Precisamente estas características, inherentes a esta tecnología de nodos, tienen repercusiones directas a la hora de examinar el impacto en el derecho a la protección de datos de carácter personal, que entran a formar parte de esta cadena de bloques. Las repercusiones son en algunos casos muy positivas, y en otros aspectos, plantean retos no solamente para las industrias sino también para las autoridades de control.
En primer lugar, es necesario hacer una breve introducción a la protección de los datos de carácter personal como un derecho fundamental (inherente a las personas) que les confiere la capacidad de decidir cómo gestionar los datos que les conciernen y por otro, concede la facultad de prohibir a terceros que utilicen sus datos más allá de lo permitido, es decir, para finalidades diferentes a aquellas para las que se recopilaron.
Estas facultades se traducen en una serie de derechos que las personas pueden ejercer frente a aquel que utiliza (trata) sus datos personales, tales como acceder a los mismos, suprimirlos, modificarlos…etc. Pero también genera una serie de obligaciones para los responsables del tratamiento (aquellas personas que deciden qué datos y finalidades tendrá un tratamiento).
Este abanico de derechos que derivan de la protección de datos nos hace plantearnos una duda: ¿cómo interactúa blockchain con estos derechos?. A continuación se detallan algunos principios que se ven reforzados y retos de este tipo de tecnología.
Blockchain como garantía de seguridad de los datos personales
Un aspecto clave para dar cumplimiento a la normativa es ser capaces de garantizar la seguridad de los datos que se tratan y, además, estar en disposición de poder probarlo. Es lo que se conoce como principio de responsabilidad proactiva.
Es indiscutible que la tecnología blockchain facilita enormemente la tarea de proveer y probar que el tratamiento se realiza con todas las garantías de seguridad que exige la normativa. La seguridad, de forma esquemática, se traduce en tres dimensiones recogidas en el RGPD: disponibilidad (que se tenga acceso a ellos y estén “disponibles” cuando sea necesario), integridad (que no sean alterados o suprimidos de forma no justificada) y confidencialidad (que no se revelen a terceros sin autorización).
Existen además dos dimensiones adicionales en el mundo de la seguridad: trazabilidad (capacidad de detectar cambios) y autenticidad (capacidad de garantizar la veracidad).
El blockchain permite que cada bloque (o “nodo”) almacene una copia exacta de la cadena, de tal forma que en caso de ataque o ciberincidencia los datos seguirán disponibles en el resto de nodos, cumpliendo de esta manera el principio de disponibilidad.
Por otro lado, al ser un registro consensuado, si un atacante quisiera alterar datos, debería modificar la cadena completa en al menos el 51% de los bloques. Además, si fueran alterados, quedaría constancia de ello. Ello redunda en una garantía del principio de integridad.
Así mismo, en la medida que esos datos personales se incorporen cifrados a la cadena, se garantizaría su confidencialidad.
Por último, es evidente que los datos contarán con la garantía de autenticidad, ya que cualquier cambio en la información de un nodo debe ser verificado y aprobado por el resto de nodos. Además se podrá tener la trazabilidad de la información debido a las continuas replicaciones de la cadena.
En conclusión, si bien hay que tener en cuenta que uno de los principios de la seguridad es que toda tecnología es vulnerable, blockchain se presenta como una tecnología robusta y ventajosa en este sentido.
Retos: ¿cómo adaptar la tecnología a la normativa?
Este es uno de los principales retos que deben plantearse los sectores a la hora de utilizar blockchain para garantizar la seguridad.
La propia naturaleza de la tecnología blockchain, hace que sea técnicamente imposible atender una solicitud de rectificación, o supresión de un interesado. No obstante, existen otras posibilidades tales como marcar el dato, de modo que quede constancia de que se ha modificado, registrarlo encriptado, o utilizar múltiples identificadores (en los que algunos datos sean anónimos pero otros no) de modo que los interesados no pierdan el control sobre sus datos.
Otro reto de blockchain es el choque con el principio de minimización del tiempo de conservación. Según el Reglamento General de Protección de Datos de Carácter Personal (RGPD,) los datos deben ser eliminados cuando finalice el plazo que justifica su tratamiento. Al respecto ya se han pronunciado algunas agencias de control como la CNIL que ha terminado (sin determinar que sea incompatible) que, dado que en blockchain el plazo de conservación no puede minimizarse más, el periodo de conservación es, por esencia, la duración de la existencia del blockhain.
En conclusión, blockchain es una tecnología disruptiva que reporta a Dataports numerosas ventajas en términos de productividad, agilidad, y en definitiva, competitividad, pero también en términos de seguridad y privacidad.
Los avances y estudios detallados irán pautando mejores formas de compliance en aquellos aspectos que aún no están claros. Por ahora, lo fundamental es contar con una estrategia sólida de cumplimiento que pasa por un marco de gobernanza del dato y una cultura de responsabilidad proactiva, junto con un estricto cumplimiento del deber de transparencia, de forma que los interesados sepan a qué entidad pueden dirigirse para ejercer efectivamente sus derechos, y las autoridades de protección de datos deben tener un punto de contacto con estas.