Los derechos a la cancelación y a la rectificación de datos personales son dos de los aspectos que se recogen en el nuevo Reglamento general de protección de datos, una normativa de alcance europeo que entró en vigor en mayo de 2018 y que protege a los ciudadanos respecto al tratamiento de sus datos por terceros.
De entrada, esta norma puede parecer incompatible con la cadena de bloques (blockchain), una tecnología que utiliza internet y que permite hacer transacciones electrónicas entre dos partes sin necesidad de intermediarios, almacenando la información en bloques de datos enlazados que se guardan de manera distribuida. Uno de sus principios fundamentales es la inmutabilidad, es decir, que no es posible alterar o modificar los datos contenidos en los bloques. El profesor de derecho financiero y tributario de los Estudios de Derecho y Ciencia Política de la UOC Benja Anglès explica cómo se podría salvar el escollo de la Ley de protección de datos en la cadena de bloques.
La tecnología de cadena de bloques, una de cuyas aplicaciones más conocidas son las criptomonedas (el bitcóin es solo una, pero hay cientos de ellas), almacena la información de las transacciones electrónicas en bloques. Anglès explica que una de las particularidades de esta tecnología es que cada bloque contiene una referencia al bloque de la transacción anterior y estos bloques se unen formando una cadena de bloques (de ahí el nombre de cadena de bloques o blockchain). Este hecho redunda en beneficio de la seguridad de las transacciones, ya que cualquier modificación de un bloque sería detectada rápidamente.
El artículo 17 del Reglamento general de protección de datos regula el derecho a la supresión de datos personales, que se conoce como «derecho al olvido digital», de manera que la persona interesada puede solicitar al responsable del tratamiento de datos la supresión de sus datos personales. ¿Y cómo se puede resolver esto en la cadena de bloques teniendo en cuenta que uno de sus principios es la inmutabilidad de los datos que contiene.
El profesor e investigador del grupo TAXLABOR explica que dentro de una cadena de bloques difícilmente se almacenan datos personales, sino más bien códigos alfanuméricos que se obtienen mediante la función hash, que es capaz de transformar largas cadenas de texto en códigos alfanuméricos ininteligibles. «Si se entiende que en una cadena de bloques solo se almacenan códigos alfanuméricos sin sentido en lugar de datos personales, podríamos llegar a la conclusión de que a las cadenas de bloques no se les puede aplicar la normativa de protección de datos de carácter personal, ya que no contendrían este tipo de datos», expone Anglès en el artículo publicado recientemente en el blog de los Estudios de Derecho y Ciencia Política de la UOC.
En cambio, dice Anglès, en caso de que se almacenen datos personales, sí que habría que adoptar alguna solución técnica que ayudara a dar cumplimiento a la normativa de protección de datos.
Según Anglès, una posibilidad sería tener una base de datos externa con los datos personales, fuera de la cadena de bloques y gestionada por una entidad de registro, de modo que dentro de los bloques solo habría identificadores o referencias apuntando a aquellas bases de datos. Solo las personas autorizadas tendrían acceso a los datos personales. Al tener esta base de datos externa, las demandas de rectificación o cancelación no se ejecutarían directamente sobre los bloques de las cadenas, sino sobre estas bases de datos externas, por lo que no se alteraría el contenido de los bloques y se respetaría el principio de inmutabilidad.
Sin embargo, el profesor de la UOC reconoce que esta no es una solución que guste a los tecnólogos y desarrolladores de la cadena de bloques, ya que es contraria a las ventajas que definen esta tecnología. Una de las características de la cadena de bloques es que facilita efectuar transacciones electrónicas sin intermediarios ni terceros que las validen. «Con esta solución se ganaría en seguridad jurídica, pero se perdería agilidad, que es precisamente lo que proporciona el uso de las cadenas de bloques», expone Anglès en su artículo.
Una alternativa a las bases de datos externas sería el uso de una identidad digital autosoberana o SSID (self sovereign identity), gracias a la cual una persona puede gestionar ella misma sus datos personales almacenados en la red de manera distribuida, utilizando una infraestructura de clave pública (PKI, por las siglas en inglés), sin necesidad de que un tercero acredite su autenticidad. De este modo sería posible utilizar la cadena de bloques sin que estos contuvieran datos personales y sin necesitar la intervención de una entidad certificadora que validara la transacción.
En cualquier caso, explica Anglès, se trata de poder aprovechar las ventajas de la cadena de bloques sin tener que recurrir a estratagemas artificiosas que la desnaturalicen o que obstaculicen su uso.
Benja Anglés, es profesor de los Estudios de Derecho de la UOC e investigador del grupo TAXLABOR.