Descentralización by default: Una aproximación a las Blockchains y su compatibilidad con el RGPD

29/05/2020

Bruno Gorgone (Poder Judicial de la Provincia de Buenos Aires)

DiGI – CETyS UDESA

Centralización vs. Descentralización

Internet hoy está altamente centralizada. La mayoría de su tráfico se enruta a través de servicios o plataformas centralizadas, administradas y controladas por unas pocas grandes corporaciones. Las plataformas centralizadas son herramientas de coordinación útiles, que proporcionan a los usuarios finales una gran comodidad y conveniencia, aún a expensas de la privacidad y la autonomía1.

Primavera De Filippi sintetiza los beneficios de la arquitectura centralizada en un mejor control y coordinación (nodos confiables, procesamiento concentrado), pero destaca el peso de confiar a una autoridad la tarea de gestionar la red de acuerdo con los intereses de su base de usuarios (Duffany, J.L. 2012, 1-9). Al día de hoy la gran mayoría de las plataformas en línea están diseñadas en torno a la regulación y el control centralizados. De este modo los operadores pueden realizar un seguimiento de todas las actividades en línea que tienen lugar en las plataformas. Esa posición netamente dominante de las autoridades las ha llevado reiteradamente a poner sus propios intereses económicos por encima de los de sus usuarios, generando una paulatina degradación de la confianza.

Un punto destacable en el marco de la centralización es la privacidad. En la mayoría de los sistemas centralizados los usuarios no necesitan preocuparse por asegurar sus propios canales de comunicación, que son administrados por un operador centralizado2. Pero lo que sí ocurre es que necesitan confiar cada vez más a estos operadores sus datos personales, con la esperanza de que solo los usarán con fines legítimos. Incluso se alienta la provisión de mayor cantidad de información con el objeto de brindar servicios mucho más personalizados. Se deja la vigilancia y el control en manos de los operadores centralizados quienes en salvaguarda de la “seguridad” y el “confort” justifican las necesidades de controlar el flujo de información, monitorear las actividades de los usuarios y hacer un seguimiento de todo lo que se hace en línea y fuera de línea (Lyon, 2001, 2004, 2014)3.

Por otro lado, últimamente han adquirido relevancia las plataformas descentralizadas, como una reacción a la centralización de datos en manos de pocos operadores de gran envergadura.

Konstantino Komaitis4 ve en la descentralización un modelo equitativo y lógico, que es condición sine qua non para la democracia y su consolidación; en teoría, explica, existe para fortalecer la autonomía privada y el autogobierno político. Aquí las decisiones políticas se vuelven más democrática, los procesos más transparentes y el progreso social se manifiesta a través de la libertad cívica.

Es evidente que las plataformas descentralizadas son más difíciles de censurar y regular. El impacto de la descentralización en la privacidad y confidencialidad de la información es, sin embargo, mucho más difícil de establecer: por un lado, la descentralización reduce las posibilidades de monitoreo por parte de una autoridad centralizada; por otro lado, la apertura y la transparencia de una red descentralizada también hacen que la información sea más vulnerable a la apropiación de terceros. 

Las plataformas descentralizadas pretenden promover beneficios tales como la confidencialidad y soberanía de los datos. Conceptos que se pueden sintetizar respectivamente en: proteger las comunicaciones de los ojos de terceros, fuera del ámbito del Estado o las corporaciones; y darle a los individuos control sobre sus datos (cuándo, con quién y cómo compartir información personal).

Considerando dos actores, como son las Blockchains y el Reglamento General de Protección de Datos de la Unión Europea (cada uno exponente de un tipo de arquitectura de red), se elaborarán varios interrogantes y algunas respuestas que pueden extraerse de la coyuntura actual. 

 

Blockchain & RGPD (Derecho de rectificación y al olvido, a modo de ejemplo)5

En las arquitecturas centralizadas, los usuarios se comunican entre sí a través de una autoridad centralizada de confianza. En las aquellas descentralizadas, los usuarios se comunican directamente entre sí, sin pasar por ningún intermediario centralizado.  En términos simples, una base de datos que se ejecuta en una red punto a punto (peer-to-peer) es descentralizada. No debe confundirse esto con el concepto de distribución de base de datos la que puede ser centralizada o descentralizada6. 

Dadas sus características resulta más sencillo implementar una plataforma que respete la privacidad de las personas a través de un modelo centralizado. Ahora bien, frente a una merma en la confianza en la autoridad central (pongamos por ejemplo el incidente Facebook-Cambridge Analytica), una infraestructura descentralizada parecería constituir una mejor opción. Esta es apenas una de las cuestiones que deberían evaluarse, sin perder de vista otras vinculadas a la igualdad y transparencia que también son constitutivas de las arquitecturas señaladas.

El Reglamento General de Protección de Datos europeo fue pensado para un sistema centralizado de almacenamiento y procesamiento de datos, y no puede transpolarse fácilmente a registros distribuidos o una Distributed Ledger Technology. Una Blockchain es en esencia una base de datos que descentraliza el procesamiento y almacenamiento de datos (múltiples nodos-computadoras), mantenida por consenso algorítmico.

Observemos más detalladamente estas implicancias.

Los datos pueden almacenarse en Blockchains sea mediante simple texto, encriptados o a través de un código (hash) a la cadena. Los datos que han sido encriptados o codificados califican como datos personales según la legislación de la Unión Europea, ya que son seudonimizados y no anonimizados irreversiblemente7. Esto significa que en una cadena de bloques, las claves públicas (public keys) califican como datos personales, al igual que los datos relacionados con una persona física que se codifican a la cadena. Como consecuencia, los datos criptográficamente modificados almacenados en registros distribuidos (DLT), además de las claves públicas, están sujetos al RGPD de la Unión Europea8.

Analizaremos aquí determinados derechos sustantivos al amparo del RGPD, siguiendo la distinción de Finck9 de esas dos categorías de datos personales: Datos transaccionales y claves públicas.

 Su art. 16 que contempla el derecho de rectificación indica que: “El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional”. Así, en el contexto de una Blockchain, un sujeto podría solicitar, en base a la aplicación del artículo mencionado y al amparo de la garantía de que sus datos deben ser exactos y actualizados10, que se rectifiquen sus datos a todos (o alguno) de los nodos existentes en una cadena de bloques.

¿Es factible el supuesto descripto? Podría ocurrir que no se pueda identificar uno o todos los nodos de una Blockchain (part time on line/puertos cerrados/cambios de IP), mas aún si se pudiera identificar y se lograra encauzar la acción en los términos del art. 16 del RGPD, los nodos no tienen la facultad de enmendar los datos que se almacenan en los bloques (salvo excepcionales circunstancias11).

No obstante, y según la interpretación de Finck12, la disposición proporciona explícitamente que el principio de modificación debe aplicarse teniendo en cuenta la tecnología en juego; los «fines del procesamiento» deberán tenerse en cuenta y los datos podrán rectificarse mediante el suministro de una declaración complementaria13. Esto nos lleva a preguntarnos si la adición de nuevos datos a la cadena de bloques, que rectifica los datos previamente agregados (sin embargo sin borrar la entrada original), podría ser considerada como adecuada a los requisitos del Artículo 16, solución que podría aplicarse fácilmente, pero no rectifica los datos erróneos.

Al parecer el procedimiento más pertinente sería almacenar datos transaccionales fuera de la cadena, de modo que se pudiera modificar de acuerdo con los requisitos de protección de datos sin la necesidad de tocar la Blockchain en sí misma. El almacenamiento off chain14 puede facilitar el cumplimiento de RGPD en relación con los datos transaccionales, pero no así con claves públicas.

Por otro lado, el art. 17 del RGPD, prevé el derecho de supresión  e indica que el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. Precisando luego que los responsables de tratamiento estarán obligados a suprimir sin dilación los datos personales cuando ocurran las circunstancias enumeradas en los incisos a) al f).

Nuevamente el tema de la inmutabilidad pasa a ser preponderante y, siguiendo los criterios antes vistos15, es preciso distinguir entre datos transaccionales y claves públicas. Respecto a los primeros, si se almacenan en una base de datos encriptada fuera de la Bolckchain, claramente podrían ser borrados. Ahora bien, en el caso de las segundas, cobra relevancia el inciso 2° del art. 17 del RGPD cuando especifica que el responsable del tratamiento adoptará las medidas razonables teniendo en cuenta la tecnología disponible y el coste de su aplicación. Así, podría interpretarse que el RGPD prescinde del borrado total a la luz de las limitaciones técnicas de la Blockchain. Se han abordado distintas soluciones al respecto, desde transmitir una clave al titular de los datos o eliminar la clave privada en un entorno supervisado16, o usar una “codificación camaleónica” para reescribir el contenido de los bloques en los registros distribuidos17, sin embargo, todas estas soluciones introducen un “tercero de confianza”, que atenta contra la descentralización tal y como se analizó precedentemente. Cabe mencionar que la aplicación de este derecho ha variado en los distintos Tribunales europeos, pero no queda duda de que estamos ante la necesidad de interpretar el precepto del art. 17 del RGPD teniendo en cuenta la inmutabilidad de los registros y por ello se debe ser receptivo a las soluciones alternativas que puedan plantearse.

A modo de conclusión

Los derechos garantizados en el RGPD  (arts. 16 y 17) no pueden aplicarse fácilmente a las Blockchains, dada su diferencia con la Internet de los silos de información comúnmente utilizada. De allí que sea necesario aplicar el RGPD de manera que no asfixie el potencial innovador de los registros distribuidos, pero garantizando al mismo tiempo que los datos se encuentren protegidos.

Como lo señala Finck18, si bien la ley siempre ha ido rezagada detrás del cambio tecnológico, esta división se vuelve más aguda en la medida que el ritmo de la innovación se acelera en la era digital. Sin embargo, hay un tema común que las Blockchains y el RGPD comparten: darle al individuo más control sobre sus datos (siempre que las bolckchains estén diseñadas con ese objetivo).

Sea frente a quienes, desde una visión menos optimista, profesan la paradoja RGPD-Blockchain19, o considerando aquellos que ven cierta flexibilidad en la tecnología Blockchain para lograr el cumplimiento del RGPD20 , el desafío radica en llevar la ley y la tecnología juntas para garantizar que la norma no obstaculice innecesariamente el progreso tecnológico, sino que favorezca su desarrollo en un modo legalmente deseable. Eso se logra a través de la formulación de políticas cooperativas, mediante marcos flexibles y el trabajo colaborativo entre la sociedad civil, la academia y el sector privado, para codesarrollar políticas mediante un proceso que sea tan dinámico como la tecnología. 

  1. Primavera De Filippi, “The Interplay between Decentralization and Privacy: the case of Blockchain technologies”, (CERSA-CNRS-Universite Paris II, Berkman Center of Internet & Society at Harvard, 2016)
  2. Idem De Filippi
  3. Idem De Filippi
  4. Konstantinos Komaitis, Decentralization is not panacea; we need to collaborate!”, http://www.komaitis.org/the-conversation
  5. Se dará por supuesto, con el objeto de no dilatar la extensión del trabajo, el funcionamiento de las Blockchains, así como también algunos puntos de desarrollo e implementación que corresponden al RGPD vinculado con determinados derechos que mediante el articulado del Reglamento se procuran amparar. Mayormente las referencias a las bolckchains en este trabajo, describen a aquellas públicas y sin permisos.
  6. Para una acabada explicación ver Raúl Zambrano “Blockchain. Unpacking the disruptive potential of Blockchain technology for human development” White Paper IDRC, Canada, Aug 2017.
  7. Artículo 4 (5) RGPD
  8. Michèle Finck, “Blockchains and Data Protection in the European Union” (Max Planck Institute for Innovation Competition, Research Paper No.18-01)
  9. Ibidem
  10. Artículo 5 (1) (d) RGPD
  11. José Martínez, “Inmutabilidad en Blockchain ¿Problemas para el RGPD?” Junio, 19 de 2018 https://derecho.tech/Blockchain/inmutabilidad-en-Blockchain-rgpd/
  12. Ibid 11
  13. Artículo 16 RGPD
  14. “RGPD y Blockchain. Soluciones Blockchain para el Reglamento General de Protección de Datos” https://Blockchain.grantthornton.es/wp-content/uploads/2018/03/RGPD-y-Blockchain.pdf
  15. Ibid 11
  16. Idem De Filippi,
  17. Idem Finck
  18. Ibid 11
  19. Andries Van Humbeeck, “The Blockchain-GDPR Paradox”, Medium, Nov 21, 2017 https://medium.com/wearetheledger/the-Blockchain-RGPD-paradox-fc51e663d047
  20. Luke Sayer, “Comment: Can GDPR and Blockchain co-exist?”, International Investment, May 04, 2018 http://www.internationalinvestment.net/comment/comment-can-RGPD-and-Blockchain-co-exist/. Allí se intenta una conciliación entre Blockchain y RGPD, sugiriéndose colocar hashes de datos personales en la cadena de bloques, en lugar de los datos en sí. Así, la cadena de bloques podría llegar a ser muy útil para verificar los datos sin dejar de ser compatible con RGPD.