Mi cuenta

Blockchains públicas, LGPD y derecho al olvido: ¿pueden conciliarse?

Rectangle

Pueden las blockchains públicas cumplir con los dictados de la Ley 13.709/2018 (Ley General de Protección de Datos de Brasil), especialmente en lo que respecta a la alteración y eliminación de datos? Veamos.

El artículo 16 de la LGPD (Ley 13.709/2018) establece que:

Art. 16: Los datos personales se suprimirán una vez finalizado su tratamiento, dentro del ámbito y de los límites técnicos de las actividades, autorizándose su conservación para los siguientes fines:
I - cumplimiento de una obligación legal o reglamentaria por parte del accionista mayoritario;
II - un estudio realizado por un organismo de investigación, garantizando, siempre que sea posible, la anonimización de los datos personales;
III - transferencia a un tercero, siempre que se respeten los requisitos de tratamiento de datos establecidos en la presente Ley; o
IV - para uso exclusivo del responsable del tratamiento, sin acceso por parte de terceros, y siempre que los datos estén anonimizados.
Recuerde que tratamiento, a efectos de esta norma, es:

Art. 5, X: cualquier operación realizada con datos personales, como las relativas a la recogida, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, tratamiento, archivo, conservación, supresión, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción;".
Y qué significan los datos personales:

Art. 5, I: información relativa a una persona física identificada o identificable".
Cabe señalar que la ley exige que los datos personales se borren cuando hayan finalizado los procedimientos de tratamiento, con la excepción de las posibilidades de conservación enumeradas anteriormente (art. 16). Sin embargo, este mandamiento entra en conflicto directo con las llamadas blockchains públicas. Entendamos por qué a continuación.

A las cadenas de bloques públicas, como Bitcoin [1], puede acceder cualquier persona interesada, y algunas incluso permiten una relativa anonimización de sus usuarios [2]. Las cadenas de bloques privadas, por su parte, pueden configurarse para que solo determinadas personas puedan acceder a ellas y pueden exigir (y suelen exigir) que estos usuarios estén identificados.
Otra característica de las blockchains públicas es que están descentralizadas, es decir, no hay ninguna entidad, gubernamental o no, que controle la red. En cambio, las blockchains privadas tienen una o varias entidades responsables de su implantación, configuración y gestión.

Otra diferencia entre las cadenas de bloques públicas y privadas se refiere a la inmutabilidad de los datos almacenados en ellas. Las blockchains públicas están diseñadas para evitar la alteración indebida de los datos, distribuyéndolos entre sus usuarios y aplicando operaciones criptográficas para evitar ataques que pongan en peligro la integridad de la información [3]. Las blockchains privadas también persiguen la inmutabilidad de los datos, pero dependiendo de cómo estén estructuradas y si así lo desea la organización que las mantiene, cadenas enteras pueden ser borradas, y con ellas, todos los datos, incluidos los personales, objeto de este breve ensayo.

Es aquí donde surgen dos puntos de fricción entre la normativa de protección de datos (GDPR, LGPD, CCPA, etc.) y las blockchains públicas: su inmutabilidad hace imposible cambiar o eliminar datos, y su naturaleza descentralizada impide que una entidad sea responsable del incumplimiento de los dictados relacionados con dichas operaciones. Lo máximo que se puede conseguir es crear nuevos bloques de datos con información actualizada, pero la información antigua permanece, en teoría, eternamente disponible en la red [4].
Otro punto conflictivo es el papel de los responsables del tratamiento, que la LGPD define en su artículo 5:

Art. 5, VI: persona física o jurídica, pública o privada, responsable de las decisiones relativas al tratamiento de datos personales;".
Mientras que leyes como la LGPD asignan responsabilidades a los responsables del tratamiento en organizaciones centralizadas, en las blockchains públicas, debido a su filosofía de funcionamiento, ningún individuo que participe en la red puede definirse como responsable del tratamiento.

En estas redes públicas, cualquier dispositivo que se conecte a la estructura como "nodo" conservará una copia de la blockchain. Sin embargo, por la propia configuración de la tecnología que garantiza la inmutabilidad de los datos, no hay forma de que esos usuarios obtengan privilegios para corregir o borrar información una vez que esos datos se han incorporado a la blockchain. También es cierto que, una vez incluidos en una blockchain pública, ningún individuo tendrá el control de estos datos, ya que estarán descentralizados y a prueba de mutabilidad y borrado.

Y aún queda otra cuestión por plantear: el llamado Derecho al Olvido ante las blockchains públicas.
Este derecho, que también está previsto en el art. 17 del GDPR [5], se refiere, en el contexto de las leyes de protección de datos, a la información que debe suprimirse cuando ya no sea necesaria para los fines del tratamiento. En Brasil no existe reglamentación sobre este derecho, pero hay decisiones del STJ, por ejemplo, en este sentido [6].

La cuestión es que, de nuevo debido a la naturaleza inmutable de las cadenas de bloques públicas, este derecho no se ejercería cuando fuera necesario eliminar información personal basada en la necesidad de ser olvidada. Las cadenas de bloques públicas promueven así el "derecho a no ser olvidado", haciendo inocuas las decisiones judiciales en sentido contrario.

Además, algunos se han planteado el uso de otras tecnologías (como los contratos inteligentes) para evitar o prevenir la inserción de datos personales en dichas blockchains, pero esta posibilidad queda descartada debido al carácter (de nuevo necesario mencionarlo) descentralizado de dichas redes públicas, que funcionan sin un responsable definido. Estas capas de seguridad previa podrían utilizarse, e incluso se utilizan, cuando es necesario en blockchains privadas, debido a su gestión centralizada.

Por último, cabe recordar que el art. 16 de la LGPD obliga a la supresión de los datos personales:
(...) dentro del ámbito y los límites técnicos de las actividades, (...)".

Esta expresión lega a los intérpretes de la ley la noble tarea de decidir si se sanciona (o no) a quien demuestre que es técnicamente imposible eliminar los datos personales que ha registrado en una blockchain pública por una u otra razón, constituyendo lo que se conoce como envenenamiento de la privacidad de la blockchain[7].

Etiquetas

Rectangle

Hugo Dias Nogueira

Consultor en Gestión de Servicios, Gobernanza y Transformación Digital | Facilitador | Experto en Mejores Prácticas y Negocio Digital

Contenido más leído

Rectangle

Blockchains públicas, LGPD y derecho al olvido: ¿pueden conciliarse?

Tipo:
Por: tecdev
Rectangle

Blockchains públicas, LGPD y derecho al olvido: ¿pueden conciliarse?

Tipo:
Por: tecdev
Rectangle

Blockchains públicas, LGPD y derecho al olvido: ¿pueden conciliarse?

Tipo:
Por: tecdev
Rectangle

Blockchains públicas, LGPD y derecho al olvido: ¿pueden conciliarse?

Tipo:
Por: tecdev
Rectangle

Blockchains públicas, LGPD y derecho al olvido: ¿pueden conciliarse?

Tipo:
Por: tecdev