Blockchain, IA y supresión de datos personales

La AEPD ha publicado una nota técnica sobre blockchain y RGPD que intenta reconciliar dos mundos opuestos: la inmutabilidad frente al derecho a la supresión. Sin embargo, la irrupción de la inteligencia artificial añade una capa de complejidad que pone a prueba el equilibrio entre innovación, cumplimiento normativo y competitividad.

La tecnología blockchain emergió como una herramienta revolucionaria con aplicaciones que van mucho más allá de las criptomonedas, como por ejemplo los smart contracts que permiten automatizar el cumplimiento de acuerdos sin intermediarios, la gestión de cadenas de suministros, la gestión de derechos de autor o los sistemas de voto electrónico para ciertas operaciones. Su característica principal es que se trata de un sistema distribuido, algo que ofrece ventajas importantes como la seguridad y la inmutabilidad de los registros, ya que ya que los datos no se almacenan en un único servidor, sino que se replican en múltiples nodos de la red. De esto ya he hablado en otras entradas del blog.

Al no existir una autoridad central que controle la blockchain, surgen dudas o impedimentos sobre quién es responsable en caso de fallos o usos indebidos, o en cómo aplicar las normas de los estados cuando todo está tan distribuido, como por ejemplo, la protección de datos personales en las redes blockchain. Es un oxímoron, pues mientras que la blockchain garantiza la inmutabilidad de los datos, el Reglamento General de Protección de Datos establece derechos como la rectificación o la supresión.

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una nota técnica titulada Blockchain y protección de datos: hacia un tratamiento compatible con el RGPD, en la que analiza cómo alinear el uso de la tecnología blockchain con los requisitos del RGPD así como proporcionar pautas para diseñar soluciones que cumplan con las normativas europeas en materia de privacidad y protección de datos. O por lo menos lo intenta.

Según la Agencia, las soluciones basadas en blockchain deberían implementar estrategias técnicas como el cifrado, el uso de hashes o referencias externas, para limitar el acceso a los datos personales de forma preventiva sin comprometer la integridad del sistema. Es decir, que la mejor solución es evitar que los datos personales se incluyan directamente en la blockchain; así, no habrá necesidad de suprimir ni modificar nada. O como diría mi abuela: muerto el perro, se acabó la rabia.

Sin embargo, en su análisis, la AEPD también admite que estas soluciones no resuelven completamente las tensiones entre la tecnología blockchain y el RGPD, precisamente por que estas medidas deberían aplicarse al más puro estilo del principio de la privacidad desde el diseño y por defecto. Para ello, la Agencia sugiere explorar esquemas de gobernanza que permitan asignar roles claros dentro de la red blockchain.

En mi opinión hay dos problemas claros de difícil solución. El primero es que la blockchain es descentralizada desde el diseño y por defecto y tratar de controlarla legalmente con las herramientas actuales no va a servir de nada sin una regulación especial al efecto. Por supuesto, no es algo fácil y hay que pensarlo bien, pues cuanta más regulación existe, más lejos de ella se montan estas redes, lo que supone un riesgo para los derechos y libertades de las personas, y también para su patrimonio. Actualmente, localizar a los titulares de algunas redes o sistemas que usan esta tecnología es tremendamente complicado cuando se quieren perseguir estafas o robos con criptomonedas, no digamos ya para rectificar un dato personal.

El segundo es el impacto de la Inteligencia artificial en la blockchain. De hecho, creo que la AEPD no ha considerado que la IA que puede complicar aún más las cosas. En los últimos años, la inteligencia artificial está permitiendo desarrollar aplicaciones cada vez más sofisticadas en el ámbito del blockchain, como el análisis de grandes volúmenes de datos generados por estas infraestructuras, facilitando la extracción y análisis de datos personales dentro de una red blockchain, aumentando los riesgos de reidentificación, incluso en datos que inicialmente han sido cifrados o anonimizados.

En mi opinión, la nota técnica de la AEPD representa un avance para abordar los retos que plantea la blockchain en el cumplimiento del RGPD pero pone de manifiesto que aún estamos ante un terreno complejo y abierto. Siempre he defendido que el equilibrio entre innovación y cumplimiento normativo es crucial para impulsar la competitividad y el desarrollo de los negocios, pero lo cierto es que la blockchain es mayoritariamente utilizada por personas que invierten o confían en sistemas y redes poco adecuadas, ubicadas en países como Singapur, Hong Kong, las Islas Cook o San Vicente y las Granadinas u otros chiringuitos financieros, entre otros motivos, por la falta de incentivos para desarrollarse en Europa y debido a su hiperregulación, habría que atajar esta situación y puede que solo a base de legislar y sancionar no sea el camino adecuado. El equilibrio es complicado, pero no imposible.

¿Te ha resultado interesante?

Asesoramos a empresas que desarrollan o integran soluciones de blockchain y criptoactivos, integrando el marco regulatorio en la definición de modelos, estructuras y responsabilidades.

Artículos relacionados

Deja un comentario

Todos los campos son obligatorios. Trataremos tus datos únicamente para gestionar la publicación de tu comentario y responder a las sugerencias o peticiones que, en su caso, nos realices. Tu dirección de email no será publicada. Puedes, en todo momento, retirar el consentimiento para el tratamiento de tus datos, así como ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, escribiéndonos a . Más información en nuestra política de privacidad.

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales.