1. Protocolo de privacidad a implementar por los Responsables y Encargados del tratamiento en un entorno blockchain
La Agencia Española de Protección de Datos (AGPD) resume de forma muy sencilla el significado del principio de Accountability o Responsabilidad Proactiva: “no incumplir ya no será suficiente". Con ello, lo que nos viene a decir es que las organizaciones no solo deben cumplir el RGPD, sino que además deben demostrar que lo cumplen.
El principio de Accountability viene recogido en el RGPD en diversos artículos. Principalmente, pueden citarse los artículos 5 y 24 del referido texto normativo.
El artículo 5 del RGPD establece que el responsable del tratamiento además de cumplir con los principios de protección de datos, deberá demostrarlo.
Por su parte, el artículo 24 del RGPD destaca el deber del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas, a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Asimismo, el referido precepto legal determina que, cuando ello guarde proporción con el tratamiento de datos llevado a cabo, el responsable aplicará las correspondientes Políticas de Protección de Datos.
Los responsables y encargados del tratamiento que se enfrenten al reto de cumplir el RGPD en un entorno blockchain deberán ser capaces de demostrar, más que nunca, el cumplimiento de la normativa en materia de Protección de Datos.
A fin de poder acreditar dicho cumplimiento, se propone la creación y el mantenimiento de una serie de Políticas de Privacidad que reflejen las medidas técnicas y organizativas implementadas para proteger los datos personales y garantizar los derechos de los interesados. A saber:
- Política de Seguridad. Dicha política tendrá como objetivo definir las reglas para el uso de sistemas de información tecnológicos utilizados por el responsable o el encargado del tratamiento.
- Política de Controles de Accesos. Esta política tiene como objetivo definir reglas para el acceso de empleados y cargos directivos de una empresa a los diversos sistemas, equipos, instalaciones e información. En cuanto a su contenido, se señalan, a título ilustrativo, los siguientes puntos:
- Política de Destrucción de los Datos. Esta política tiene como objetivo establecer los criterios para la conservación de los datos personales y los mecanismos para la destrucción de datos.
- Procedimiento para la notificación de violaciones de seguridad. Este documento deberá reflejar los pasos a seguir en caso de producirse una violación de seguridad de los datos personales.
De forma adicional a las políticas anteriormente mencionadas, se recomiendan las siguientes:
- Política relativa a la designación de un Delegado de Protección de Datos. Dicha política deberá indicar la persona designada para ejercer como Delegado de Protección de Datos (en el supuesto que éste sea necesario), o de la persona encargada de la protección de datos dentro de la organización. Asimismo, se describirán las funciones y responsabilidades inherentes al cargo.
- Protocolo para garantizar los derechos de los interesados. Dicho protocolo o política deberá establecer los pasos a seguir para la gestión de las solicitudes realizadas por los interesados con respecto a sus derechos en materia de protección de datos, de conformidad con lo establecido en el RGPD.
Finalmente, es importante tener presente que todas las políticas de protección de datos adoptadas por el responsable/encargado deberán ser actualizadas y auditadas periódicamente. Será también recomendable ofrecer programas formativos destinados a los empleados del responsable/encargado para la correcta aplicación y cumplimiento de tales políticas.
2. Binding Corporate Rules para empresas
La blockchain es una red descentralizada cuyos nodos pueden ubicarse alrededor de todo el mundo. Por tanto, la transmisión de datos personales a través de la blockchain fácilmente podrá comportar la realización de una transferencia internacional de datos.
Lo mismo sucederá en grupos de empresas ubicadas por todo el mundo que compartan información a través de una plataforma blockchain privada.
El primer supuesto, esto es, en el marco de una blockchain pública, será muy complicado establecer un mecanismo para cumplir con el RGPD en materia de transferencias internacionales de datos.
No obstante ello, en el segundo de los casos, es decir, en una blockchain privada, puede garantizase el cumplimiento del RGPD en materia de transferencia internacional de datos mediante la creación de las llamadas “Binding Corporate Rules”.
El RGPD define, en su artículo 4.20) las Binding Corporate Rules (o normas corporativas vinculantes) como “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.
Las Binding Corporate Rules (en adelante, BCR) actúan como un mecanismo alternativo destinado a ofrecer garantías suficientes para poder realizar transferencias internacionales de datos a terceros países sin nivel adecuado en protección de datos. Se trata de un instrumento jurídicamente vinculante entre un responsable o encargado del tratamiento establecido en la UE y un responsable o encargado del tratamiento establecido en uno o varios terceros países, es decir, fuera de la UE, siempre que se trate de un mismo grupo empresarial1 o una unión de empresas dedicadas a una actividad económica conjunta.
3. Orientaciones sobre ISO's aplicables a la blockchain
Teniendo en cuenta que blockchain es una tecnología que se encuentra en proceso de desarrollo, es muy arriesgado indicar que puede ser sometida a un estándar. No obstante lo anterior, en el año 2016 la Organización Internacional de Standards (conocida como la ISO)2 creó el proyecto de ISOTC/307 Blockchain and Distributed Ledger Technologies, el cual está en proceso de análisis y discusión.
El trabajo de estandarización de esta tecnología de ISO ha sido dividido en seis grupos, entre los que se encuentran: (I) fundaciones, (II) seguridad privacidad e identidad, (III) smart contracts y sus aplicaciones, (IV) caso aplicables, (V) gobernabilidad e (VI) interoperatividad. Siendo la segunda y la tercera de especial interés por la complejidad de la tecnología blockchain en el cumplimiento Reglamento Europeo de Protección de Datos.
El problema puntual que asume la ISO es que la tecnología blockchain se encuentra en una fase muy embrionaria, con lo cual está sujeta a cambios constantes, y al no existir uniformidad en la tecnología, se pueden generar dificultades en el proceso de estandarización.
El objetivo fundamental fijado por el comité de trabajo de la ISOTC/307 es asegurar que el estándar sea flexible y que se adapte a las diferentes aplicaciones basadas en tecnología blockchain. Existen actualmente 35 países participantes y 13 observadores del proceso de discusión y análisis. La mayoría de países miembros de la Unión Europea3 forman parte del grupo de países participantes (incluyendo España). El objetivo del comité de trabajo es tener aprobada esta ISO para el año 2021.
A pesar de que actualmente no existe un estándar ISO definido o específico para blockchain, en el plan de negocio de la ISO/TC 307 se enuncian una serie de ISO's que el comité de trabajo deberá tener en cuenta para su confección, entre las que se encuentran:
ISO 20022 | Serie de Servicios Financieros. |
ISO/IEC 17788 | Tecnología de la información - Cloud Computing - Descripción general y vocabulario. |
ISO/IEC 17789 | Tecnología de la información - Cloud Computing - Arquitectura de referencia. |
ISO/IEC 18384 | Tecnología de la información - Cloud Computing - Arquitectura de referencia orientada. |
ISO/IEC 19086 | Cloud Computing - Acuerdo de nivel marco de servicio SLA. |
ISO/IEC 27000 | Serie sobre | técnicas de seguridad aplicable a varios tipos de industrias.
ISO 29000 | Serie sobre gestión de identidad y privacidad. |
ISO 31000 | Serie de Gestión de riesgos. Principios y pautas. |
ISO 10962 | Valores e instrumentos financieros relacionados. |
ISO 6166 | Seguridad e instrumentos financieros relacionados. |
ISO/IEC 38500> | Serie de tecnologías de la información. Gobierno de IT para las organizaciones. |
ISO/IEC JTC 1 SC 17 | Normas relacionadas con la identidad, incluidos los pasaportes y licencias de conducir. |
De las ISO's enunciadas en el apartado anterior, la serie ISO/IEC 27000 tiene una gran influencia para el cumplimiento del RGPD. La ISO/IEC 27001 relacionada con técnicas de seguridad - sistemas de gestión de seguridad de la información es una herramienta eficaz para cumplir las medidas técnicas y organizativas que impiden la vulneración de los datos, de acuerdo con lo indicado en el RGPD, lo mismo que la norma ISO/IEC 27002 relacionada con medidas de seguridad aplicables a los servicios de Cloud Computing.
Respecto al uso de las ISO's, se ha de tener en cuenta que el RGPD no señala la forma o los mecanismos técnicos que deberá implementar el responsable de los datos o el encargado del tratamiento, otorgándoles libertad tecnológica para la implementación de las mismas. El artículo 32 del RGPD incluye en el apartado 1.a) la seudonimización y el cifrado de datos personales como medida de seguridad para minimizar el riesgo de fuga de datos. Tal como vimos en apartado 2.1 de este documento, estas técnicas de seudonimización se aplican al ecosistema blockchain (incluyendo las bases de datos off chain), teniendo el responsable de los datos la posibilidad de implementar la ISO/TEC 27001 para minimizar y controlar las brechas de seguridad.
De igual forma, se recomienda aplicar junto con la ISO/IEC 27001, el estándar británico BS 10012:2017 denominado Protección de Datos. En marzo de 2017 se publicó una nueva versión de dicho estándar británico, el cual está adecuado al RGPD y resulta perfectamente compatible con la ISO/IEC 27001.
Las normas mencionadas son herramientas técnicas que pueden emplear tanto el responsable de los datos como el encargo del tratamiento de los datos a la hora de cumplir con las exigencias de privacidad y confidencialidad exigidas en el RGPD.
- El artículo 4.19 del RGPD define el término grupo empresarial como "grupo constituido por una empresa que ejerce el control y sus empresas controladas".«
- ISO International Organization for Standardization.«
- Excepto Polonia, República Checa, Letonia, Lituania, Estonia, Eslovaquia, entre otras.«
Este artículo ha sido investigado, analizado y redactado por las abogadas Ana Vega Suárez e Immaculada Lleberia.