El CEPD ha emitido un borrador de directrices para aclarar cómo se aplica el RGPD a las tecnologías blockchain.
El Comité Europeo de Protección de Datos (CEPD) ha emitido un borrador de directrices para aclarar cómo se aplica el RGPD a las tecnologías blockchain. Aunque las tecnologías blockchain ofrecen beneficios en términos de transparencia, descentralización y resiliencia, sus características técnicas presentan desafíos considerables para el cumplimiento de la normativa europea de protección de datos. Las directrices del CEPD sirven como marco para evaluar la licitud del tratamiento de datos personales en entornos blockchain y para identificar las responsabilidades de los responsables y encargados del tratamiento en dichos contextos. Estas directrices son especialmente relevantes para blockchain públicas y con permisos, donde la arquitectura puede derivar en estructuras de gobernanza complejas y dificultades para hacer valer los derechos de protección de datos.
La identificación del responsable del tratamiento sigue siendo esencial, incluso en sistemas blockchain descentralizados.
Los responsables deben comenzar por identificar correctamente su rol dentro del ecosistema blockchain. El CEPD reitera la importancia de aplicar los criterios existentes en el RGPD para evaluar si una entidad califica como responsable, corresponsable o encargado del tratamiento. Como en cualquier otra operación de tratamiento, esta evaluación debe basarse en hechos y funciones, y se señala que la existencia de una toma de decisiones descentralizada o la innovación técnica no eliminan la necesidad de cumplir con las obligaciones básicas del RGPD. Cuando varios actores determinan conjuntamente los fines y medios del tratamiento, puede aplicarse la corresponsabilidad, y los responsables deben suscribir acuerdos que establezcan claramente sus respectivas responsabilidades conforme al artículo 26 del RGPD.
Se requiere una base jurídica válida para el tratamiento, independientemente de la arquitectura blockchain.
La licitud del tratamiento sigue siendo una consideración central. Los responsables deben establecer una base jurídica adecuada conforme al artículo 6 del RGPD, como el consentimiento, la ejecución de un contrato o intereses legítimos. Es importante destacar que la ejecución técnica de un contrato inteligente o la inmutabilidad de los datos en blockchain no pueden sustituir una base jurídica válida. El CEPD advierte que basarse en intereses legítimos requiere una prueba de equilibrio y la implementación de salvaguardias adecuadas para asegurar que los derechos o intereses de los interesados no se vean superados. Además, cuando los contratos inteligentes desencadenan actividades de tratamiento automatizadas, estas deben evaluarse de manera independiente a la base jurídica del sistema general.
Los responsables deben garantizar la limitación de la finalidad y la compatibilidad de tratamientos posteriores.
El principio de limitación de la finalidad, recogido en el artículo 5(1)(b) del RGPD, exige que los datos personales se traten con fines específicos, explícitos y legítimos, y no se utilicen posteriormente de manera incompatible con dichos fines. El CEPD señala que la inmutabilidad de blockchain puede resultar en la replicación o reutilización de datos más allá del contexto originalmente definido. Los responsables deben implementar mecanismos de gobernanza para evitar accesos o tratamientos no autorizados y garantizar que cualquier uso posterior de los datos sea compatible con la finalidad original. Donde la compatibilidad no sea evidente, podría requerirse una nueva base jurídica.
Las transferencias internacionales de datos deben evaluarse para cumplir con el RGPD, incluso dentro de redes blockchain.
Las transferencias internacionales de datos según el Capítulo V del RGPD representan un desafío particular en redes blockchain, especialmente cuando los nodos se operan en terceros países. Incluso si los datos solo se transmiten dentro de la red blockchain, si los datos personales llegan a una jurisdicción fuera del EEE, esto puede constituir una transferencia. El CEPD recuerda a los responsables que deben implementarse salvaguardias adecuadas, como cláusulas contractuales tipo o normas corporativas vinculantes. Si se incorporan nuevos nodos, los contratos deben contener garantías de protección de datos adecuadas y cláusulas específicas según la jurisdicción para asegurar la protección continua conforme a los estándares de la UE.
Los responsables deben aplicar la protección de datos desde el diseño y por defecto desde el inicio.
También se debe garantizar el cumplimiento de la obligación de aplicar la protección de datos desde el diseño y por defecto, según el artículo 25 del RGPD. El CEPD subraya que el mero uso de tecnologías que mejoran la privacidad no es suficiente; su efectividad debe evaluarse en la práctica. Los sistemas deben diseñarse de manera que se respeten los principios de minimización de datos, limitación de la finalidad y limitación del almacenamiento. En contextos blockchain, esto a menudo requiere que los datos personales directamente identificables se almacenen fuera de la cadena (off-chain), y que solo referencias no identificables o pseudonimizadas se registren en la cadena (on-chain) cuando sea estrictamente necesario.
La inmutabilidad de blockchain no justifica el almacenamiento indefinido de datos personales.
El almacenamiento de datos personales es otra área de preocupación. La permanencia de los registros en blockchain entra en conflicto con el principio de limitación del almacenamiento establecido en el artículo 5(1)(e) del RGPD. Los datos no deben almacenarse indefinidamente solo porque la blockchain lo permita. El CEPD señala que incluso los datos pseudonimizados pueden estar sujetos a limitaciones de almacenamiento, y los responsables deben definir y justificar los períodos de retención conforme a los fines declarados. Cuando se solicite la supresión o los datos ya no sean necesarios, deben implementarse medidas de eliminación off-chain o técnicas efectivas de anonimización.
Se requieren medidas de seguridad técnicas y organizativas eficientes para el tratamiento en blockchain.
La obligación de garantizar la seguridad del tratamiento, según el artículo 32 del RGPD, debe cumplirse mediante medidas técnicas y organizativas adecuadas. Estas incluyen mecanismos para abordar amenazas como vulnerabilidades en contratos inteligentes y una gestión inadecuada de contraseñas. El CEPD recomienda implementar controles de acceso robustos, medidas de resiliencia algorítmica y estructuras de gobernanza para actualizaciones del protocolo. Los responsables deben realizar evaluaciones periódicas de seguridad, incluyendo los componentes off-chain como APIs y servicios de almacenamiento de contraseñas, que pueden introducir nuevos vectores de riesgo.
A menudo será necesario realizar una evaluación de impacto en la protección de datos para tratamientos basados en blockchain.
Dado el alto riesgo para los derechos y libertades de los interesados que suele implicar el tratamiento basado en blockchain, el CEPD recomienda realizar una evaluación de impacto en la protección de datos (DPIA, por sus siglas en inglés) conforme al artículo 35 del RGPD. Las DPIA deben proporcionar una descripción detallada del sistema, los roles de los distintos actores, la naturaleza del tratamiento on-chain y off-chain, y las salvaguardias técnicas y jurídicas implementadas. Es preciso identificar claramente los riesgos derivados de la naturaleza distribuida de blockchain, y las medidas de mitigación deben ser demostrablemente efectivas. El CEPD también sugiere que las DPIA se revisen conforme evolucione la red blockchain o se incorporen nuevos nodos.
Los responsables deben facilitar el ejercicio de todos los derechos de los interesados a pesar de las limitaciones de blockchain.
Los responsables también deben recordar su obligación de facilitar el ejercicio de los derechos de los interesados según el Capítulo III del RGPD. Esto incluye los derechos de información, acceso y portabilidad. La información debe proporcionarse a los interesados antes de que sus datos se introduzcan en la blockchain, y debe ser concisa, accesible y clara. El acceso y la portabilidad deben ser posibles incluso en entornos descentralizados, y los responsables siguen siendo teniendo la obligación de garantizar que existan mecanismos adecuados para permitir estos derechos.
Los derechos de supresión y oposición deben respetarse desde el diseño, con alternativas para los casos en que la supresión no sea posible.
Los derechos de supresión y de oposición también deben respetarse, a pesar de las limitaciones técnicas asociadas a la inmutabilidad de blockchain. El CEPD reconoce que la supresión real de los datos en la cadena puede no ser factible. Por ello, los datos personales deben anonimizarse desde el inicio, y cualquier dato off-chain que permita la reidentificación debe suprimirse a petición. Si estas soluciones no pueden implementarse, deben considerarse tecnologías alternativas, ya que el cumplimiento del RGPD no debe sacrificarse en favor de las propiedades inherentes de blockchain.
Los derechos de rectificación pueden cumplirse mediante transacciones correctivas o supresión off-chain.
El derecho de rectificación puede, en algunos casos, cumplirse mediante la inclusión de una transacción correctiva en la blockchain que haga referencia y sustituya la entrada errónea. Sin embargo, los datos originales seguirán siendo visibles. Si la rectificación requiere supresión, deben aplicarse los mismos métodos que para la supresión. En sistemas que utilizan contratos inteligentes que implican decisiones automatizadas, los responsables también deben garantizar el cumplimiento del artículo 22 del RGPD. Esto incluye asegurar la posibilidad de intervención humana, mecanismos de revisión y la capacidad del interesado para impugnar decisiones, incluso después de la ejecución del contrato.
