Ciberseguridad Inteligencia Artifical Protección de datos Vulnerabilidades

La cadena de bloques o blockchain, definida esta como una base de datos compartida que registra en un libro mayor todas las operaciones realizadas por los usuarios, ha sido elevada a la categoría de axioma durante los últimos años. Todo ello debido a que el blockchain basa su actividad en el principio de inviolabilidad de las transacciones, las cuales, además de ser únicas, tienen una trazabilidad garantizada que certifica la transacción.

Como ocurre a menudo, el avance legal y tecnológico no han ido de la mano por lo que actualmente existe cierta inseguridad jurídica y jurisprudencial sobre cómo deberían articularse los aspectos de protección de datos que afectan al blockchain, por ejemplo, se han presentado las siguientes casuísticas:

En primer lugar, la estructura general de protección de datosestablecida en el Reglamento General de Protección de Datos (RGPD), contempla una serie de principios y derechos que resultan difícilmente aplicables en el blockchain, el cual tiene como característica principal la inmutabilidad de la información que consta en los bloques, es decir, busca garantizar la seguridad y fiabilidad de la información.

Entre estos principios, el RGPD establece que los datos únicamente deberán ser tratados para los fines que fueron recogidos (limitación de la finalidad), y durante el tiempo estrictamente necesario (limitación del plazo de conservación). Por su parte, la cadena de bloques se divide en diversas bases de datos que van creciendo de forma continua y cuya información está replicada en equipos diferentes.

Esto plantea diversas dudas relativas a si la finalidad del uso de los datos en blockchain, solo incluye la transacción inicial, o si también abarca el tratamiento continuo o ulterior de los datos personales (como su almacenamiento y su uso para finalidades compatibles), teniendo en cuenta que una vez que se incorpora información a la cadena de bloques, esta deviene única e inviolable, es decir, los datos almacenados en el blockchain se almacenan de manera indefinida en su red y por lo tanto resulta prácticamente imposible atender a los citados principios del RGPD.

En segundo lugar, se han manifestado incompatibilidades con el principio de accountability del RGPD, es decir, sobre la depuración de responsabilidades y rendición de cuentas de la gran variedad de actores que pueden aparecer durante el tratamiento de los datos personales. El Reglamento General de Protección de Datos se basa en la suposición subyacente de que para cada tratamiento de datos de carácter personal existe un responsable al que el interesado puede dirigirse para ejercer sus derechos. Sin embargo, en el blockchain esto no es tan sencillo, ya que se tratan bases de datos que en ocasiones buscan lograr la descentralización mediante la supresión de intermediarios y la sustitución de un actor unitario por muchos participantes diferentes no relacionados entre sí.

Con esto, lo más probable es que a pesar de que un usuario tenga la consideración de responsable de tratamiento, sea incapaz de garantizar la rectificación o el borrado de datos, atendiendo a que no tiene una influencia real sobre el tratamiento que está realizando.

Oye, ¿pero entonces solo hay problemas? Nada más lejos, las tecnologías blockchain pueden ser utilizadas como una herramienta que permita soportar formas alternativas de gestión, tratamiento y comunicación de datos. Las cadenas de bloques se pueden diseñar de forma que permitan el intercambio de datos sin la necesidad de un intermediario central de confianza, ofreciendo transparencia sobre quién ha accedido a los datos. Así mismo, esta tecnología podría ser aplicable a los  contratos inteligentes o smart contracts, automatizando el intercambio de datos y reduciendo los costes de la transacción.  

En resumen, la neutralidad tecnológica de la estructura de la normativa de protección de datos, implica que en ocasiones sea difícil aplicar su contenido, sin embargo, esa misma regulación proporciona mecanismos diseñados para lidiar con algunas de las problemáticas presentadas, entre ellos destacan las certificaciones o códigos de conducta que tienen como objetivo garantizar que una empresa ofrece garantías adecuadas y suficientes para cumplir con los principios establecidos en el RGPD.

 No obstante, existe la necesidad patente y adicional de que sean las autoridades de control, junto con la Comisión y el Comité Europeo de Protección de Datos, quienes elaboren de forma homogénea, directrices, recomendaciones y buenas prácticas, con el fin de establecer unas reglas básicas sobre el diseño, desarrollo y uso de la tecnología blockchain.

Author

Marina Medela Fernández