Blockchain y normativa de protección de datos: una relación tensa

Desde que en el año 2009 Satoshi Nakamoto lanzó su famoso paper “Bitcoin: A Peer-to-Peer Electronic Cash System” dando a conocer al público sobre la creación de Bitcoin, la tecnología Blockchain es un fenómeno que se está extendiendo en numerosos ámbitos.

 width=

Desde que en el año 2009 Satoshi Nakamoto lanzó su famoso paper “Bitcoin: A Peer-to-Peer Electronic Cash System” dando a conocer al público sobre la creación de Bitcoin, la tecnología Blockchain es un fenómeno que se está extendiendo en numerosos ámbitos. Su “reciente” aparición y su exponencial desarrollo es un auténtico reto.

  • ¿QUÉ ES EL BLOCKCHAIN?

Blockchain consiste en un sistema que combina las ya existentes redes entre pares (peer to peer o P2P) junto con técnicas de encriptación avanzada que asegura la transparencia y privacidad de la misma. De este modo, este tipo de software logra que, sin necesidad de ningún tipo de intermediario, es decir, basado en una descentralización absoluta, se pueda realizar cualquier tipo de transacción en la que sus participantes tienen el total control de las mismas. Ojo, las transacciones no tienen por qué ser necesariamente económicas, pero esto daría para otro artículo.

  • ¿CÓMO FUNCIONA?

La característica principal de Blockchain es que por cada transacción que se realiza se crea un “bloque” de datos. Cada bloque generado se conecta al bloque anterior y al posterior, generando así una cadena de bloques vinculados, motivo por el cual se le atribuye dicho nombre. Una característica esencial del funcionamiento es que, para que los bloques tengan validez, los usuarios (mejor dicho, los nodos) que participen en cada transacción deberán validar cada una de las mismas. De este modo, se logra que la cadena sea irreversible, pues cada bloque añadido refuerza la verificación de la anterior. De este modo, queda libre de manipulaciones, otorgando una mayor seguridad, privacidad e inalterabilidad.

  • ¿QUÉ PROBLEMAS PLANTEA?

El conflicto en materia de protección de datos se genera dada la colisión entre la naturaleza de este tipo de tecnología con nuestra regulación actual de protección de datos. Desde el año 2016 está en vigor el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD). El RGPD fue transpuesto a nuestro ordenamiento jurídico con Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales en el año 2018 (en lo sucesivo, LOPDGDD).

Dicha normativa se presenta como una auténtica declaración de derechos fundamentales de protección de datos en el ámbito digital. El problema, claro, es que esta nueva tecnología no parece casar del todo con todas sus disposiciones.

A continuación, veremos algunos de los problemas que se suscitan entorno al asunto.

  1. La IP como dato personal

La IP (Protocolo de Internet por sus siglas en inglés) es una marca numérica por la que se puede identificar al proveedor de servicios de Internet que, a su vez, permite identificar el equipo que ha tenido acceso a Internet.

De acuerdo con el RPGD y la LOPDGDD será dato personal cualquier información relativa a una persona física viva identificada o identificable. Aunque de dicha definición no queda muy claro si la IP encaja en la misma, tanto la Agencia Española de Protección de Datos como el Tribunal Supremo han dejado clara su postura, pues la IP permite, en última instancia, asociar a una persona concreta, y, por consiguiente, se trata de un dato personal.

Aunque Blockchain no emplea nombres ni apellidos ni otros datos personales cada vez que se accede a la cadena, sí quedan registradas las entradas y salidas en cada transacción efectuada. De este modo, cabría la posibilidad de identificar al propietario de la conexión.

Con ello se refleja cómo la cadena de bloques, además de los datos que se emplean para cada transacción, requiere el uso de datos personales que quedan registrados al acceder y al salir tras realizar cada transacción y, con ello, una razón más que refleja la necesidad de su cumplimiento con la normativa de protección de datos.

  1. Inexistencia de responsable del tratamiento de datos

La normativa de protección de datos gira entorno a la existencia de un responsable de tratamiento de datos ante el cual el usuario puede ejercer sus derechos. La existencia de un responsable del tratamiento de datos resulta fundamental, pues tiene atribuida la responsabilidad de asegurar la efectividad de la normativa en protección de datos, respondiendo por ello en caso de incumplir.

La naturaleza del Blockchain, en cambio, como red entre pares, se caracteriza por una descentralización absoluta. No hay un sujeto encargado de su elaboración, sino que todos los participantes tienen el control de cada transacción. De este modo, se imposibilita a los interesados cuyos datos se están tratando de conocer quién y para qué usos se están empleando, así como ejercitar los derechos que tienen atribuidos para garantizar este derecho fundamental.

  • Una posible solución

Una de las opciones que se contemplan es la posibilidad de autorizar o constituir a uno o varios de los nodos la posibilidad de adquirir dicha función. No obstante, ello podría resultar incompatible con el concepto per se de descentralización y ausencia de una “autoridad”.

  1. Sobre los derechos conferidos a los usuarios de acuerdo con la normativa

El RGPD como la LOPDGDD contemplan en sus textos una serie de derechos que se confieren a los usuarios cuyos datos están siendo tratados. Estos derechos otorgan a los interesados la seguridad de que los datos se están empleando de forma correcta y con los fines legales y legítimos por los cuales fueron proporcionados.

Dichos derechos son el derecho de acceso, el derecho de rectificación, el derecho de oposición, el derecho de supresión (o “derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

La utilización de Blockchain impacta de forma directa con los derechos de supresión y de limitación del tratamiento. A continuación, veremos de qué manera:

  • Derecho de supresión (o “derecho al olvido)

El RGPD en su artículo 17 recoge que los interesados tienen la posibilidad de solicitar al responsable del tratamiento la supresión de sus datos en una serie de situaciones que el texto contempla.

Por un lado, tal y como se ha indicado anteriormente, la utilización de la tecnología Blockchain implica, entre otros, la inexistencia de un responsable del tratamiento. La participación activa de todos los usuarios implicados en cada transacción supone que no haya un sujeto autorizado para dichas finalidades.

Por otro lado, uno de los propósitos fundamentales del empleo del Blockchain es la imposibilidad de que los datos puedan alterarse de forma unilateral. Es lo que se conoce como inmutabilidad de datos, y otorga una eficaz seguridad a las transacciones que se lleven a cabo.

La complejidad de cumplir con el artículo 17 RGPD no solo se debe a factores técnicos o de diseño, pues se trata de información encriptada y la modificación de la misma puede resultar altamente compleja, sino que también se dificulta a nivel organizacional. Para lograr el propósito que este derecho confiere, debería lograrse que todos los participantes realizaran la supresión de los datos en sus copias de la base de datos. Por ello, es la naturaleza de esta tecnología la que imposibilita el derecho de supresión o derecho al olvido, lo cual supone un choque directo con la normativa de protección de datos.

  • Posibles soluciones

Una de las soluciones que se contemplan para paliar este problema es el de permitir a uno o varios participantes la posibilidad de modificar la información. No obstante, ello podría atentar contra la transparencia de la misma. Otra de las soluciones propuestas es la destrucción de las claves privadas, de modo que los datos cifrados serían inaccesibles con una clave pública.

No obstante, la solución definitiva parece que aún está por ver.

  • Derecho a la limitación del tratamiento

Finalmente, se detectan una serie de problemas con el derecho a la limitación del tratamiento. Dicho derecho confiere al interesado la posibilidad de solicitar al responsable del tratamiento que se apliquen medidas sobre sus datos para evitar su modificación, borrado o supresión.

En línea con los problemas que se plantean con el derecho de supresión, la inmutabilidad de los datos dentro de Blockchain imposibilitan hacer efectivo este derecho. No podemos olvidar que la cadena de bloques supone la creación de una base de datos imborrable, de modo que la naturaleza para la cual fue concebida, y los derechos que la normativa de protección de datos confiere a los interesados, no termina de encajar.

Aunque las soluciones propuestas para paliar la colisión de Blockchain con el derecho de supresión podrían casar en cierta manera con el presente derecho, hoy por hoy no parece que tengamos una solución clara en este aspecto.

  1. Y ahora… ¿un Metaverso?

El metaverso es un término del que se ha hablado y escrito mucho en estos últimos meses. El cambio de nombre de la compañía de “Facebook” a “Meta” y su objetivo de desarrollar su propio metaverso ha impulsado y popularizado este fenómeno.

¿Qué es el metaverso?

Este concepto proviene de una novela, “Snow Crash” (1992) de Neal Stephenson, y está compuesto por los términos meta, es decir, más allá, y verso, es decir, universo.

Aunque la presentación del propio metaverso de Facebook ha acelerado el proceso y participación de usuarios en estos espacios, en la actualidad ya existen algunas plataformas que ofrecen este servicio tales como Decentraland o The Sandbox.

Las cuestiones jurídicas que se suscitan entorno a la existencia del metaverso no son pocas, y una de ellas es la concerniente a la protección de datos. La complejidad de la relación entre el metaverso y la normativa de protección de datos se reflejan en las dos siguientes cuestiones:

Por un lado, la estrecha relación del metaverso y la tecnología Blockchain. Una de las premisas de la existencia del metaverso es su consecución al margen de una autoridad, es decir, de forma descentralizada, por lo que la tecnología Blockchain parece ser la más acertada para lograr su objetivo. Con ello, se plantea la posibilidad de que los usuarios puedan realizar transacciones económicas de todo tipo sin necesidad de acudir a los métodos convencionales de compras electrónicas. Esto ya es una realidad en el ya mencionado anteriormente Decentraland, donde los usuarios pueden comprar parcelas, edificarlas y venderlas. El empleo de la tecnología Blockchain en el Metaverso acarrearía consigo los problemas anteriormente mencionados.

Por otro lado, los usuarios, mediante la creación de un avatar, pueden acceder y realizar cualquier tipo de actividad, no solo a nivel económico, sino cualquier actuación propia de la vida diaria. En términos absolutos, podríamos entender que el metaverso es un dato en sí, un metadato compuesto por millones de otros datos provenientes de los usuarios que participan. Los datos que pueden llegar a proporcionarse son inconcebibles en comparación a los datos que contempla nuestra actual regulación, pues se trata de información constante sobre las decisiones, actuaciones y transacciones que realiza una persona en su día a día. Cuestiones que abarcan posibles problemas de intrusismo, así como la trazabilidad de los datos (i.e., cada desplazamiento que realice un sujeto en el metaverso es un dato en sí, un dato que quedará registrado y podrá conocerse).

La magnitud de los datos que se van a exponer en un futuro muy cercano dentro de la creación de este nuevo universo que va más allá del que conocemos no es cosa menor. En lo concerniente al Blockchain, quedan algunos asuntos por solucionar para lograr una protección efectiva de los datos personales, pues actualmente se sigue produciendo cierta inseguridad jurídica.

En lo que respecta a una posible “segunda vida” en el metaverso, garantizar una efectiva aplicación de este derecho fundamental va a ser un auténtico reto y que, en nuestra opinión, va a precisar un nuevo planteamiento del concepto y concepción de dato personal.

Elvira Sebastià Puig (autor principal)

Patricia Lalanda Ordóñez

LOYRA ABOGADOS