Blockchain y datos de carácter personal

¿Qué es el blockchain o la cadena de bloques?

Es habitual asociar la cadena de bloques, comúnmente denominada blockchain, a las criptomonedas. Sin embargo, aunque esta es la tecnología que se utiliza en su tráfico también tiene muchas otras aplicaciones que, desde hace más de diez años, numerosas empresas e instituciones están implantando progresivamente en su actividad.

Podemos definir el blockchain como una red descentralizada que permite realizar transacciones sin intermediarios, garantizando la inmutabilidad de la información y sin necesidad de coincidencia entre las partes, mediante el registro único, consensuado y distribuido en múltiples nodos de una red en el que se almacenan: los registros o transacciones, la información del propio bloque, su vinculación en el bloque anterior y el posterior a través del hash de estos nodos análogos como si se tratase de una huella dactilar que garantiza su inmutabilidad. Además, la información de la cadena completa se guarda en todos los nodos de la red generando copias exactas de la cadena en cada uno de ellos que, además, se irán incrementando conforme se creen nuevos registros verificados y con capacidad de ser considerados como un nuevo nodo dentro de la cadena.

¿Cómo funciona la tecnología blockchain en las criptomonedas?

La tecnología blockchain en las cripto funciona de forma similar a un libro contable en el que se registran todas las transacciones con la seguridad y características que proporciona esta tecnología, generando multitud de copias del libro contable con la misma información.

Aplicando la tecnología blockchain, resulta casi imposible de modificar la información contenida en los nodos sin que se detecte por el resto de la cadena, asegurando así su integridad.

Para afectar a la integridad de la información se deberían mutar con exactitud los datos en, al menos, el 51% de los nodos, poniendo así en duda la información y la veracidad de la misma. En el supuesto contrario, su quebraría la relación del nodo modificado con la cadena, facilitando así la integridad e inmutabilidad de la información presente en el resto de los nodos.

La seguridad de la información ha experimentado una importante transición desde la limitación en el número de personas que tenían acceso a una determinada información al objeto de preservarla, hacia la generalización y descentralización como garantía de su exactitud y seguridad. Esto es la esencia del blockchain que, al no contar con un nodo central, todos los nodos de la cadena de bloques poseen la misma información de forma descentralizada.

No obstante, la descentralización de la información y su almacenamiento ha supuesto un reto para la protección de datos.

El reto de la protección de datos en la tecnología blockchain.

La inmutabilidad y la descentralización de la información, a la vez que garantiza su seguridad, dificulta la posibilidad de modificarla o eliminarla, limitando el ejercicio de los derechos ARCO por los usuarios como, por ejemplo, el derecho al olvido, supresión de los datos, o modificación y actualización de los datos. Sin olvidar, el consentimiento, que se ha prestado a una determinada persona, responsable o encargado de tratamiento y no a la totalidad de los nodos que se encuentra replicada en todos los nodos de la cadena de forma exacta y descentralizada, dificultando la alteración del contenido de todos los nodos ya que, como elementos de la cadena de bloques, reciben y registran toda la información sobre todas las modificaciones que se producen en cada uno de los nodos.

El funcionamiento de la propia cadena de bloques entra en conflicto con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/C y que sustituye a la Directiva 75/96 necesitada de trasposición para su aplicación en los Estados Miembros.

En primer lugar, debemos fijarnos en el ámbito de aplicación del Reglamento, que son los datos de las personas físicas, considerando dato personal toda información referida a una persona física identificada o identificable. Además, debemos considerar la posibilidad de que, en una misma cadena de bloques, los nodos se encuentren en distintos lugares del mundo, algunos afectados por el la regulación de la Unión Europea y otros no.  La solución que adopta el Reglamento es que éste será aplicable a los responsables del tratamiento que estén en territorio de la Unión Europea con independencia de que los datos personales sean de ciudadanos de la Unión o no, al igual que a los responsables o encargados del tratamiento que se sitúen fuera del territorio de la Unión cuando traten datos personales de residentes en la Unión  Europea siempre que estén relacionados con la oferta de bienes o servicios, incluidos los gratuitos, a dichos residentes de la Unión Europea o con el control de su comportamiento en la medida que tenga lugar en la Unión Europea.

Con carácter general y refiriéndonos a las cadenas de blockchain públicas, no existe respuesta pacífica sobre quien es el responsable y encargado de tratamiento de los datos personales dentro de la cadena blockchain. Este problema es importante ya que cuando se realiza una copia por la integración de un nuevo nodo, este adquiere toda la información de los que ya componen la cadena, con los datos personales que estos contengan. En cambio, sí podemos afirmar que, generalmente, en las cadenas de bloques permisionadas, en las que el acceso se encuentra restringido a un número cerrado y conocido de usuarios, quien gestiona los permisos será en encargado del tratamiento.

Para solucionar y mantener la confidencialidad de los datos, además de la salvaguarda de los Derechos ARCO, disponemos de distintas soluciones entre las que destacamos la función hash y el cifrado con canales privados, que dependerán del tipo de datos, finalidad de los mismos, etc.

En la función Hash, además de la cadena de bloques, se mantiene una base de datos externa donde se recogen los datos personales. Estos datos se importan completamente anonimizados a la cadena de bloques como un hash, un reflejo de los datos encriptado de forma que cada dato se corresponde con una única cadena de caracteres alfanuméricos (sin que sea posible hacer la correspondencia inversa, es decir, partiendod e la cadena alfanumérica obtener el dato inicial). Contra la base de datos externa se podrán ejercitar los derechos ARCO, desde el borrado a la modificación de los mismos, que haría que se elimine la concordancia o correspondencia entre el dato eliminado y el hash de los nodos y, por tanto, inutilizable. No obstante, es posible que los hash puedan considerarse datos personales en determinados casos (dependiendo de la sensibilidad de los datos y los procedmientos y tecnologías empelados para la pseudoanonimización) por los que debería proporcionarse una solución más proteccionista.

Es aquí cuando surge otra solución, el cifrado con canales privados. Esta solución consiste en que entre dos de los nodos de la red blockchain, se crea un canal privado, al que los demás nodos no pueden acceder, en el que cada una de las partes tiene una clave cifrada y de descifrado con la que se transmite la información de los datos personales. En el resto de nodos aparece completamente anonimizada como un hash. Así, cuando se realiza alguna modificación sobre los datos se realiza mediante la creación de un nuevo dato y eliminación del dato obsoleto, borrando así la clave de descifrado y perdiendo el acceso ya que el dato no tiene correspondencia de cifrado y, por tanto, quedando inutilizado.

Recent Comments
    Recent Comments