Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Revista Bae
Revista Bae

Prueba de concepto blockchain y el derecho de supresión de datos

Analizamos la nota técnica publicada recientemente por la Agencia Española de Protección de Datos (AEPD).

El blockchain es una tecnología de registro distribuido que permite almacenar y compartir información de forma descentralizada por una red de participantes -personas físicas o jurídicas- denominadas pares o nodos, que comparten un conjunto de datos de forma distribuida. En ella, cada participante tiene una copia del historial de transacciones, lo que proporciona seguridad y transparencia además de una ventaja significativa para la integridad de los datos. Sin embargo, al mismo tiempo constituye una limitación importante para los derechos de protección de datos personales, como es el derecho a la supresión de datos o el derecho de rectificación.

La tecnología blockchain se diseñó inicialmente para operar en un entorno desregulado. De este modo, se podía implementar una infraestructura de almacenamiento y compartición de información en la que todos los intervinientes aparecieran en igualdad en cuanto a poderes y funcionalidades. En la actualidad, con el crecimiento significativo del uso de tratamientos de datos basados en infraestructuras blockchain en diversos sectores, con numerosas aplicaciones más allá del ámbito financiero o de las criptomonedas, el cumplimiento de la normativa resulta incompatible con el desarrollo de la propia tecnología.

Bajo esta premisa, la Agencia Española de Protección de Datos -en lo sucesivo, denominada AEPD- publicó el pasado 13 de noviembre una nota en la que explica técnicamente las principales funcionalidades de la tecnología blockchain y la posibilidad de construir este tipo de entornos para que cumplan con el derecho de supresión de datos personales establecido en el artículo 17 del Reglamento UE 2016/679, General de Protección de Datos (RGPD).

En ella, AEPD ofrece una solución de carácter experimental en la que,  se modifica la estructura de datos de la cadena para evitar que la cuenta eliminada siga visible en el historial de transacciones futuras. Dicha ‘Prueba de concepto’ (PoC en adelante) demuestra que es posible aplicar medidas técnicas para el cumplimiento del RGPD en este tipo de entornos.

José María Cabrales: Bae 218

Alternativas a corto plazo

A través de la PoC la AEPD ha demostrado que es técnicamente posible eliminar datos en blockchain, pero al mismo tiempo reconoce que para implementar el derecho de supresión se necesita modificar directamente la estructura de datos. Las técnicas que propone la PoC son:

  • Sobreescritura de datos en los bloques.
  • Modificación de las bases de datos locales de los nodos.
  • Implementación de un mecanismo de consenso entre los nodos para aceptar la actualización de datos y hacer efectivo el cambio de toda la red.

Otro obstáculo importante surge de que muchos de los diseños actuales de blockchain no consideran la protección de datos desde el diseño, lo que significa que no se han implementado mecanismos para eliminar o modificar datos personales de forma compatible con las normativas.

No obstante, existen otras alternativas diferentes a la PoC que pretenden evitar el conflicto que representa blockchain y el derecho de supresión. Son las siguientes:

  • Minimización, cifrado y atomización de datos. Consiste en registrar identificadores únicos o hashes criptográficos -algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija- que permitan verificar la información sin exponer los datos originales.
  • Soluciones off-chain. A través de esta alternativa, los datos personales se almacenan fuera de la blockchain en servidores controlados por terceros. La cadena únicamente contiene referencias a estos datos, lo que facilita su eliminación o modificación sin comprometer la identidad de la red.
  • Modelos de blockchain híbrida. Las blockchains híbridas, que combinan carácter de redes públicas y privadas, permiten un mayor control sobre los datos almacenados.
  • Smart contracts con cláusulas de caducidad. Se trata de contratos inteligentes con cláusulas de caducidad. Podrían programarse para eliminar o desactivar el acceso a datos específicos después de un período determinado.
  • Uso de blockchains permisionadas. Son infraestructuras privadas que, a diferencia de las públicas, están gestionadas por una entidad privada que puede implementar mecanismos de supresión de datos, aunque esto pueda sacrificar la descentralización.

Conclusión

Aunque la AEPD haya alcanzado una solución experimental que parece resolver los problemas existentes entre privacidad y derechos fundamentales de un lado, e innovación tecnológica, de otro, existen otras posibilidades para conjugar ambos, sin menoscabo de los primeros o la segunda.

En la actualidad es una materia que reclama una regulación clara y ordenada, que haga posible la conjunción de soluciones tecnológicamente innovadoras con el legítimo ejercicio de los derechos individuales, en materia de protección de datos.

ESCRITO POR:

José María Cabrales

Socio director del Área Mercantil de Selier Abogados

Categorías
Fecha
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Explora la revista
Sobre el Bae
Suscríbete al Bae
Quiero anunciarme
Rellena el formulario para suscribirte y recibir el último número de la revista digital Bae en tu correo:
Resumen de privacidad
Atisa

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Son aquellas que ayudan a hacer una página web utilizable activando funciones básicas como la navegación en la página y el acceso a áreas seguras de la página web. La página web no podrá funcionar adecuadamente sin estas cookies. Le informamos de que puede configurar su navegador para bloquear o alertar sobre estas cookies, son embargo, es posible que determinadas áreas del la página web no funciones. Estas cookies no almacenan ninguna información de identificación personal.

Cookies de terceros

Son aquellas que permiten al Editor de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.