El Comité Europeo de Protección de Datos ha aprobado las nuevas directrices sobre el tratamiento de datos personales mediante tecnologías blockchain.
JVC
Europa fija las reglas para el uso de blockchain
El Comité Europeo de Protección de Datos (CEPD) ha aprobado durante su reunión de julio las Directrices sobre el tratamiento de datos personales mediante tecnologías blockchain, un documento que busca aportar seguridad jurídica a una tecnología cada vez más presente en empresas y administraciones.
La Agencia Española de Protección de Datos (AEPD) ha desempeñado un papel protagonista durante la elaboración del texto. Esto se debe a que ha actuado como ponente principal en la fase previa a su aprobación.
El objetivo de estas directrices consiste en aclarar cómo deben tratarse los datos personales en entornos blockchain, caracterizados por su elevada complejidad técnica y por una arquitectura distribuida que hasta ahora generaba dudas sobre la aplicación del Reglamento General de Protección de Datos (RGPD).
Récord de participación durante la consulta pública
El interés que ha despertado este documento se ha reflejado en la fase de consulta pública. Según el Comité Europeo de Protección de Datos, las directrices se han convertido en el texto que mayor número de aportaciones ha recibido por parte de personas expertas, organizaciones e instituciones. Además, esto ha ocurrido desde la creación del organismo.
Con esta aprobación, las autoridades europeas refuerzan la idea de que el desarrollo tecnológico no puede reducir los derechos de la ciudadanía. Además, consideran que la tecnología blockchain puede resultar compatible con la protección de datos. Esto es posible siempre que su diseño responda a un modelo de gobernanza transparente, responsable y orientado a preservar la privacidad.
El documento también toma como referencia la Prueba de concepto sobre blockchain y el derecho de supresión publicada anteriormente por la Agencia Española de Protección de Datos.
Datos personales fuera de la cadena
Uno de los principales criterios de las directrices consiste en evitar el almacenamiento de datos personales directamente dentro de la cadena de bloques.
El Comité desaconseja incorporar información identificativa en texto plano dentro de la blockchain. En su lugar, recomienda conservar esos datos en sistemas tradicionales de almacenamiento, conocidos como sistemas off-chain. Mientras tanto, la cadena de bloques solo debería contener pruebas criptográficas de existencia, como funciones hash con clave o compromisos criptográficos.
Esta recomendación busca reducir los riesgos para la privacidad sin renunciar a las ventajas que ofrece esta tecnología.
Privacidad desde el diseño
Las nuevas directrices también establecen que la protección de datos debe formar parte del proyecto desde su fase inicial.
Por ese motivo, las organizaciones que desarrollen soluciones basadas en blockchain deberán incorporar medidas técnicas de minimización de datos, cifrado y otras herramientas de protección antes de poner en marcha cualquier sistema.
El CEPD considera que la privacidad no puede añadirse una vez desarrollado el proyecto, sino que debe integrarse desde el diseño de la infraestructura tecnológica.
Garantía de los derechos de la ciudadanía
El documento recuerda que los derechos reconocidos por el Reglamento General de Protección de Datos mantienen plena vigencia en los entornos blockchain.
En consecuencia, las organizaciones deberán garantizar el ejercicio de los derechos de acceso, rectificación, oposición y supresión de los datos personales.
Para facilitar su cumplimiento, las directrices proponen distintas soluciones técnicas. Entre ellas figuran la destrucción de las claves de descifrado o la eliminación de los datos almacenados fuera de la cadena. Estas son medidas que permiten que la información resulte anónima de forma irreversible para terceros.
Evaluaciones de impacto antes de cada proyecto
Las directrices también obligan a realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) antes de implantar cualquier tratamiento basado en blockchain.
El Comité justifica esta exigencia por los riesgos asociados a la replicación masiva de la información. También se considera debido a las posibles transferencias internacionales de datos entre los distintos nodos que forman parte de estas redes.
Con estas medidas, el organismo europeo pretende ofrecer un marco común que favorezca la innovación tecnológica sin comprometer los derechos fundamentales de las personas ni las obligaciones que establece el Reglamento General de Protección de Datos.