protección de datos supervisora.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo