La Agencia española de protección de datos publicó el pasado 13 de noviembre en donde explica técnicamente las principales funcionalidades de la tecnología Blockchain y las medidas de seguridad orientadas por la AEPD que tendrán que contemplar los usuarios y entidades al utilizar esta tecnología.
Pero, antes de nada, ¿qué es la tecnología Blockchain?
Blockchain es una tecnología de registro distribuido que permite almacenar y compartir información de forma descentralizada. Cada participante en la red tiene una copia del historial de transacciones, lo que proporciona seguridad y transparencia. Sin embargo, esta estructura presenta retos en términos de gobernanza, ya que no existe un control central. Su característica de inmutabilidad es una ventaja para la integridad de los datos, pero supone una limitación importante para los derechos de protección de datos.
En blockchain, la descentralización significa que no hay una autoridad que pueda gestionar el tratamiento de datos personales en su totalidad, lo cual difiere de los modelos tradicionales de bases de datos. Además, blockchain se utiliza en distintos contextos (criptomonedas, contratos inteligentes, trazabilidad) y cada aplicación puede requerir adaptaciones específicas. Por ejemplo, en redes abiertas como Bitcoin o Ethereum, todos los participantes pueden unirse libremente, mientras que en redes privadas puede haber más control sobre quién accede, lo que a su vez facilita la supervisión del tratamiento de datos personales.
¿Difiere mucho de la normativa europea de protección de datos?
El Reglamento General de Protección de Datos (RGPD) introduce derechos y obligaciones que buscan proteger los datos personales en el entorno digital. Sin embargo, las características propias de blockchain hacen que algunos de estos derechos, como el derecho a la supresión de datos o el derecho de rectificación, sean difíciles de cumplir. Dado que los datos en blockchain se almacenan de forma inmutable, la rectificación o eliminación de datos no es una opción directa. Esto plantea un conflicto con el principio de minimización de datos del RGPD, que exige que solo se almacenen los datos necesarios para un fin específico.
Además, la descentralización de blockchain supone una dificultad adicional para designar un responsable de tratamiento. En sistemas tradicionales, el responsable de los datos puede controlar el acceso y garantizar el cumplimiento normativo, pero en blockchain, esta figura no existe en el mismo sentido. Esta ausencia de un responsable claro puede complicar la gestión de solicitudes de acceso y la ejecución de derechos individuales. En blockchain, cada participante podría ser considerado corresponsable, lo que conlleva desafíos legales en la asignación de responsabilidades.
¿Cuál es el reciente punto de vista de la Agencia Española de Protección de Datos?
La guía técnica de la AEPD sugiere utilizar técnicas de seguridad como el cifrado y la seudonimización para mitigar los riesgos de privacidad en blockchain. El cifrado garantiza que solo las personas con la clave correcta puedan leer los datos, aunque estos permanezcan en la cadena. Esto es útil para proteger la confidencialidad, pero no resuelve el problema de la eliminación de datos, ya que los datos cifrados permanecen almacenados en blockchain. La seudonimización, por su parte, permite separar los datos de identificación del resto de los datos personales, lo cual ayuda a cumplir el principio de minimización. Sin embargo, la seudonimización no es una solución definitiva, ya que algunos datos pueden reidentificarse.
Para mejorar la seguridad, también se recomienda que los diseñadores de sistemas blockchain evalúen los riesgos y adopten una protección de datos desde el diseño. Esto implica implementar controles de acceso, medidas de seguridad avanzadas y mecanismos de auditoría que ayuden a monitorear el uso de los datos en la red. Además, es fundamental que los responsables realicen pruebas periódicas para garantizar que las medidas implementadas siguen siendo efectivas ante nuevas amenazas.
La AEPD enfatiza la importancia de realizar evaluaciones de impacto en proyectos de blockchain, especialmente aquellos que implican el tratamiento de datos personales. Estas evaluaciones ayudan a identificar los riesgos específicos para la privacidad y diseñar medidas para mitigarlos antes de lanzar un proyecto. Una evaluación de impacto en privacidad examina factores como el volumen de datos personales, el tipo de blockchain (pública o privada), las técnicas de seguridad implementadas y los riesgos asociados a la inmutabilidad de los datos.
¿Qué conclusiones obtenemos de esta nota informática?
Desde Legitec pensamos que la tecnología Blockchain representa una innovación valiosa para la seguridad y la transparencia, pero sus características inherentes plantean desafíos significativos para el cumplimiento de las normativas de protección de datos. La AEPD recomienda adoptar un enfoque de “protección de datos desde el diseño”, aplicando medidas como el cifrado, la seudonimización y las evaluaciones de impacto. Sin embargo, en muchos casos, el cumplimiento total del RGPD sigue siendo una meta difícil de alcanzar en redes blockchain, sobre todo en aquellas de acceso abierto.
Para avanzar en este aspecto, se requiere un esfuerzo conjunto entre los desarrolladores de blockchain, los responsables de tratamiento y las autoridades de protección de datos, con el fin de crear soluciones que equilibren la innovación tecnológica con la privacidad de los usuarios.