Aprobadas las directrices sobre el tratamiento de datos personales mediante ‘blockchain’

blockchain
Redacción

El Comité Europeo de Protección de Datos ha adoptado, en su reunión de julio, las directrices sobre el tratamiento de datos personales mediante tecnologías blockchain. La Agencia Española de Protección de Datos (AEPD) ha sido la ponente principal en la fase previa a su lanzamiento.

Este documento tiene como objetivo ofrecer seguridad jurídica a un entorno tecnológico caracterizado por su alta complejidad y su naturaleza distribuida, elementos que hasta ahora generaban incertidumbre sobre cómo proteger la privacidad de las personas, tal y como aseguran desde la AEPD en un comunicado.

El gran interés que despierta este tema se ha reflejado en la fase de consulta pública de este texto, convirtiendo a estas directrices en el documento del mencionado Comité Europeo que mayor número de contribuciones ha recibido por parte de personas expertas y organizaciones.

Con su aprobación, Europa afianza la idea de que el desarrollo tecnológico y la innovación no pueden rebajar los derechos de la ciudadanía, demostrando que la arquitectura blockchain puede ser compatible con la protección de las personas si se planifica bajo un modelo de gobernanza transparente, responsable y orientado a salvaguardar la privacidad. En este sentido, las directrices referencian la prueba de concepto sobre blockchain y el derecho de supresión publicada por la AEPD.

‘Blockchain’: Criterios de las directrices

La tecnología blockchain funciona como un libro de contabilidad digital replicado en múltiples ubicaciones donde los datos se enlazan de forma criptográfica, lo que impide que la información validada pueda alterarse o borrarse de forma sencilla. Esta inmutabilidad garantiza la integridad del sistema, pero desde la AEPD alertan que puede entrar en colisión directa con elementos de la protección de datos como la limitación del plazo de conservación o el derecho al olvido.

Para resolver este conflicto, las directrices aprobadas aportan, entre otros, una serie de criterios. El primero es evitar los datos personales directamente en la cadena. El Comité desaconseja almacenar datos personales en texto plano directamente dentro de la estructura de bloques. En su lugar, recomienda que los datos identificativos permanezcan guardados en los sistemas convencionales de las empresas (sistemas offchain) y que en la blockchain solo se registren «pruebas criptográficas de existencia», como funciones hash con clave o compromisos criptográficos.

El segundo criterio es el de la privacidad desde el diseño. Las organizaciones que implementen proyectos basados en esta tecnología no pueden improvisar la protección de datos. Las directrices exigen incorporar de forma obligatoria medidas técnicas avanzadas de minimización y cifrado desde la fase inicial de concepción del desarrollo técnico.

El tercero es la garantía de los derechos de la ciudadanía. El texto aclara que los derechos de acceso, rectificación, oposición y supresión son tecnológicamente neutros y se deben garantizar plenamente. Las directrices proponen fórmulas técnicas (como la destrucción de las claves de descifrado o el borrado de los datos almacenados fuera de la cadena) para lograr que un registro en la blockchain quede efectivamente anonimizado de forma irreversible a ojos de terceros.

Y el cuarto es el relacionado con las evaluaciones de impacto obligatorias. Debido a los riesgos técnicos inherentes a la replicación masiva y las transferencias internacionales de datos asociadas a los nodos de red, el Comité Europeo de Protección de Datos establece que las entidades deberán realizar una evaluación de impacto sobre la protección de datos antes de poner en marcha cualquier tratamiento con esta tecnología.