Ref. Doctrina Especial para UTSUPRA. Derecho Informático. Tecnología Blockchain y Derecho al Olvido: Construyendo Puentes entre la Tecnología y la Regulación. Por Agustina Ossona. Abogada (UBA). Maestranda en Derecho y Economía (UTDT). Docente de Derechos Humanos y Garantías en la Facultad de Derecho (UBA) e Investigadora DeCyT (UBA). SUMARIO: 1. Introducción. 2. Breves nociones sobre tecnología Blockchain. 3. Tensiones entre las leyes de protección a los datos personales y la tecnología Blockchain. 4. Construyendo puentes: ¿es posible compatibilizar la tecnología con la ley? 5. Conclusiones. 6. Citas legales.
Cantidad de Palabras: 3021 Tiempo aproximado de lectura: 10 minutos
1. Introducción.
Durante este siglo XXI que transitamos la humanidad ha comprendido que uno de los bienes más preciados que se tiene es la información.
Dentro de este contexto, y como dos caras de la misma moneda, los países han generado fuertes legislaciones protectoras de los datos personales, al mismo tiempo que los actores privados han desarrollado una poderosa tecnología caracterizada por garantizar la trazabilidad, la seguridad y, especialmente, la inmutabilidad de la información que almacena. Con esto último nos referimos a la tecnología Blockchain.
Es justamente esta última característica fundamental del Blockchain la que colisiona irremediablemente con el llamado “Derecho al Olvido” -entendiendo a este como el derecho que tiene el interesado a obtener, por parte de los controladores de datos, sin dilación indebida, la supresión de cierta información personal que le concierna (1)-, así como también con muchas otras regulaciones en materia de protección de datos personales.
Si bien prima facie la incompatibilidad parece absoluta, en realidad no lo es. Tanto los regímenes de protección de datos personales como así también el Blockchain persiguen el mismo objetivo: velar por la transparencia, privacidad y seguridad de la información.
El objetivo de este trabajo es demostrar que esta debe ser la premisa a partir de la cual deben direccionarse creativamente todos los esfuerzos normativos y tecnológicos para compatibilizar ambos esquemas.
2. Breves nociones sobre tecnología Blockchain.
El Blockchain es, básicamente, una cadena de bloques. Una de las definiciones más utilizadas es aquella realizada por Marc Andreessen, creador de Netscape y socio de Andreessen Horowitz, uno de los fondos de capital de riesgo más importantes de Silicon Valley, quien afirmó que consiste en “un libro mayor de acontecimientos digitales que se comparte entre diferentes partes”.
Básicamente, la tecnología Blockchain está conformada por participantes del sistema, a los cuales se les llama nodos (que son computadores dispuestas para estas transacciones). Cada uno de los nodos que forman la cadena almacenan una copia de toda la información, conformando así una gran base de datos sumamente segura.
Por este motivo, las cadenas de bloques no pueden ser alteradas, modificadas ni actualizadas sin el consenso de la mayoría de los participantes del sistema, lo cual las hace sumamente atractivas y útiles para garantizar la integridad e inmutabilidad de la información contenida en ella.
En definitiva, Blockchain basa la certificación de la información en el consenso. Es decir, si todos los nodos tienen la misma información, significa que la misma es verdadera.
Inicialmente fue diseñada pensando en su aplicación dentro del sistema financiero, con el objeto de prescindir de intermediarios financieros tales como los bancos para así lograr transacciones libres y seguras. De hecho, se dio a conocer a partir del surgimiento de la criptomoneda Bitcoin en el 2008, la cual basa su funcionamiento en la cadena de bloques.
Cada transacción que se genera suma un bloque a la cadena; este bloque luego es transmitido a todas las partes de la red quienes deben aprobar la transacción, y, una vez validado, se añade a la cadena formándose así un registro indeleble, seguro y transparente.
Sin lugar a dudas, la tecnología Blockchain ha revolucionado el mundo. No solo se aplica dentro del mundo financiero para el cual originalmente se pensó, sino que se ha posicionado como una herramienta sumamente valiosa y prometedora para llevar a cabo los más diversos tipos de actividades, tales como almacenamiento de datos en la nube, validación de la identidad digital, mejoramiento en la trazabilidad de las cadenas de producción, celebración y ejecución de contratos digitales y hasta incluso para el sistema electoral.
3. Tensiones entre las leyes de protección a los datos personales y la tecnología Blockchain.
El trasfondo de las tensiones entre el Blockchain y las regulaciones sobre protección de datos personales tienen una razón de ser filosófica e ideológica más que de estrictos términos regulatorios.
La tecnología Blockchain apunta a crear nuevas formas de confianza global que reduzcan la influencia de organizaciones centrales -tanto públicas como privadas- teniendo como correlato la idea del empoderamiento de los individuos.
En cuanto a la información, Blockchain cree que ésta se encuentra mejor protegida a través de una red de criptografía avanzada distribuida a través de distintos nodos, toda vez que esta es la única manera de garantizar su inmutabilidad y descentralización.
Como contrapartida, las regulaciones sobre protección de datos personales de los distintos países están asentadas sobre la idea de un Estado fuerte que protege de forma unilateral y centralizada la información de sus súbditos contra los abusos cometidos por grandes corporaciones (especialmente proveedores de Internet) cuya confianza social está disminuyendo cada día más.
Frente a esto, podemos ver que Blockchain irrumpe como un concepto desafiante incluso para la idea misma de Estado tal como se la conoce: ya no es irremediablemente necesaria la protección de nuestros datos desde un gran poder central, sino que es la misma red, conformada por millones de nodos que no responden a una autoridad centralizada, la mejor preparada para proteger nuestra información.
En términos estrictamente regulatorios, las tensiones que se suscitan entre las normativas de protección de datos personales como el Reglamento General Protección de Datos de la Unión Europea (de aquí en adelante RGPD) (2) o la Ley de Protección de Datos Personales de la República Argentina 25.326, se dan en torno a varios tópicos, pero a los fines del presente trabajo lo analizaremos solamente en relación al derecho al olvido.
El llamado derecho al olvido consiste en el “derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales” (3).
Parecería que esto es incompartible con la tecnología Blockchain, puesto que una de sus características fundamentales es su inmutabilidad: la propia cadena de bloques no fue diseñada, en principio, para permitir modificaciones en la información que almacena en pos de garantizar la integridad de los datos y asegurar la confianza en la red.
A esto hay que adicionársele la dificultad que supone identificar a un responsable por el tratamiento de los datos o data controller en las redes Blockchain. Tanto la ley argentina como el RGPD asumen que detrás de todo dato, hay al menos una persona física o jurídica que los utilizará o controlará, siendo esta responsable por cualquier transgresión legal. En el caso del Blockchain esto no tiene asidero (al menos en las redes públicas), pues una de sus características principales es la descentralización. Esto significa que la información no está almacenada en una misma base centralizadora de la gestión, sino diseminada entre los distintos nodos participantes de la red, a los efectos de generar confianza entre los participantes, volver prácticamente nula la amenaza de un hackeo y asegurar la trazabilidad de las transacciones.
Podemos graficar la incompatibilidad entre la tecnología Blockchain y el derecho al olvido a través de este sencillo ejemplo. Supongamos que a nivel nacional se crea un registro de agresores sexuales en donde se colocan los datos de aquellos individuos condenados por cometer este tipo de delitos. Con el objetivo de evitar cualquier tipo de alteración en las bases de datos y garantizar la integridad del registro en cuestión, se decide almacenar los mismos en una cadena de bloques. Años más tarde, la verdad sale a la luz y se descubre que una persona incluida en aquel listado fue condenada erróneamente, por lo cual se lo acaba sobreseyendo. Inmediatamente, dicha persona acude a la agencia de protección de datos personales de su país a los fines de que se elimine cualquier tipo de información suya de aquel registro, ya que su mantenimiento le trae aparejadas severas dificultades para acceder a un empleo. ¿Cómo deberá actuar la agencia de protección de datos frente a esta situación? ¿Existe alguna solución para garantizar el derecho al olvido de esta persona injustamente condenada y agregada al registro de agresores sexuales? ¿Estará su nombre vinculado a los delitos sexuales para siempre?
4. Construyendo puentes: ¿es posible compatibilizar la tecnología con la ley?
Desde el punto de vista técnico, se han ideado algunos desarrollos tecnológicos para mitigar -o al menos disminuir- las incompatibilidades entre el Blockchain y las regulaciones de datos personales.
Una de ellas es operar redes Blockchain privadas o federadas en las que, a diferencia de las públicas cuya característica fundamental es la descentralización y que cualquier persona puede acceder a ellas, sus propietarios (empresas, consorcios de empresas, oficinas gubernamentales, etcétera) pueden limitar la participación en la red a solamente ciertos usuarios. De esta forma, menos individuos tienen acceso a la información y resulta más fácil asignar responsabilidad de acuerdo con las legislaciones de cada país.
La Commission Nationale Informatique & Libertés de Francia recomienda que, a estos fines, los participantes de una red deben decidir, previo a ponerla en funcionamiento, quién va a ser el responsable de los datos (ya sea constituyendo una persona jurídica o designando a uno de ellos en calidad de tal) (4).
Las redes privadas parecerían ser una solución adecuada de compatibilización, especialmente en términos de asignación de responsabilidad legal al data controller. Ahora bien, en este tipo de redes no hay descentralización ni consenso, toda vez que la información sería controlada por una o varias entidades que administren la red. Por lo tanto, muchos estiman que las redes privadas o federadas no cumplen con ninguno de los requisitos o propósitos para los cuales fue creada esta tecnología.
La segunda posible solución, consiste en almacenar los datos personales fuera de la cadena. Esto consiste en segregar la información personal en bases de datos fuera de la red Blockchain, y solo conservar referencias y otra información en la cadena de bloques por medio de un hash (5). De esta forma, cuando alguien ejerce el derecho al olvido, los datos personales se pueden eliminar si el proveedor de servicios elimina la vinculación del hash a los datos ubicados en los servidores fuera de la cadena.
El almacenamiento de información personal off-chain conservando solo el hash en la cadena de bloques también resulta una buena idea para garantizar los derechos a la rectificación y al olvido, pero como contrapartida, desnaturaliza la idea del Blockchain, puesto que una vez que la información se almacena en servidores por fuera de la cadena, estos quedan expuestos a hackers y a atentados a la transparencia.
Sin embargo, no hay que perder de vista que, según el RGPD, para que los datos personales dejen de tener calidad de tales, estos tendrían que ser totalmente anonimizados (es decir, que la identidad del sujeto al que pertenecen no pueda determinarse, directa o indirectamente) (6), lo cual no queda claro si se cumple en el marco de esta solución, al menos desde una interpretación estricta de la norma.
Una tercera solución consiste en eliminar las claves encriptadas. Esto supone encriptar los datos antes de almacenarlos en la cadena de bloques con una clave o un hash. De esta forma, solo la persona o la empresa con la clave de encriptación podría acceder y utilizar los datos. En el caso de querer borrar los datos, lo único que habría que hacer es destruir la clave, quedando la información encriptada perdida en la red, sin que nadie pueda obtenerla.
Estas son solo algunas de las posibles ideas que barajan los especialistas de las empresas que quieren implementar Blockchain en su operatoria y que tratan de construir puentes para superar este desafío de hacer que sus desarrollos sean compatibles con la ley. Lamentablemente, el no contar con directivas claras hace que todas las posibilidades sean plausibles de ser rechazadas por las autoridades, especialmente si se hace una interpretación jurídica estricta de los alcances de los términos “datos personales” y “derecho al olvido”.
A modo de ejemplo, algunos objetan que la posible solución del encriptado antes descripta no es viable porque éste, aunque sea muy fuerte, puede ser reversible (7) (aunque hoy sea técnicamente imposible). Con el devenir del tiempo y los avances tecnológicos, el encriptado se podría romper y los datos ser revelados.
Asimismo (y al igual que con los hash) se esgrime que los datos personales que han sido encriptados todavía califican como tales. En definitiva, deshacerse de la clave de encriptación no es lo mismo que eliminar la data en términos de derecho al olvido.
Si bien es cierto que algunas opciones no son viables pues hacen que la información pueda continuar siendo atribuida a una persona a través de mecanismos existentes, hay muchas otras en las cuales, según el estado de la técnica actual y posiblemente por muchos años más, resulta imposible restaurar la información.
Teniendo en miras ejemplos como el hashing o la utilización de claves encriptadas como soluciones viables, parecería que la compatibilización no pasaría tanto por modificar o dejar sin efecto las regulaciones existentes, sino por reinterpretar los alcances de los conceptos de datos personales y derecho al olvido.
Desde ya anticipamos la respuesta al interrogante planteado al inicio de esta sección: sí, es posible compatibilizar ambos esquemas, pero se requiere un esfuerzo creativo (tanto del legislador como de los jueces) para dejar de lado interpretaciones estrictas sobre los institutos jurídicos de protección de datos que pequen de anacronismo y literalidad, pero que al mismo tiempo sean protectorios de los derechos fundamentales.
Es cierto que los datos no se eliminan por completo al eliminar las claves encriptadas, por ejemplo, pero en los hechos y de acuerdo con las tecnologías actuales resulta imposible restaurarlos, por lo que el derecho al olvido se encontraría garantizado. Por supuesto que existe la posibilidad hipotética de que con el transcurso del tiempo se creen algoritmos lo suficientemente potentes como para descifrar esas claves y disponer de los datos personales, pero, en definitiva, al día de hoy no es posible vislumbrar tal cosa.
En esta sintonía, podemos decir que todo nuevo desarrollo puesto en funcionamiento, en todos los ámbitos -especialmente en el científico-tecnológico- supone riesgos que se desconocen al momento de su puesta en marcha (8) pero que de todos modos son aceptados toda vez que se pondera que los beneficios de implementarlos superan los eventuales costos. Las posibles soluciones de compatibilización del Blockchain con las regulaciones no son la excepción. Sería un absurdo que el planteo hipotético de estos riesgos, al día de hoy sumamente improbables, limitara innovaciones que tienen por objetivo servir a la humanidad (9).
En definitiva, es necesario avanzar con directivas claras en torno a la aplicación del RGPD (como así también de otras legislaciones sobre datos personales del mundo) frente a la información almacenada en las cadenas de bloques a los fines de promover la seguridad jurídica y, en consecuencia, fomentar la innovación.
5. Conclusión.
A modo de conclusión, dado que tanto las regulaciones sobre datos personales como el Blockchain tienen como ideas fuerza la protección de la información, resulta imperioso compatibilizar ambos esquemas y no demonizar uno u otro.
Hemos visto a través de sucintos ejemplos que esto es posible sin necesidad de hacer grandes reformas a las leyes, sino reinterpretándolas, poniendo el foco en que el disruptivo e imparable avance de esta tecnología genera muchos beneficios en términos de costos e innovación para muchos actores sociales, y que ambos sistemas han sido diseñados para servir a la humanidad.
La colaboración inteligente entre los desarrolladores de tecnologías y las autoridades será determinante para acabar con la inseguridad jurídica en la que se encuentra inmerso el mundo del Blockchain a este respecto. Para ello, se precisarán grandes esfuerzos creativos y actualizados para lograr el objetivo perseguido: garantizar la integridad, la seguridad y la trazabilidad de la información, protegiendo al mismo tiempo los derechos fundamentales de las personas.
6. Citas legales.
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo – “Reglamento General de Protección de Datos”.
(2) Hacemos alusión a este Reglamento por ser uno de los más protectorios en materia de protección de datos personales, y que sirve como modelo para la legislación de muchos países de occidente.
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo – “Reglamento General de Protección de Datos”. Artículo 17.
(4) Commission Nationale Informatique & Libertés. Premiers éléments d’analyse de la CNIL. Septiembre 2018. Disponible en: https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf (visitado el 17/5/2020).
(5) Un hash es una especie de “huella digital”, un código único que identifica al bloque y al contenido que hay dentro de él. Por lo tanto, si se cambia el contenido, cambiará el hash y ya no será el mismo bloque.
(6) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO – “Reglamento General de Protección de Datos”. Artículo 4.
(7) Blockchain regulation and Governance in Europe. Michele Finck. Cambridge University Press. 2019.
(8) Podría hacerse una analogía con el instituto jurídico del Riesgo del Desarrollo del Derecho Civil y Comercial.
(9) “El tratamiento de datos personales debe estar concebido para servir a la humanidad” reza uno de los considerandos del RGPD.
Cantidad de Palabras: 3021
Tiempo aproximado de lectura: 10 minutos