En el presente número de Breves, analizamos la tecnología blockchain, repasamos como esta puede aportar agilidad y eficacia en diferentes ámbitos económicos más allá del Bitcoin y planteamos los retos que presenta su adopción en materia de protección de datos personales.
¿Qué es Blockchain?
Desde la primera referencia documentada de la aplicación en 2008 del Blockchain como sistema de pago en línea de usuario a usuario, conocido como Bitcoin, se mantiene en auge debido a sus múltiples aplicaciones en muy diversos campos. Esta tecnología responde al mecanismo DLT (del inglés “distributed ledger technology”), y cuya definición sencilla sería la de una base de datos en la que existe un “registro” de operaciones denominadas bloques, almacenadas en una red de ordenadores. Cada vez que se produce una nueva operación, se añade un bloque nuevo y el conjunto de las operaciones forman la cadena de bloques inmutable que da el nombre a la tecnología. Una vez que se añade un cambio al registro, este no puede ser ni editado ni borrado, solo rectificado añadiendo un cambio posterior.
El hecho de que la base de datos esté almacenada en una red de ordenadores y no en único sistema que centralice la gestión de ese registro, aumenta la seguridad de las transacciones dificultando el hackeo, generando más confianza entre los participantes y facilitando asimismo la verificación de las transacciones.
Blockchain más allá del Bitcoin
Como decíamos, la aplicación práctica que mayor repercusión, cuanto menos mediática, ha tenido hasta la fecha el blockchain es el Bitcoin. No obstante, en la actualidad, Blockchain se extiende a diferentes ámbitos económicos en los que su uso está aportando agilidad y eficacia en las transacciones cotidianas.
Entre dichos usos, y por su mayor grado de madurez, analizamos a continuación la tecnología Blockchain aplicada a Smart Contracts, Identidad Digital y Gestión de la cadena de distribución.
Smart contracts
Los Smart contracts o contratos inteligentes se ejecutan y despliegan sus efectos obligatorios de manera autónoma y automática, sin intermediarios ni terceros mediadores, siendo las cláusulas códigos informáticos en lenguaje de programación.
En definitiva se trata de un código de programación que al ocurrir un evento hace que se ejecuten una serie de funciones y consecuencias preestablecidas. Son contratos en los que se predefinen una serie de obligaciones y efectos jurídicos que se despliegan cuando ocurre un evento también predeterminado.
Por ejemplo, tendría una aplicación práctica en un seguro por cancelación o retraso de vuelos. Así, en el smart contract definiríamos las prestaciones económicas en caso de que el vuelo se retrasase. El evento que activaría la ejecución del contrato sería que el vuelo sufra un retraso de más de un determinado número de horas y desplegando sus efectos de forma automática (i.e. ingreso automático de la indemnización por cancelación). Este mismo ejemplo se podría trasladar a la suscripción automática de contratos de encargado de tratamiento en la contratación de una prestación de servicios cuando el contrato tenga una obligaciones estándar para los proveedores. Desplegando de forma automática un catálogo de medidas a exigir al proveedor.
Identidad digital
La aplicación de esta tecnología simplifica el proceso de identificación que existe para ciertas transacciones a través de internet. Por ej. en la actualidad, cualquier solicitud de un producto financiero como préstamos o tarjetas de crédito requiere la autenticación del cliente por parte de la entidad financiera.
En caso de que se crease una red Blockchain con varias entidades, el usuario tan solo necesitaría llevar a cabo su identificación en un único momento. Con posterioridad, todas las empresas y usuarios participantes en la red Blockchain, tendrían la garantía de la identidad de ese usuario y no sería necesaria la comprobación de éste para cada operación con un nuevo prestador de servicios. Esto llevaría a un inicio de sesión ininterrumpido y una reducción del fraude.
Gestión de la cadena de distribución
En el sector de la logística y el transporte intervienen una cantidad enorme de agentes e intermediarios (fabricantes, mayoristas, distribuidores, etc.), con el consiguiente volumen de documentación a validar en cada operación de transporte de mercancías se lleve a cabo.
La introducción de Blockchain dentro de toda la cadena de distribución, agilizaría las operaciones, reduciendo los trámites, así como toda la documentación que se genera, alcanzando un mayor nivel de transparencia e instantaneidad, al permitir, también en este caso, la desintermediación de los negocios, en el que una red de blockchain conecta a un transportista con el cliente final, la autenticidad e inmutabilidad de la información almacenada en la red Blockchain, garantizando que las reglas preestablecidas se cumplen y facilitando la trazabilidad del suministro a lo largo de la cadena de distribución.
Blockchain y Protección de Datos personales
Con la llegada del RGPD y su nuevo marco de regulación de la privacidad, todos los sectores de actividad han visto la necesidad de implementar cambios en su operativa diaria para poder dar cumplimiento a las nuevas obligaciones. Como no podía ser de otra manera, Blockchain ha visto como esta nueva normativa ha suscitado opiniones de ciertos sectores que argumentan que pudieran ser incompatibles.
Existe un gran debate sobre las posibles incompatibilidades entre lo dispuesto en el RGPD y el uso de la tecnología Blockchain. Entre las distintas cuestiones que plantean controversia, analizamos a continuación algunas de ellas, así como la eventual solución que podría adoptarse.
- Identificación de actores: El RGPD impone a los diferentes actores intervinientes en un tratamiento de datos personales una serie de obligaciones y responsabilidades, a la vez que otorga determinados derechos a otros, por lo que deviene necesario identificar en cada tratamiento, la posición jurídica que ocupa cada uno de estos actores. Este objetivo colisiona, en principio, con la esencia de la tecnología Blockchain, en la que cada uno de los actores de la red (propietarios de la red, desarrolladores de la tecnología, nodos participantes en la red o los propios interesados) se sitúa en un plano de igualdad en la transacción que le permite tener acceso a los datos personales, suscitándose por el contrario la dificultad de determinar la condición de responsable y encargado de tratamiento entre los mismos.Esta cuestión no es pacífica, siendo uno de los últimos debates entre las principales autoridades de protección de datos y grupos de trabajo especializados en el territorio europeo, que recomienda la definición de los actores caso por caso.Ante este entorno, es aconsejable operar en una red Blockchain privada ya que, por sus características facilita el cumplimiento con la normativa, ya que, desde el momento en el que los propietarios de la misma, (consorcios, empresas, entidades gubernamentales, etc.) deciden quién puede participar en la misma, así como el flujo de datos que se produce y las condiciones del tratamiento (lectura, escritura, acceso, etc…) se hace más fácil identificar el rol en protección de datos que jugaría cada uno.
- Ejercicio de derechos, rectificación o supresión: Los derechos que plantean mayores dudas en cuanto a la posibilidad de ser ejercitados cuando aplicamos Blockchain son el de supresión y el de rectificación, ya que se opera dentro de una red que es, en principio, por naturaleza inmutable.
Para que una empresa pueda dar respuesta a una solicitud del derecho de supresión, lo que se plantea es la posibilidad de aplicar procesos de anonimización irreversibles, de modo que el dato sea tan inaccesible que pudiera equivaler a la supresión del mismo. Por ejemplo, la eliminación de la clave secreta del hash, haría que no se pudieran conocer los datos que había dentro del hash.Por otro lado, en relación con la rectificación, dada la inmutabilidad de los bloques, la atención del derecho ejercitado comportará la introducción de un nuevo registro que modifique el anterior. En este sentido, el último registro que incluye los datos más actualizados anularía la información del anterior, siendo el último el válido.
- Toma de decisiones automatizadas con efectos jurídicos: El uso de smart contracts que, en el marco de su funcionamiento, implica la automatización de decisiones, debe permitir que el interesado solicite la intervención humana cuando dicha decisión automatizada produzca efectos jurídicos para los interesados, es decir, poder impugnar la decisión automatizada derivada del contrato. Lo anterior es contrario a la esencia sobre la que descansa la elaboración de los smart contracts, que es precisamente la automatización de la ejecución de los mismos, sin la intervención humana que garantiza RGPD.Si bien, los smart contracts tal y como están configurados en la actualidad chocarían con el art. 22 del RGPD, la versatilidad de Blockchain permitirá que dichos contratos inteligentes puedan ser configurados y adaptados, de modo que den cumplimiento a la exigencia de la intervención humana.
- Otros aspectos a tener en cuenta: será necesario analizar con detenimiento la base legitimadora que es de aplicación a cada caso, teniendo en cuenta la relación que se establezca entre los diferentes actores de la red Blockchain.La participación de multitud de actores en diferentes lugares del mundo en un sistema basado en Blockchain podría suponer la existencia de transferencias internacionales de datos que, en su caso, sería necesario regular.Los datos personales incorporados en Blockchain deberían estar anonimizados, al objeto de disminuir el impacto en los derechos y libertades de los interesados.
Conclusiones
Como hemos visto, la utilización de Blockchain per se no supone un incumplimiento de la normativa de protección de datos, sin embargo el modo en el que se configure y utilice la tecnología si podría dar lugar a incumplimientos. Por ello, será imprescindible:
- Llevar a cabo un análisis jurídico exhaustivo de cada proyecto en los que se pretenda incorporar esta tecnología para determinar entre otros aspectos, la posición jurídica de cada uno de los actores, la base que legitima el tratamiento y la existencia toma de decisiones automatizadas que pueden tener efectos jurídicos en los interesados; y
- Aplicar de forma rigurosa los principios de privacidad desde el diseño y por defecto.