El Blockchain o cadena de bloques es una tecnología de registros distribuidos (o DLT, por sus siglas en inglés), popularmente conocida como una base de datos digital, compartida, sincronizada y mantenida por un algoritmo y almacenada en múltiples nodos. Cada nodo almacena una copia integral de la base de datos y tiene poder para actualizarla.
Discordancias entre Blockchain y RGPD
1º) Responsabilidad o accountability: para comenzar, el RGPD asume que detrás de todo dato personal habrá, al menos, una persona física o jurídica que controlará dichos datos, ante quienes los titulares podrán ejercer sus derechos en materia de protección de datos: los responsables de tratamiento. Una Blockchain, en cambio, defiende la descentralización.
2º) Principio de modificación y de rectificación: el RGPD defiende que los datos pueden ser modificados o eliminados si se hace necesario por obligación legal (art. 16 y 17 RGPD). La tecnología blockchain deja estas modificaciones a un lado para asegurar la integridad de los datos e incrementar la confianza en la red.
3º) Principio de minimización y finalidad de los datos: confrontación de la tecnología blockchain con los principios de minimización de datos y de delimitación de la finalidad de los mismos. El RGPD establece que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que serán tratados. Los registros distribuidos dependen de bases de datos en continuo crecimiento, pues se añaden inmensas cantidades de datos, chocando por tanto con el RGPD.
4ª) Legitimidad del tratamiento, derecho de cancelación y olvido: tensión entre el derecho de supresión (y el derecho al olvido) y las blockchains, ya que esta última está designada para asumir la modificación unilateral de los datos. El reto está en poder eliminar los datos personales de la red blockchain en caso de que el interesado revoque su consentimiento.
5º) Limitación del plazo de conservación: según el RGPD, los datos deben mantenerse de forma que pueda identificarse a los interesados durante el tiempo necesario para el tratamiento previsto. El problema aquí procede de eliminar los datos personales en el futuro, cuando el fin establecido para el tratamiento concluya.
6ª) Integridad y confidencialidad: la normativa europea establece que los datos se tratarán de tal forma que se garantice su seguridad, incluida su protección frente tratamientos no autorizados o ilícitos, pérdida, destrucción o daño de datos, mediante las medidas técnicas u organizativas adecuadas. En una blockchain, todos los participantes tienen acceso a los datos almacenados en esta al tratarse de una red distribuida (todos los nodos poseen una copia exacta de cada transacción realizada), independiente de que el interesado otorgare consentimiento o no. El RGPD establece el deber de recabar consentimiento expreso por parte del titular de los datos para poder tratar los mismos, ¿Dónde está este consentimiento en este tipo de redes?
Para paliar esta falta de concordancia, se pueden implantar una serie de mecanismos de protección o medidas técnicas y organizativas “adecuadas”, como es la función hash, que genera un identificador alfanumérico para cada tipo de información. Este código permanecerá intacto mientras la información no se modifique, comprobando de este modo si se mantiene su integridad y confidencialidad. Con ello se persigue el fin de imposibilitar la identificación del propietario del dato. El consentimiento en estas redes deberá recogerse previamente y será registrado de forma anonimizada en la red. El establecimiento de canales privados para transmitir información dentro de la misma blockchain ayudará a suplir este tipo de controversias, siempre cifrando la información. Existen infinitas medidas técnicas y organizativas a tener en cuenta para prevenir todo tipo de injerencias en la seguridad de la información, estas son solo un ejemplo de ello.
Otro peligro existente en las redes blockchain, entrando por último en materia de ciberseguridad, es el conocido como “51 % attack”, ataque mediante el cual, si un grupo de mineros controla más del 50% de los ordenadores que conforman una blockchain, podrían tomar el control de las transacciones que se realizan en ella. Ello podría generar problemas en relación a la confidencialidad, integridad y disponibilidad, pues los atacantes podrían generar nuevas transacciones, confirmarlas, y realizar cuanto quisieran. Por tanto, es necesaria una buena formación en ciberseguridad tanto en relación a este tipo de redes, como en cuanto a cualquier empresa, pues por más seguros que sean nuestros sistemas, siempre existe el riesgo de ser atacados.