Otros elementos jurídicos a tener en cuenta en blockchain privadas

Otros elementos jurídicos a tener en cuenta en blockchain privadas
Infografía 4.

A título de recomendación se enuncian a continuación los diferentes aspectos jurídicos que los desarrolladores deberían tener en cuenta a la hora de adaptar sus proyectos de tecnología blockchain  (blockchain privadas) al RGPD.

Aspectos jurídicos  Acción/Recomendación

Cláusula de Protección de datos (tratamiento de datos)

En el caso de que el cliente (del desarrollador) sea el responsable de los datos, se ha de explicar y especificar dicha condición en la cláusula de protección de datos del contrato. Es importante que se indique el reparto de responsabilidades y las funciones que cada parte asumiría dentro del tratamiento de datos (encargado/responsable de los datos).

Contratos de encargado del tratamiento

En el caso de que la base de datos quede almacenada en los servidores del cliente y el desarrollador preste servicios de mantenimiento del software de la blockchain, se deberá suscribir un contrato de encargado del tratamiento. Lo anterior es debido a que durante la ejecución de los servicios de mantenimiento el desarrollador podría acceder al repositorio donde se encuentran almacenados los datos personales de los clientes del cliente.

Ubicación de los servidores (tratamiento de datos)

Se recomienda que los servidores estén ubicados dentro de la Unión Europea. De esta forma el prestador cumpliría con las exigencias en materia de Transferencias Internacionales incluidas en el RGPD.

En el caso de que los servidores no estuviesen ubicados en la UE tendrían que agotarse cualesquiera de las siguientes opciones (I) transferencias internacionales de datos fundamentadas en una decisión de adecuación (art. 45 RGPD), (II) transferencias internacionales de datos fundamentadas en garantías adecuadas (art. 46 RGPD) o (III) la implementación de las "Binding corporate rules" (art. 47 RGPD)

Contenido contrato de desarrollo de software

Cuando el cliente contrata al desarrollador para la creación de la blockchain. Se deberá describir dentro del contrato de forma expresa cómo quedará estructurada la blockchain privada (a nivel de funcionalidad y estructuración) y qué parte (ya sea desarrollador o cliente) será la encargada de administrar los datos privados del cliente y/o de terceras personas (antes de que se ejecuten las técnicas de encriptación).

La implementación de medidas de seguridad se realizará en función de dicho reparto de competencias.

Niveles de servicio (Service Level Agreement)

Los SLA's podrán estar establecidos a nivel contractual. Se recomienda establecerlos con niveles propios y ajustados a una escala que incluya a su vez tiempos de respuesta.  

Si la disponibilidad promedio mensual a la que se comprometió el desarrollador disminuye, podría otorgarse un descuento en la facturación al cliente. El desarrollador no debería responder por fallos ocasionados por terceros o aquellos daños que sean ocasionados por el cliente por el mal uso de los servicios.  Todo este esquema de responsabilidad vs. SLA debe quedar documentado en el Contrato.

El RGPD establece un plazo perentorio de 72 horas para la notificación de brechas de seguridad ante el ente de control (Agencia Española de Protección de Datos).  En el caso de que el desarrollador actúe como encargado del tratamiento de los datos del cliente, esa obligación de notificación debe quedar establecida en el contrato que suscriban el desarrollador y el cliente.  

Es importante que se articule un protocolo ágil de atención y comunicación entre las partes (encargado y responsable) a efecto de que puedan cumplir con la notificación dentro del plazo indicado por el RGPD.

 

Otros elementos jurídicos a tener en cuenta en blockchain privadas

Infografía No.4

 

Este artículo ha sido investigado, analizado y redactado por las abogadas Ana Vega Suárez e Immaculada Lleberia.