Gracias a la invitación de Alastria y APEP (La Asociación Profesional Española de la Privacidad), tuve mi momento como ponente en el primer Congreso Mundial de Blockchain Convergence en Málaga, los días 11, 12 y 13 de Noviembre.

Compartí en el Congreso mi opinión sobre:

-         la indudable utilidad Blockchain

-         la necesidad de instar a las autoridades de protección de datos a que interpreten del Reglamento General de Protección de Datos (RGPD) en un sentido constructivo y,

-         llegado el caso, la necesidad de instar una ágil modificación del RGPD que, sin bajar el nivel de protección, permita acompañar el desarrollo de Blockchain a futuro.

El Congreso fue un éxito. Me gustó mucho, aprendí mucho y me di cuenta de que sigue habiendo mucho que aclarar y mucho por hacer. Hay disponible un vídeo resumen de lo que se dijo en el bloque de privacidad.

Una de las cuestiones que parece que ha entrado en bucle entre los expertos es la relativa a que, en Blockchain, no es posible atender los derechos de rectificación y de supresión de los sujetos de datos personales debido a la propia inmutabilidad de la cadena de bloques y que, por eso, ninguna Blockchain podrá ser nunca conforme al RGPD.

Pero, los derechos de rectificación y supresión no son absolutos. De hecho, están sujetos a tales condiciones y excepciones que, en la práctica son muy pocos los casos en los que estos derechos puede ser atendidos de forma inmediata por el responsable del tratamiento cuando se lo solicitan. En España, ni siquiera es legal atender el derecho de supresión mientras sea aplicable la obligación general del responsable de bloquear los datos durante el tiempo de prescripción de las acciones en materia de protección de datos. Una obligación que nos hemos inventado en España pero que no existe en el RGPD, ni en otros países europeos.

Si esto es así, ¿no sería más fácil y razonable permitir que los usuarios que quieran realizar transacciones en una Blockchain asuman de antemano su carácter inmutable y “renuncien” a sus derechos de rectificación y supresión para siempre? Si hiciéramos un balance sobre los derechos y libertades afectados y las utilidades que ofrece Blockchain, ¿no sería más razonable modificar el RGPD a este respecto?, ¿legalizar dicha excepción menoscabaría de forma inaceptable el derecho fundamental a la protección de los datos personales?

De momento, ante esta incompatibilidad, la solución que se viene recomendando (1) es la de no introducir datos personales en la cadena. Pero entonces, la dificultad que se plantea es la de que no parece factible técnicamente anonimizar totalmente los datos personales que se incorporan a la cadena de forma que se garantice el carácter absolutamente impersonal de la misma.

Parece que nos encontramos con una pared insalvable porque ninguna Blockchain sería conforme al RGPD.

O bien, ¿podríamos buscar interpretaciones constructivas que permitieran el uso en la cadena de datos seudonimizados asegurándonos de que nadie que no queramos tenga la “probabilidad razonable de utilizar medios” para identificar a la persona física a la que se refieren esos datos seudonimizados? Si los nodos y mineros (y los “malos”) no pudieran tener acceso a esos medios, ¿no podríamos defender que la cadena es verdaderamente impersonal para todos ellos? O, por el contrario, ¿estaríamos siempre ante una tecnología en el que las transacciones siempre podrían ser trazables hasta una persona física identificable y los datos siempre serían seudonimizados y, por tanto, sujetos al RGPD?

Todavía no se sabe si Blockchain puede ser técnicamente impersonal.

Si fuera posible, no haría falta entrar en la segunda de las consideraciones que abordo a continuación: la legalidad de una tecnología verdaderamente descentralizada.

Preparando la ponencia, leí un artículo muy interesante sobre que la privacidad no es solo personal sino “interdependiente” o un fenómeno “multiactor” (2). ¿En qué consiste este concepto? En que, los sujetos de los datos, es decir, cada uno de nosotros, estamos compartiendo datos nuestros y de otras personas y, aceptando que monitoricen de forma pasiva nuestro entorno social, cada vez que nos descargamos ciertas aplicaciones móviles o usamos dispositivos móviles de escucha tipo “always-on” (como Alexa de Amazon). Sin embargo, aparentemente, ésta es una actividad solo personal y de uso doméstico y, por tanto, al margen del ámbito de aplicación del RGPD.

Pero, ¿no chirría un poco? ¿No te sientes desprotegido?

Queda patente que la protección de datos total no es solo cosa de los responsables del tratamiento, pero no es ese el enfoque adoptado por el RGPD.

¿No tendríamos que hacer algo al respecto para que los usuarios se responsabilizaran de ese tratamiento?

Vuelvo a Blockchain, porque entre esta situación y cómo funciona Blockchain, hay un cierto paralelismo.

En una Blockchain pública y no permisionada, son los usuarios (nodos o mineros) los que tratan las transacciones (que pueden contener datos personales) según el consenso que libre y voluntariamente han aceptado con unos fines y con unos medios que son de conocimiento público y de uso abierto. No es fácil de identificar a un responsable del tratamiento. Podríamos plantearnos si esta actividad de los nodos o mineros es una actividad puramente personal y de uso doméstico y, por tanto, si la misma queda al margen de la aplicación del RGPD.

Pero, aquí también, algo chirría: ¡Qué desprotección!

Queda patente que la protección de datos total no puede depender solamente de que haya un responsable del tratamiento debidamente identificado, pero no es ese el enfoque adoptado del RGPD.

¿No tendríamos que hacer algo al respecto para que los nodos o mineros se responsabilizaran de ese tratamiento?

El RGPD no prohíbe que no haya identificado un responsable del tratamiento, pero no concibe que pueda haber una red verdaderamente descentralizada. El problema es que, como hemos visto, ya existen tratamientos de datos descentralizados dentro y fuera de Blockchain.

De ahí, que la solución recomendada (3) para conseguir conciliar Blockchain y RGPD sea fomentar casos de uso de Blockchain privadas y permisionadas con el fin de poder identificar a un responsable del tratamiento (al que echarle la culpa en su caso) y así, no entrar en conflicto con el RGPD.

¿Debemos por tanto renunciar a las Blockchain verdaderamente descentralizadas por no cumplir la normativa de protección de datos?

Todavía no se sabe, siquiera, si puede garantizarse técnicamente que una red sea verdaderamente descentralizada.

En el Congreso tuvimos conocimiento de las investigaciones en nuevas herramientas y soluciones que podrán acercar esta tecnología a la normativa actual. Por ejemplo:

Daniel Benarroch, de la Asociación ZKProof.org, profundizó sobre la solución criptográfica en la que trabajan, Zero-Knowledge Proof, que en un futuro, posiblemente cercano, permitirá un modo seguro de “anonimización”, es decir, de no insertar datos personales a la cadena.

Por su parte, el premio Turing, Silvio Micali, presentó los cambios revolucionarios en los que investiga y con los que pretende devolver el carácter descentralizado al Blockchain que parece que Bitcoin ha perdido.

Habrá que esperar y ver.

Mientras tanto, contáctame si quieres que comentemos en info@lawingit.com

(2) Bernadette Kamleitner y Vince Mitchell, “Your Data is My Data: A Framework for Addressing Interdependent Privacy Infringments”, American Marketing Association 2019,

(1) y (3) Me remito aquí al informe elaborado por el Observatorio y Foro Europeo sobre Blockchain.