Blockchain y el cumplimiento del RGPD

Blockchain y el cumplimiento del RGPD
Infografía 1.

Siendo Blockchain una tecnología tan disruptiva, ha despertado mi interés y es por ello que iré publicando periódicamente varios artículos que pretenden analizar el cumplimiento del las aplicaciones móviles basadas en la tecnología Blockchain frente al Reglamento General del Protección de Datos. Estos artículos han sido redactados en régimen de coautoría con mi compañera Immaculada Lleberia Sedó a quien menciono por su especial dedicación y aportes realizados.

Antes de abordar todo este entramado jurídico, considero que debemos partir de conceptos y definiciones generales que nos permitirán ubicarnos y centrarnos en la tecnología Blockchain.  Lo primero que debemos saber, es de qué tipo de tecnología estamos hablando y las clases existentes. Recordad que todo ello ha sido redactado desde la óptica jurídica, partiendo de conceptos muy básicos y comprensibles para el lector.  

¿Qué es Blockchain?  

Blockchain es un software libre (open source) que fue puesto en funcionamiento en el año 2009; inicialmente fue conocido como Software Bitcoin. Tal como su traducción indica, se trata de una cadena de bloques que permite el registro inmutable de información. Su fundación es todo un misterio, no se sabe con certeza quién es su autor. Se especula que fue creado por un programador, matemático y criptógrafo denominado Satoshi Nakamoto, aunque debido a la complejidad del software es probable que hayan participado un equipo de profesionales.

El lanzamiento del software se realizó de forma anónima acompañado de un artículo de nueve páginas denominado: "Bitcoin: A Peer to Peer Electronic Cash System". Se trata de un "white paper" en el que se dan las explicaciones básicas del funcionamiento de la moneda electrónica, de la red y software denominado Bitcoin. El objetivo inicial de este software fue el de soportar las transacciones de una moneda digital descentralizada (Bitcoin) sin necesidad de pasar por un agente financiero (tercero de confianza), utilizando, en su reemplazo, pruebas criptográficas.

Autores como Melanie Swan han analizado la evolución del software reseñando tres generaciones: blockchain 1.0, en el que se ha desarrollado todo el ecosistema Bitcoin; blockchain 2.0, que soporta la ejecución de Contratos, entre ellos los Smart Contracts; y blockchain 3.0, en virtud del cual se están desarrollando aplicaciones para varios mercados, especialmente para el sector gobierno, salud, literatura, cultura, arte, etc.  

  1. Características generales del Software blockchain

Blockchain es el resultado de la combinación de varias tecnologías existentes. A continuación defino algunas de sus características:

DescripciónCaracterísticas
Software libre o de código abierto:El software Bitcoin se caracteriza por haber sido configurado bajo una la licencia de código abierto, MIT License. Esta licencia es muy amplia, ya que no genera ninguna restricción al usuario. No hay límites en el uso de los derechos patrimoniales relacionados con la modificación, reproducción, publicación o distribución. Lo especial de esta licencia es que incluye de forma expresa la posibilidad de que el Software se reproduzca con fines comerciales; es una autorización expresa para que se creen obras derivadas que encajarán en la tipología de las blockchain privadas. Como consecuencia de este tipo de licencia, el software blockchain ha sido conocido y usado en todo el mundo. Es un software totalmente libre, el cual se está convirtiendo en un patrimonio de la humanidad.
Red Peer to Peer (Red punto a punto):La interacción, intercambio, transacciones o transferencia se realiza persona a persona.  No hay agentes intermediarios en el proceso.
Uso de la Criptografía: A través de la criptografía (técnicas de matemática avanzada) se crean pruebas que por su naturaleza tienen un nivel muy alto de seguridad.  En el software Bitcoin se utiliza un tipo de criptografía denominada de curva elíptica, a través de la cual se generan códigos (identificados como hash) que identifican la clave privada, pública, las transacciones, la firma, etc.
Sistema descentralizado (sin intermediarios):El funcionamiento del software no está intervenido, custodiado ni validado por una autoridad central o autoridad de confianza. Todos los miembros de la red tienen el mismo poder. La validación de las transacciones se hace a través de los propios miembros de la red. Todas las transacciones quedan grabadas con  una copia exacta en cada nodo. La descentralización conlleva problemas con la normativa aplicable.  Debido al uso de la tecnología descentralizada existirán nodos ubicados en cualquier parte del mundo, los cuales no estarán obligados al cumplimiento del RGPD.  Si como consecuencia de lo anterior se realizan transferencias internacionales de datos, deberá cumplirse con lo indicado en el apartado 2.2 de este documento.
Inmutabilidad de los datos: A través de la blockchain se crean registros que son inalterables, no se podrán modificar ni eliminar.  Esta característica es el primer obstáculo que presenta esta tecnología para el cumplimiento del Reglamento General de Protección de Datos, tal como se indicará en el capítulo 2 de este documento. El cumplimiento del Derecho de supresión (cancelación de datos) quedaría limitado cuando se trate del registro de datos personales.
Tecnología DLT: Denominada por sus siglas en inglés DLT o Distributed Ledger Technology, lo que se traduce al castellano como tecnología de registros distribuidos. Blockchain es un tipo de tecnología DLT donde se gestionan datos a través de los participantes y no está centralizada.
Mecanismo de ConsensoConjunto de reglas para la toma de decisiones. Cada blockchain incorpora un mecanismo de consenso diferente.

 

  1.  Clases de blockchain
    1. En función de las condiciones de acceso

Existen blockchain públicas y privadas. A continuación se enuncian sus características y aspectos técnicos, a efecto de realizar una comparativa y determinar sus elementos esenciales:

CaracterísticasBlockchain PrivadasBlockchain Públicas
Condiciones de accesoLimitación en el acceso a los usuarios, hay interés comercial. Se trata de desarrollos de software realizados para tipos de negocios particulares o empresas privadas.No hay límites en el acceso, cualquier persona puede usarla una vez haya aceptado el protocolo (al descargar software).
Propiedad IntelectualHay restricciones en el acceso del código. No entregan código fuente al usuario o cliente. Software de código abierto (open source). El usuario puede explotar los derechos patrimoniales: uso, explotación, comunicación y reproducción del código fuente.
Se trata de App privadas.  A nivel de Propiedad Intelectual son obras derivadas. Generalmente se suscribe Licencia de uso del Software donde se permite de forma temporal su uso. No obliga a que el software creado en virtud de éste deba ser abierto.
GarantíasGarantía de funcionamiento de la aplicación móvil (App).No hay garantías de ningún tipo. Los autores no responden por su funcionamiento ni por sus resultados. El autor es desconocido.
Cumplimiento del Reglamento General de Protección de Datos

El cumplimiento del RGPD dependerá del funcionamiento de la red.

En una blockchain privada se deberá  definir el rol que realiza o ejecuta cada parte (responsable/usuarios).

Las transacciones podrían realizarse entre Responsable-Encargado, Responsable-Responsable o Encargado-Encargado. En función de ello, deberían asignarse las responsabilidades correspondientes.

Quien tenga la responsabilidad de gestionar los nodos probablemente sea el responsable de los datos, pero cada caso deberá analizarse de forma particular y concreta.

En el caso que se traten datos personales dentro de la red, la aplicación del RGPD resulta absolutamente complicada. Los ordenadores (nodos) están ubicados en cualquier parte del mundo, con lo cual no se podría garantizar el principio de confidencialidad, pues la información estaría replicada por el mundo. De igual forma, tampoco se garantizaría el cumplimiento del derecho de supresión (derecho al olvido) o modificación.
Condiciones Contractuales Ofrece acuerdo de niveles de servicio (identificado por sus siglas en inglés como SLA's). A nivel contractual se establece el tipo de responsabilidad que asume el prestador del servicio.Como mínimo deberían existir unas normas de la comunidad que indiquen cómo debe ser el comportamiento de los usuarios.

 

Aspectos TécnicosBlockchain Privada Blockchain Pública
Registros En la mayoría de casos no hay registro en la blockchain pública, los registros de las transacciones se hacen en la red privada.El registro de las transacciones se realiza en la red blockchain.
Gobernanza:No hay consenso, hay validaciones. Centralizadas parcialmente.Descentralizado. Hay consenso.
Privacidad y  Seguridad:La privacidad y seguridad es muy alta (red privada). Hay mayor control por parte de la administración.Hay pocos ataques al ser descentralizada. Se reduce el nivel de privacidad. Es segura por su naturaleza.
ConsensoCada blockchain privada desarrolla su propia estructura de consenso. El proceso de verificación de las transacciones puede ser más rápida porque hay menos nodos que realizan el consenso. Por ejemplo: En Ethereum, el proceso de verificación ha variado de ser "proof of work" al poder computacional, ello hace que el consenso sea más rápido y que las redes sean más eficientes. IBM o HyperledgeLa forma de hacer el consenso va evolucionando en función de los desarrollos tecnológicos que se implementen, según las necesidades del mercado. El proceso de verificación de las transacciones (denominado en inglés: proof of work) puede ser más lento.
Restricciones Hay restricciones respecto del uso.  En una blockchain privada se puede limitar el acceso de lectura o edición a determinados usuarios.  Los responsables de los datos podrían autorizar a terceros la realización de auditorias.No hay restricciones, cada nodo puede almacenar, enviar o recibir datos.

  Adicional a la blockchain pública y privada existe la modalidad de Consorcio. Se trata de una red privada permisionada. Cada consorcio define las reglas de funcionamiento interno. Por ejemplo: mediante protocolos internos los miembros del Consorcio podrían acordar levantar los nodos para adoptar las decisiones, se podría levantar la red y permisionar al desarrollador. Las transacciones se realizarían más rápido porque hay menos nodos interviniendo en el consenso o en la toma de decisiones.

 

A continuación os comparto la Infografía (Infografía No.1) que resume el contenido antes mencionado.

blockchain-y-el-cumplimiento-del-rgpd

Este artículo ha sido investigado, analizado y redactado por las abogadas Ana Vega Suárez e Immaculada Lleberia.