PUBLICACIONES

Know how

Reflexiones sobre la protección de datos en la blockchain

12 Nov, 2020

Conflicto entre la tecnología blockchain y la normativa de protección de datos.

Eva María Hernández Ramos

 

I.- Introducción.

Blockchain muestra, entre sus múltiples ventajas, la inmutabilidad de los ficheros registrados en la red o la descentralización de los registros a través de sus nodos, aportando trazabilidad de las transacciones o la reducción de las vulnerabilidades existentes.

Pero, estas propiedades plantean algunos interesantes interrogantes en materia de protección de datos al no poder eliminarse o editarse la información vertida (inmutabilidad) y colisionar con el derecho al olvido reconocido en el Reglamento (UE) 2016/679 (en adelante “RGPD”).  

El Reglamento General de Protección de Datos (RGPD) no regula blockchain, por lo que la normativa española de desarrollo tampoco lo menciona. Es por ello que la normativa plantea desafíos que afectarán al “privacy by design” o el diseño de las redes para mantener las propiedades de blockchain cumpliendo lo preceptuado en el RGPD.

II.- Impacto de blockchain en la protección de datos

Dato de carácter personal

El RGPD define los datos personales como “toda información sobre una persona física identificada o identificable (el interesado)”.

Se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

A este respecto, la Sentencia de la Audiencia Nacional 4845/2018, considera ampliamente este concepto al establecer que aunque el dato que se recoja no vaya asociado directamente a una persona, se entiende también como dato de carácter personal cuando se pueda identificar al titular por cualquier medio, es decir, que en definitiva sea una persona física identificable. La dirección IP, también se considera como dato personal.

No debemos olvidar que la mayoría de redes blockchain públicas se basan en el seudoanonimato por estar encriptadas.

Redes públicas y privadas

La red blockchain pública, por ejemplo la dirección de cadena de criptomonedas, es un identificador único que te permite acceder a wallet, pero no desvela tu identidad (anonimización). Sin embargo, a pesar de esta anonimización, se pueden agrupar los datos y cruzarse con otras vías de información para lograr identificar a una persona.

De este modo, hay que disociarlos como especifica el artículo 5 del RGPD:

“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo”.

Conducta tipificada en la LOPD-GDD en su artículo 72.1.p) considera como infracción muy grave: “La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados”.

Las blockchain privadas solo se conocen por las personas  invitadas a participar en las mismas, por lo que los nodos son conocidos, aunque las transacciones puedan ser anónimas (pseudonimización).

La pseudonimización está regulada en el artículo 4.5) RGPD  “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.

A este respecto, el Grupo de Trabajo del artículo 29 en la Directiva 45/96, en su Opinión 5/2014, tiene como finalidad trabajar para evitar esa reversión de la anonimización y poder identificar a una persona.

En relación a esto, la Agencia Española de Protección de Datos (en adelante “AEPD”) publicó  “La K-Anonimidad como medida de la privacidad” dedicada a establecer límites a las tareas de anonimización de los datos personales, a fin de evitar la reidentificación de la persona a los que se refiere.

III.- Blockchain y el Derecho al olvido

La inmutabilidad de la base de datos también choca con derechos invocados en el RGPD, como el derecho de rectificación y derecho al olvido:

Artículo 17 del RGPD:

“El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes: a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico (…)”.

En el derecho al olvido, regulado en el artículo 17 RGPG, juega un papel fundamental la STSJ Europeo de 13 de mayo de 2014, en el Caso Mario Costeja González

El TJUE citó, que cualquier persona podía reclamar al gestor del motor de búsqueda la cancelación de sus datos personales cuando fuesen «inexactos, inadecuados o irrelevantes o hayan perdido su relevancia».

La Sentencia de la AN el 29 de diciembre de 2014 fijó los criterios para aplicar el derecho al olvido para solicitar al gestor tal eliminación de los datos y gracias a ello de forjó este derecho al olvido.

Entre la Doctrina destacada, podemos citar lo que han comentado autores como ANDRÉS BOIX PALOP estableciendo que;

“Más allá de las construcciones dogmáticas con las que ya contamos sobre la sustantividad del “derecho al olvido”, hay que tener en cuenta que fue a partir de esta conocida como la “Sentencia Google” del TJUE, la que potenció al derecho al olvido a ser considerado como un Derecho de la Unión Europea con plena carta de naturaleza”.

Es por la propia naturaleza de blockchain por la que el derecho al olvido resulta imposible de ejercicio, así como los derechos de supresión y rectificación que supondrían modificar o alterar la cadena de bloques, resultando una acción bastante compleja de por sí.

Sin embargo, el artículo 17.3.e) RGDP recoge esta imposibilidad de ejercicio del derecho al olvido al establecer que no será posible ejercer dicho derecho cuando el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones.

 

IV.- Posibles soluciones frente al derecho al olvido

 

1.- El uso de hashes para los datos personales.

Una de las soluciones que habría de aplicarse es el uso de hashes únicos para los datos personales, de manera que dicho hash se almacenaría en la propia red blockchain mientras que los datos personales se almacenarían en un fichero externo gestionado por el responsable de tratamiento que corresponda.

Cuando deban eliminarse los datos personales, de acuerdo con los principios de legitimidad del tratamiento, limitación del plazo de conservación, derecho al olvido o supresión, el responsable del tratamiento eliminará los datos de la base de datos externa, mientras que el hash correspondiente permanecerá en la red blockchain.

Al eliminar los datos correspondientes a dicho hash, éste se convierte en un número aleatorio sin asociación directa con datos personales, de modo que la información almacenada en blockchain pasa a ser irrelevante.

2.- Ocultar los bloques.

Como ya sabemos, en la red blockchain se dificulta el ejercicio del derecho al olvido, ya que habría que reconstruir la cadena de bloques.

Lo óptimo sería ocultar el bloque de los resultados de búsqueda en los buscadores, de forma que no pueda asociarse la información.

3.- Pseudonimización del hash.

Es posible que, aunque el hash se encuentra pseudonimizado pueda asociarse con los datos personales a los que hace referencia en algunas ocasiones, por ejemplo, cuando conocemos todos los hashes que usa una empresa, y también los datos personales a los que va asociado, pudiendo generar diversos cruces de posibilidades entre ambos grupos hasta dar con el hash correspondiente a cada dato personal disociado.

En este caso, es útil aplicar la K- anonimización, que ya señaló el Grupo de Trabajo del artículo 29 en la Directiva 45/96 en su Opinión 5/2014 y fija como objetivo prevenir que se reidentifique a una persona:

  • Mediante la generalización de los atributos “cuasi-identificadores” o
  • La destrucción de registros fuera de rango.

También es conveniente utilizar los hashes reforzados con “Salt”. “Salt” es un conjunto de valores aleatorios que se añaden un hash concreto, haciendo más difícil su asociación con los datos personales a los que representa.

A este respecto, destaca la Opinión 5/2014 del Grupo de Trabajo del Artículo 29 en la que señalan los tres aspectos clave que deben analizarse para verificar que la anonimización es correcta:

  • Singularización.

La herramienta de hashing permite modificar, eliminar o corregir los datos personales almacenados de forma separada al hash almacenado en blockchain. Este sistema cumple los principios establecidos en el RGPD, así como los de la Opinión 5/2014 del Grupo de Trabajo del Artículo 29, garantizando que la red blockchain continúe prestando las características de inmutabilidad propias que la hacen única.

 

V.- El dilema del Responsable de tratamiento

La red blockchain es una red descentralizada y se observa la ausencia de un responsable de tratamiento, no se trata la información desde un organismo central sino se encuentra diseminada por los diferentes nodos.

Tampoco dispone de un almacenamiento limitado de datos porque una vez incluidos en la cadena de bloques no se podrán eliminar.

En ausencia de un responsable de tratamiento, que evalúa la forma de cumplir con los derechos de rectificación (artículo 16 RGPD) y supresión de los datos, debemos observar los consejos aportados para paliar los problemas del derecho al olvido.

VI.- Impacto con Internet de las cosas (IoT).

En muchas ocasiones, diversas tecnología que usan blockchain y smart contracts interconectan objetos con internet (blockchain en taxis, por ejemplo), necesitando incluir sistemas de comunicación de información como son los códigos QR.

Estos sistemas provocan que el objeto pueda personalizarse y se cree un perfil único de usuario, por lo que debe de poder ejercerse por el titular del dato personal, el derecho de oposición (artículo 21 RGPD) y el derecho a no ser objeto de elaboración de perfiles (artículo 22 RGPD), con la imposibilidad que se plantea en caso de ejercicio y la obligación del borrado de datos.

En estos casos, debemos observar lo que se indica en el artículo 25 RGPD respecto al “privacy by design” o la privacidad desde el diseño y privacidad por defecto “privacy by default”.

VI.- Normativa

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Reglamento UE 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  • Directiva UE 2015/1535 del Parlamento Europeo y del Consejo de 9 de septiembre de 2015 por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información.
  • Reglamento UE 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (Reglamento eiDAS).
  • Directiva 2009/110/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre el acceso a la actividad de las entidades de dinero electrónico y su ejercicio, así como sobre la supervisión prudencial de dichas entidades, por la que se modifican las Directivas 2005/60/CE y 2006/48/CE y se deroga la Directiva 2000/46/CE.
  • Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias. Ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.
  • Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil.

VII.- Jurisprudencia

  • Sentencia del Tribunal de Justicia Europeo de 13 de mayo de 2014 (Caso C-131/12) Google Spain, S.L., Google, Inc./Agencia Española de Protección de Datos (AEPD), Mario Costeja González.
  • Sentencia de la Audiencia Nacional 4845/2018
  • Dictamen 05/2014 del Grupo de Trabajo sobre Protección de Datos de Carácter del artículo 29, de 10 de abril de 2014, sobre técnicas de anonimización.

VIII.- Doctrina

  • BOIX PALOP, ANDRÉS “El equilibrio entre los derechos del artículo 18 de la Constitución, el «Derecho al olvido” y las libertades informativas tras la sentencia Google» Revista General de Derecho Administrativo 38 (2015), pág. 1-40.
  • AEPD, Guía para el cumplimiento del deber de informar disponible en: https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf

 

Publicaciones relacionadas

Análisis jurisprudencial. Códigos fuente y Open Source

Análisis de la jurisprudencia en base al tratamiento de los códigos fuente y las licencias Open Source en los programas y apps. Contenido de obligada lectura si estás desarrollando o adquiriendo código fuente y deseas saber cómo se regula.

Regulación de los algoritmos y códigos fuente. Análisis legal.

Los códigos fuente plantean ciertas dudas en cuento a su regulación, así como la protección de los algoritmos. Conoce como se regulan estas figuras a lo largo de este artículo de análisis legal.

Boletín informativo ERHARDT octubre 2020. Smart work.

  El boletín de octubre que cada mes edita ERHARDT, va dedicado al smart work y a la regulación del teletrabajo. Puedes leer el artículo completo y el boletín en el enlace de abajo. El smart work, ha venido para quedarse y constituye una de las grandes soluciones...

Boletín informativo ERHARDT noviembre 2020. Privacidad y tecnología.

Colaboro activamente en el boletín que cada mes, ERHARDT edita para sus clientes y proveedores. En esta ocasión hablo de privacidad y tecnología, en aplicación del derecho al olvido del artículo 17 del RGPD a las redes blockchain. Puedes leer el artículo y el boletín...

Jornada sobre smart cities y e-mobility. Diputación Alicante.

Jornada de diálogo entre expertos y jóvenes en las que se debate acerca del futuro digital de la provincia, proponiendo ideas de mejora e incentivación en las Administraciones e instituciones. El e-mobiliy es una pieza clave en las smart cities, en las que se analizó...

Reflexiones sobre la protección de datos en la blockchain

Conflicto entre la tecnología blockchain y la normativa de protección de datos. Eva María Hernández Ramos   I.- Introducción. Blockchain muestra, entre sus múltiples ventajas, la inmutabilidad de los ficheros registrados en la red o la descentralización de los...

¿Cómo registro una idea para que no me la copien?

¿Os habéis preguntado cómo se protegen vuestras ideas? Muchas veces me encuentro con la misma duda de mis clientes; me han plagiado la idea, ¿Qué hago? Inventan una nueva idea sobre una aplicación o desarrollo, pero no saben cómo protegerlo.  Las ideas no son...

Participación en INNOLUCENTUM Alicante, como experta en derecho de la innovación.

¿ Qué es Innolucentum? Son diálogos sobre tecnología e innovación promovidos por la Diputación de Alicante hacia los jóvenes, con el fin de integrarlos en las decisiones políticas de la provincia. ¿Qué temáticas abarca? La jornada del 28 de octubre de 2020 se centró...

¿Es legal la geolocalización de los ciudadanos en estado de alarma?

Lee el último artículo aquí: Radio4 GBenidorm: La geolocalización de los ciudadanos, ¿Es legal?

Okdiario. Sexting y “porno de venganza”

OkDiario difunde mi análisis jurídico del sexting o "porno de venganza": Sexting. Eva Hernandez Ramos. OkDiario

Su autora, Eva María Hernández, exime cualquier responsabilidad que pueda originarse en  cuanto a la integridad, la exactitud y la actualización de los textos, contenido y modelos aportados en sus estándares.

El contenido de estos artículos es fundamentalmente informativo y didáctico. No reemplaza ni sustituye al consejo personalizado, y en ningún caso se debe considerar sustitutivo o alternativo de las legislaciones y normativas ni del consejo profesional en cada caso individualizado. Los artículos funcionan como ejemplo que deberá adaptarse a cada caso concreto.

Limitación de responsabilidad: salvo que lo disponga expresa e imperativamente la ley aplicable, en ningún caso la autora será responsable por cualesquiera daños resultantes, generales o especiales (incluido el  daño emergente y el lucro cesante), fortuitos o causales, directos o indirectos, producidos  en conexión con sus publicaciones, incluso si la autora  hubiera sido informada de la posibilidad de tales daños.