¿Existe verdaderamente un responsable de datos en Blockchain?

En el Reglamento General de Protección de datos se identifican aquellos actores que intervienen en el tratamiento de datos personales para disponer obligaciones sobre dicho tratamiento y un actor importantísimo es el denominado Responsable.

El principal desafío en blockchain, es que resulta casi imposible determinar un solo Responsable, cuando una de sus características principales de las cadenas de bloques es que existen diversos actores que garantizan el funcionamiento de distribución de bloques, por lo que a priori, estaríamos frente a muchos Responsables en materia de protección de datos personales, sin poder determinar quién de todos ellos, estaría obligado a garantizar los derechos recogidos en el RGPD como podría ser garantizar el derecho de rectificación de datos personales contenidos en blockchain. 

Todo esto sin tener en cuenta las imposibilidades técnicas de modificar un bloque que alteraría la cadena completa de bloques. En blockchain, por lo menos, se identifican actores como los propietarios de la red, los desarrolladores, los nodos que participan en la Red y los usuarios interesados. Todos accediendo a la información distribuida en los bloques, que puede llegar a contener datos personales.

Es así que resulta complicado, en primer lugar, identificar a los Responsables y, en segundo lugar, a los Encargados del tratamiento de datos personales, con las obligaciones que cada uno tendría frente a las normas en materia de protección de datos personales.

En una blockchain abierta o pública (permisionless) todos los usuarios, con tal de cumplir las condiciones o reglas de uso de una red, pueden determinar el contenido y uso de los datos que se incorporan a los tokens, o aplicaciones descentralizadas que circulan en la cadena de bloques o que se emplean para la realización de transacciones o la transferencia del contenido de datos encriptados, y también para la circulación de los datos inmediatos o instrumentales e intermedios precisos para anudar las transacciones en la cadena (hashes, nonces, claves, datos de estructura y soporte...).

En una blockchain permisionada o privada, sin embargo, existen determinados sujetos (los nodos validadores) a los que se restringe la posibilidad de incorporación de datos, y de ahí que tengan facultades de control específicas, regidas por un protocolo de actuación consensuado (protocolo de consenso) entre los propios validadores, que, desde esta perspectiva, adoptan decisiones que afectan al tratamiento de los datos en la red. Lo que, en la práctica, establece dos niveles de responsabilidad en materia de protección de datos: la que corresponde a nodos validadores, y la de los no validadores (meros usuarios o lectores de datos pero que ni los incorporan ni los controlan), estos últimos en principio ajenos a la noción de “responsables” de fichero o tratamiento.

Como se ha podido comprobar, existe una clara dificultad a la hora de identificar a los responsables y encargados de tratamiento de datos personales en el blockchain, resultaría conveniente entonces operar una red de blockchain privada, ya que, al controlar a los actores, daría pauta a un cumplimiento normativo frente a los derechos de acceso, rectificación, cancelación y oposición, de forma más sencilla, identificando el rol que jugaría cada actor.

Quien introduce datos personales en una blockchain, en principio, consiente el tratamiento de sus datos, sea con fines de obtener identidades digitales o con otros fines; si opera a través de un nodo que recibe aquellos datos, el responsable del nodo debe estar en disposición de demostrar que la persona por cuya cuenta opera consintió en cederle los datos (art. 7.2 RGPD). De otra parte, ha de tenerse presente que, como recoge el RGPD exige una base de legitimación para el tratamiento de datos como puede ser el previo consentimiento, un contrato, mandato legal, por intereses vitales de terceros o legítimos del responsable u orden público; de las opciones que recogen las normas, el consentimiento parece fundamento primero para la legitimación del tratante de los datos, si bien su comunicación puede fundarse también en un contrato.

 Cuando se prestan servicios de identidad digital en blockchain, aunque no se firme un contrato de prestación de servicios, y a efectos del tratamiento de los datos cedidos, al menos, quien presta el servicio, deberá realizar advertencias previas a quienes ceden sus datos, o bien hacer la advertencia de que los ceden con pleno consentimiento y bajo su responsabilidad, antes de recurrir a la plataforma para construir la identidad digital. En todo caso, quien trate datos habrá de explicitar la base legal sobre la que se desarrolla el tratamiento de datos, en el momento de recoger los datos de los interesados; de otro modo no podrá probar que ha sido responsable proactivo en el sentido del RGPD.

 En septiembre de 2018, la Autoridad Francesa de Protección de Datos (CNIL) publicó un estudio acerca de la compatibilidad de la tecnología blockchain con el Reglamento General de Protección de Datos de la UE.

La CNIL distingue entre quienes tienen permiso para escribir en la cadena (participantes) y los que validan una transacción y crean bloques de información aplicando las reglas de blockchain para que éstos sean aceptados (mineros).

Si un grupo de participantes con un propósito común decide llevar a cabo actividades de tratamiento usando sistemas blockchain, será por tanto preciso identificar al responsable del tratamiento. Este tema podría ser solventado, creando una entidad y nombrándola responsable del tratamiento, o bien nombrando al participante que tome mayoritariamente las decisiones del grupo como responsable. De lo contrario, todos ellos podrían ser considerados como Responsables conjuntos de tratamiento. En cuanto a la figura correspondiente a los Encargados de tratamiento, según la CNIL, podrían ser:

a)  Los desarrolladores de contratos que procesan datos personales en nombre del participante (el responsable de tratamiento).

b) O los mineros, que son quienes validan el registro de los datos personales en el sistema blockchain.

 Sin embargo, a la hora de identificar a los mineros como encargados del tratamiento de datos, llevaría aparejadas ciertas dificultades debido a que se requeriría que éstos firmasen con el responsable de tratamiento de datos un contrato que contenga todos los elementos previstos en el artículo 28 del RGPD.