G-BM07SPXBH5

LEGAL VERITAS ®

PROTECCION DE DATOS

Moneda virtual Bitcoin y proteccion de datos

Moneda virtual Bitcoin y proteccion de datos

General ·

Con el creciente uso de criptomonedas para diversas transacciones y pagos a nivel mundial, las tecnologías blockchain están experimentando un auge inusitado. Ciertamente, el desarrollo de las tecnologías de libro distribuido (término poco usado con el que podemos referirnos a estas) está vinculado a dichas divisas virtuales. Tal parece que por su misma naturaleza las cadenas de bloques pueden funcionar sin necesidad de un ente que las dirija y que su regulación –no establecida formalmente– está dada por su misma operatividad. Esto plantea un debate en el ámbito de la protección de datos, particularmente en Europa, donde rige el Reglamento General de Protección de Datos. Lo cierto es que entre blockchain y RGPD hay algunas concordancias, pero también muy evidentes discrepancias.

De esta tensa relación entre estas tecnologías descentralizadas y la regulación europea de protección de datos hablaremos en las próximas líneas.

La tecnología Blockchain y RGPD

Básicamente, una tecnología blockchain consiste en una base de datos digital sincronizada y compartida apoyada por un algoritmo de consenso y almacenado en gran cantidad de nodos. Estos últimos son ordenadores que guardan una versión local de la base de datos. El diseño de las cadenas de bloques tiene fundamento en la replicación que les hace resistentes. Por tanto, con frecuencia muchas partes se involucran en el mantenimiento de dichas bases de datos y cada nodo guarda una copia íntegra de estas. Incluso, pueden actualizarlas de manera independiente.

En síntesis, la cadena de bloques logra un registro distribuido resistente a la sincronización que, igualmente, es inmutable y permanente. Sus bases de datos no admiten eliminación o modificación alguna –salvo en casos extraordinarios– y la única escritura permitida es bajo consenso. He aquí el primer roce entre blockchain y RGPD y que ampliaremos más adelante.

Mediante este mecanismo de almacenamiento y la seguridad proporcionada por blockchain es factible comprobar si el documento sufrió alguna alteración después del registro.

Cabe destacar que estos sistemas permiten recolectar, almacenar y procesar datos de forma descentralizada. En términos prácticos, las cadenas de bloques son como libros de contabilidad en los que solo pueden realizarse apuntes y añadir datos a los mismos. Pero, como dijimos, únicamente se pueden eliminar en circunstancias excepcionales.

En otras palabras, las tecnologías blockchain están integradas por cadenas digitales de registros provistas de enlaces encadenados con el propósito de conformar un registro permanente. Cada bloque de datos se une al anterior para componer la cadena. Gracias a una cadena de solicitudes entre bloques, es factible evitar que los registros originales sean modificados sin que ello sea detectado.

Trascendencia del blockchain

Sin duda, hablamos de una tecnología conveniente para aplicaciones que requieran el almacenamiento incremental de datos ordenados en el tiempo. Sin posibilidad de revisar ni modificar los mismos. Más aún, la participación de una red pública que la controla y audita garantiza la transparencia de la información y la detección inmediata de cualquier intento de hackeo. En este sentido, blockchain está trascendiendo su vinculación con el registro de movimientos de criptoactivos y ya está empleándose en otras áreas como:

  • Bases de datos de registro de nombres. Aquí la cadena de bloques funciona como un sistema de notario de registro de nombres alternativo al sistema tradicional de nombres de dominio (DNS).
  • Como notario en el registro de contratos inteligentes o smart contracts. Blockchain cumple este cometido mientras el resto de participantes actúan como un fedatario público, permitiendo la acreditación de tales contratos e impidiendo su manipulación. Esto facilita a las redes de pares la administración de sus propios smart contracts creados por los mismos usuarios.
  • De igual forma, basado en su aplicabilidad en criptomonedas, la cadena de bloques puede registrar todo tipo de transacciones, con mayor trazabilidad y seguridad y menos costes. De hecho, ya se emplea en transacciones bancarias, sistemas de pago, envío de remesas y préstamos.
  • Voto electrónico. Aunque aún esta posibilidad está en fase de experimentación, tecnologías blockchain podrían garantizar la validez de procesos electorales. En consecuencia, aseguraría tanto la privacidad y anonimato del votante, como la transparencia del conteo y los resultados sin riesgos de manipulación.
  • Administración pública. En este caso, también el uso de las tecnologías de libro distribuido es apenas una aspiración. Y a pesar de las incompatibilidades entre blockchain y RGPD, su aplicación sería ideal para llevar a cabo contrataciones públicas, seguimiento de recursos públicos y hasta registros de propiedad.

Blockchain y RGPD, ¿en qué difieren la regulación y la cadena de bloques

Como sabemos, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea es vinculante desde mayo de 2018. Este tiene como antecedente y fundamento la Directiva de Protección de Datos de 1995. Evidentemente, el GDPR tiene dos objetivos esenciales. El primero es facilitar la libre circulación de datos personales entre los Estados de la UE. Por otra parte, establecer un marco jurídico de protección de los derechos fundamentales, teniendo en cuenta el derecho a la protección de datos. El mismo está contemplado en el artículo 8 de la Carta de los Derechos Fundamentales.

Este instrumento legal incluye un conjunto de obligaciones que los responsables del tratamiento de datos deben cumplir. Precisamente, por ser ellos las entidades que determinan los medios y los fines del tratamiento de datos. Igualmente, consagra una variedad de derechos a los interesados o personas físicas que aportan sus datos personales a estos responsables. Tales derechos pueden hacerse valer ante estos últimos.

Dos temas de discrepancia entre blockchain y el GDPR

Existen dos aspectos generales que causan fricciones entre blockchain y GDPR. En principio, el Reglamento europeo tiene base en el supuesto de que existe una empresa o persona física que figura como responsable del tratamiento de los datos que aportan los interesados. Es decir, un ente al que pueden dirigirse cuando necesiten hacer valer sus derechos establecidos en el mencionado texto legal.

Por el contrario, la tecnología que nos ocupa pretende la descentralización, sustituyendo a un actor unitario por gran cantidad de actores diferentes. Obviamente esto dificulta la asignación de la responsabilidad del tratamiento y la rendición de cuentas. En particular, por la falta de una definición de control colectivo en virtud del Reglamento. Otro elemento que hace más complejo este asunto tiene que ver con la evolución de la jurisprudencia. Como resultado de esta, la definición de los entes que pueden considerarse responsables –en conjunto– del tratamiento puede carecer de seguridad jurídica.

Por otro lado, el RGPD también se basa en la presunción de que los datos deberían poder modificarse o borrarse cuando lo requiera el usuario. Cumpliendo así lo previsto en los artículos 16 y 17 del RGPD. En contraposición, el diseño de las cadenas de bloques, a menudo, dificulta o imposibilita la modificación unilateral de los datos. Desde la perspectiva de garantizar la integridad de los datos e incrementar la confianza en la red, esto estaría totalmente justificado.

Claves públicas y privadas, otro punto polémico entre blockchain y RGPD

Aparte de lo anterior, el empleo de una clave pública y una privada en las transacciones mediante la cadena de bloques genera otra controversia entre blockchain y RGPD.

Los usuarios de una aplicación blockchain poseen una clave pública alfanumérica que los representa y que funciona como un número de cuenta que puede compartirse con otros para realizar transacciones. Asimismo, cada usuario dispone de una clave privada, igualmente alfanumérica, que es de uso particular y funge de contraseña para el acceso. Esta no puede ser compartida. Pero, teniendo en cuenta el considerando 30 del RGPD, las claves públicas podrían entrar en el tipo de identificadores que pueden revelar el perfil de un usuario.

Sin embargo, las cadenas de bloques requieren un proceso de verificación en dos pasos con cifrado asimétrico. Las dos claves mencionadas tienen una relación matemática, lo que permite a la clave privada descifrar los datos cifrados mediante la clave pública. Se supone que las claves públicas ocultan la identidad del usuario a excepción de que tengan un vínculo con identificadores adicionales. Claro está, hablamos de un caso en el que la clave pública hace referencia a una persona física. En otros casos, como la Tecnología de Contabilidad Distribuida (DLT), las claves públicas no tienen relación con personas físicas. Ejemplo de ello son las liquidaciones de pagos interbancarios cuando las instituciones financieras utilizan una cadena de bloques. Allí, las claves públicas tienen relación con dichas entidades, no con personas físicas. Por eso, no se consideran datos personales sujetos al RGPD.

¿Clave segura?

Pese a lo acotado anteriormente, en la práctica, las claves públicas o “seudonomizadas” podrían permitir la identificación de una persona física determinada. Por ejemplo, en casos como los siguientes:

  • Mediante la divulgación ilícita de la clave pública para recibir fondos.
  • Cuando se recaba información adicional, como hacen las bolsas de criptoactivos para conocer a sus clientes y evitar caer en el blanqueo de capitales.
  • Por si fuera poco, las claves públicas podrían proporcionar un patrón de transacciones con direcciones conocidas públicamente. Esto permitiría identificar a un usuario estudiando su gráfico de transacciones.
  • Peor aún, las claves públicas podían rastrearse hasta las direcciones IP, lo que facilita la identificación. De esa forma, las autoridades han podido identificar y capturar a presuntos delincuentes cibernéticos.

Consideraciones finales

Finalmente, cabe señalar que la cadena de bloques no es una tecnología única, sino que tiene varias versiones que difieren tanto en disposiciones técnicas, como en gobierno y complejidad. Por todo esto, la compatibilidad o incompatibilidad entre blockchain y RGPD debería medirse a través análisis detallados caso por caso.

Alternativamente, podría promoverse el diseño y desarrollo de cadenas de bloques alineadas con el Reglamento de la UE, diferenciadas de las redes públicas y sin autorización.

En Legal Veritas somos asesores y proveedores de servicios para la adaptación de canales digitales empresariales al marco legal de la protección de datos. Razón por la que estamos siempre pendientes de las implicaciones entre las tecnologías de la información y las normativas que garantizan la privacidad de los usuarios. No dudes en plantearnos tus dudas y comentarios.

Entradas Relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *