BLOCKCHAIN y PROTECCIÓN DE DATOS

En el presente artículo se trae a colación el análisis de aspectos concretos de privacidad y protección de datos aplicados a una de las tecnologías disruptivas que está llamada a ser uno de los mayores cambios sistémicos de nuestros tiempos y cuya perspectiva de uso futuro arroja las cotas de expectativas más altas del panorama global. Ésta nos es otra que la tecnología BLOCKCHAIN o cadena de bloques.

He de indicar al lector que se requiere unas nociones básicas de en qué consiste la tecnología BLOCKCHAIN y sus principales características, ya que el análisis que se realiza en el presente artículo trata de los datos que son necesarios introducir en la BLOCKCHAIN y su consideración como dato de carácter personal.

No obstante, se facilita un breve resumen de lo que es BLOCKCHAIN y sus principales características:

El concepto presenta diversas definiciones posibles, pudiendo decirse que se trata de una tecnología de registro distribuido de información, replicada en tiempo -real- en miles de ordenadores conectados, cuyos datos entran en este registro a través de un complejo sistema de autenticación basado en criptografía asimétrica utilizando claves públicas y privadas para garantizar la correcta (evitando el doble gasto) y segura anotación de las transacciones. Este método de cifrado asegura la confidencialidad de la información ya que lo que se graba en esta cadena de bloque es un hash que resume una entrada de información.

La cadena de bloques está apoyada en tecnología peer to peer y por tanto compartida por múltiples nodos, en la que se registran bloques de información. Son sus características principales el Consenso, Trazabilidad e Inmutabilidad. Estas características garantizan que para que una transacción/anotación se valide deberá ser consensuada por todos los participantes, dichos participantes podrán conocer el origen y verificar el historial de toda anotación, no se podrá manipular la información registrada por parte de los participantes.

Establecidas esta premisa previa sobre concepto y característica de la tecnología BLOCKCHAIN paso a compartir el ejercicio práctico sobre el que gira este artículo, una labor necesaria y cuasi obligatorio para aquellas personas u organizaciones que estén decididas a implementar procesos de tratamiento de datos personales utilizando la referida cadena de bloques.

Los aspectos más conceptuales y de preparación van a ser muy importante para una implementación con garantías de la BLOCKCHAIN en los procesos de negocio de la organización. Para ello, será necesario tener en cuenta los principios de privacidad por diseño y por defecto, que nos obligarán a adoptar medidas de minimización de riesgos para la privacidad, adoptando medidas desde el diseño del producto/servicio y su aplicación en el estado conceptual del mismo.

Lo primero que se debe determinar en el proceso de implementación de una BLOCKCHAIN es si se tratan datos personales o no dentro de la cadena de bloques que se esté implementando. No siempre son datos personales los introducidos en la cadena de bloques.

Así, según el Reglamento (UE) 679/2916 General de Protección de Datos (RGPD), artículo 4.1 define como dato personal:

“toda información sobre una persona física identificada o identificable. Se entiende por persona identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”

Por su parte, el considerando 26 de la citada normativa señala los factores que deben acaecer para poder considerar a una persona identificable y señala que debe tenerse en cuenta la capacidad que puede tener el Responsable del tratamiento para identificar, capacidad que debe llevarse al ámbito de costes y tiempos necesarios para identificación, estado de la tecnología y el acceso a la misma. Establece que:

…por tanto los principios de protección de datos no deben aplicarse a la información anonimizada, es decir. A la información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el RGPD no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”

Adelantada la definición que se realiza por parte del regulador sobre qué se considera dato de carácter personal, se pasa a analizar y determinar si los datos introducidos por un usuario en la cadena de bloque o BLOCKCHAIN son o no son información personal. Y aquí, donde quería llegar, hay que plantear o distinguir diferentes datos:

La clave pública como dato personal:

A la luz de las definiciones legales que nos marca el RGPD, considero claro que la clave pública es un dato personal seudonimizado.

Esta afirmación también es asumida por grandes estudiosos de la materia como Michèle Finck, apoyando la postura de la clave pública como dato personal en el Dictamen 5/2014 que emitió el Grupo de Trabajo del Artículo 29. Esta postura deriva de concretar que el dato seudonimizado puede llegar a identificar a una persona. Trasladando esta premisa a la clave pública, se puede afirmar que es posible recopilar, por su publicación en la cadena de bloques, los movimientos transaccionales, cronología, etcétera, de un usuario y por tanto permite que se pueda llegar a la identificación. Esta asociación puede obtenerse por conjunción de datos de visita a páginas webs, direcciones IPs o registros de logs.

Este punto es relevante de cara a la aplicación del RGPD y su actuación, ya que sabiendo la clave pública de un usuario (puede que, por ejemplo, que la haya publicado en su blog para recibir donaciones) podemos saber todo lo que hace. Una vez descubierta la identidad se pueden saber todos sus gustos, poder económico, ubicación u otro tipo de información sensible, sin posibilidad de borrado ni de anonimización.

No obstante, dependerá de que la clave pública en cuestión pertenezca efectivamente a una persona física, ya que los datos relativo a personas jurídicas están fuera de la garantía de protección del RGPD.

Los hashes:

La función hash como sabemos es el método de encriptación que se utiliza en la BLOCKCHAIN para introducir los datos cifrados. Se trata ahora de definir si constituyen éstos, datos de carácter personal. Pues bien, la seguridad del hash puede verse comprometida con el avance de la tecnología, así las técnicas de hashes van robusteciéndose a medida que las técnicas se ven comprometidas (se puede descifrar el hash y por tanto pierde su seguridad), y es por eso que no se considera al hash como una técnica de anonimización si no de seudonimización, ya que la información puede (aunque con costes computacionales más o menos elevados) revertirse. Todo dato seudonimizado sigue siendo dato de carácter personal.

Campo abierto de datos en la transacción:

Otro tipo imput introducido en la BLOCKCHAIN a analizar, es la posibilidad que existe de introducir datos personales en la operación de transacción. Un ejemplo de lo que comento es la BLOCKCHAIN de Bitcoin, en la que se pueden introducir algunos caracteres (pocos, pero se puede) en la transacción que se va a realizar, siendo posible anotar datos personales como el nombre del remitente, destinatario u otro tipo de dato personal. Evidentemente se trata de un riesgo, no siendo recomendado grabar para la historia ningún dato personal, en su mejora será una solución eliminar esta posibilidad y cambiar el establecimiento de estos datos transaccionales fuera de la cadena de bloque – offchain(1) -.

Los Datos arbitrarios:

Por último, existe también lo que se llaman “datos arbitrarios” que se introducen en el coinbase de la transacción (solo permite 100 bytes de datos arbitrarios) y que pueden ser otra forma de introducir datos seudonimizados a la bockchain . Este tipo de datos será necesarios que no comporten la categoría de dato personal para evitar toparse con los aspectos regulatorios que puedan afectar al proceso de implementación de la blockchain.

En resumen, será muy probable que la implementación de tecnología BLOCKCHAIN en un proceso de negocio implique el tratamiento de datos personales al amparo de las definiciones y ejemplos que hemos comentado. Por ello, la elaboración de una Evaluación de Impacto relativa a la Protección de Datos y en su caso la Consulta Previa, reguladas en los artículos 35 y 36 del RGPD, serán las medida más garantista para edificar un producto o servicio que aúne la implementación de esta tecnología con un procesamiento legal de datos personales.

Hasta aquí esta exposición analítica de un aspecto concreto del marco regulatorio de Privacidad en la implementación de tecnología BLOCKCHAIN.

No es de obviar que son muchos los escenarios a resolver, tales como la determinación de las figuras de Responsable y Encargado del tratamiento en una cadena de bloques y por tanto las asunción de obligaciones legales reservadas a dichas figuras, o la solución a dar respuesta efectiva a cómo atender los ejercicios de derechos de usuarios (en especial el derecho de supresión), o reservar el anonimato de los datos personales procesados.

En conclusión, se trata de una tecnología llamada a marcar un antes y un después, impactando especialmente en los gobiernos y organizaciones privadas, y que augura la supresión de aquellos entes que actúan en la posición de terceros de confianza.

(1)Off-chain: es la información que uno procesa fuera de la cadena de bloques y que está relacionada con la información introducida en la cadena de bloques.
(2)https://www.criptonoticias.com/analisis-investigacion/polemico-contenido-arbitrario-grabado-blockchain-bitcoin/