¿Es posible garantizar el derecho de rectificación y supresión en una infraestructura Blockchain?

La tecnología Blockchain surge en el año 2009 con el objetivo de facilitar transacciones directas entre usuarios sin la intervención de intermediarios, mediante el uso de una red descentralizada que valida y registra las transacciones de una cadena de bloques digital. La aplicación de esta tecnología –caracterizada por ser descentralizada, segura, transparente y diseñada para preservar la inmutabilidad de los registros– plantea una serie de interrogantes jurídicos en lo que respecta al cumplimiento del Reglamento General de Protección de Datos (RGPD), en concreto, en relación con el derecho de supresión.

Con motivo de lo anterior, el pasado 13 de noviembre de 2024, la Agencia Española de Protección de Datos (la AEPD) publicó una prueba de concepto cuyo fin es demostrar la viabilidad de construir infraestructuras Blockchain que permitan cumplir con los principios del RGPD. 

¿Qué desafíos jurídicos plantea la tecnología Blockchain?

De acuerdo con lo dispuesto en los artículos 16 y 17 del RGPD, el interesado tiene derecho a solicitar al responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan, así como también la supresión de los mismos cuando estos ya no sean necesarios para los fines para los que fueron inicialmente recopilados. 

A priori, la inmutabilidad de los datos que comportan la tecnología Blockchain y su estructura descentralizada podrían impedir la efectiva implementación de estos derechos. No obstante, la AEPD –con el fin de validar la posibilidad de construir infraestructuras Blockchain que respeten los principios de la normativa de protección de datos– reúne los términos que pueden llevar a equívocos y que deben tenerse en cuenta para comprender la viabilidad de la PoC:

1. Inmutabilidad: Si bien con la tecnología Blockchain se aplican medidas técnicas de gestión de integridad, muchas incorporan mecanismos para implementar actualizaciones planificadas o mejoras en los protocolos, lo que permite, en algunos supuestos y con consenso de los participantes, modificar el estado de la información almacenada en los bloques. 
2. Gestión plenamente descentralizada: Pese a tratarse de un principio fundamental de esta tecnología, en la práctica, las mismas son parcialmente centralizadas en ciertos aspectos de gestión, al concentrarse la toma de decisiones de gobernanza en un pequeño grupo de desarrolladores o entidades con influencia significativa.
3. Gobernanza automatizada: Si bien a priori se argumenta que la gobernanza es automatizada y equitativa, en la mayor parte de las infraestructuras Blockchain hay una concentración de decisiones en ciertos grupos influyentes. 
4. Nodos automatizados: Existe la creencia de que los nodos son máquinas que toman decisiones de manera automatizada, pero los mismos están formados por un conjunto de recursos seleccionados y configurados por decisión de sus gestores. 
5. Las decisiones son dependientes del código fuente: las transacciones se realizan siguiendo un programa de ordenador, pero este último es diseñado para cumplir objetivos definidos por personas, por lo que son estas últimas las que deciden el fin y función de los códigos diseñados.
6. Blockchain es incompatible con el RGPD: El problema no es la clase de tecnología, sino los objetivos y decisiones de los diseñadores que la construyen. Si desde el diseño se contempla el cumplimiento normativo, los mecanismos de gestión oportunos podrían implementarse sin dificultad alguna.

Conforme a lo anterior, la AEPD analiza en su PoC, la posibilidad de adaptar la tecnología Blockchain a los principios que rigen el RGPD. Con ello, no pretende ofrecer una solución comercial, sino una guía funcional para que la industria avance hacia un cumplimiento efectivo de la normativa de protección de datos aplicable. La PoC, basada en Ethereum  y en el empleo del mecanismo Hard Fork², trata de demostrar que es posible implementar medidas técnicas y organizativas que permitan el ejercicio del derecho de supresión sin comprometer la integridad deseada de la tecnología Blockchain.

En primer lugar, la AEPD realiza en la PoC un análisis de la documentación existente y del código fuente, así como de los procedimientos de gestión de Ethereum. Con ello, traslada al marco de gobernanza de esta red, el objetivo de cumplir con el ejercicio del derecho de supresión, desarrollando las siguientes herramientas de gestión, técnicas y organizativas:

1. Identificación de Registros Afectados: permite localizar los datos personales concretos almacenados dentro de la Blockchain. El proceso se centra en permitir identificar la información cuya supresión ha sido solicitada, su ubicación y la posibilidad de reemplazarla. 
2. Generación de una nueva versión del software: propone actualizaciones del software y del protocolo de consenso que permitan modificar o eliminar datos de manera controlada. Este procedimiento incluye añadir nuevas funcionalidades al código fuente, así como las actualizaciones para gestionar la posterior sincronización de los nodos. Del mismo modo, expone la importancia de la ejecución de la nueva versión del software por parte del resto de nodos. 
3. Mecanismo de consenso en la nueva versión de la Blockchain: una vez el registro que se pretende modificar es identificado, los nodos validadores deberán ponerse de acuerdo para adoptar esa actualización del software mediante un consenso y mayoría, dejando constancia en la Blockchain de la versión actualizada del software que los nodos han pasado a ejecutar.
4. Medidas organizativas para la gestión de la gobernanza: será necesario definir expresamente los roles y responsabilidades que ostentan todos los participantes de la infraestructura. Esto incluye procesos de supervisión y auditoría para garantizar la correcta distribución de los roles, que, en este caso, comportaría el de gestionar el ejercicio de un derecho de supresión.

Ejecución y resultados de la prueba de la PoC

Teniendo en cuenta la aplicación de las herramientas de gestión, técnicas y organizativas descritas, la PoC concluye que las infraestructuras Blockchain –pese a haber sido creadas inicialmente para operar fuera de los marcos regulatorios– pueden cumplir con el RGPD, siempre y cuando sus diseñadores tengan en cuenta la normativa de protección de datos desde su diseño. La PoC, basada en el empleo del mecanismo Hard Fork para implementar una gestión de las inconsistencias, permite que el sistema continúe operando con garantías. Eso sí, la misma no tiene en cuenta los posibles efectos que puedan derivarse del derecho de supresión, como, por ejemplo, la posibilidad por parte del interesado de recuperar los fondos o balances de los Smart Contracts. 

En definitiva, la PoC desarrolla una aproximación a la implementación de medidas técnicas y de una política de protección de datos en la gobernanza de la infraestructura Blockchain, demostrando así que el cumplimiento con el RGPD es posible. Eso sí, bajo ningún concepto pretende validar la modificación de infraestructuras Blockchain que han incumplido, desde su diseño, la normativa de protección de datos. Al contrario, la AEPD tiene como objetivo promover entre los diseñadores de una Blockchain, la adoptación de estrategias de protección de datos desde el diseño y por defecto que cumplan con los requisitos del RGDP. Asimismo, destaca la importancia de desarrollar marcos organizativos que incluyan mecanismos de toma de decisiones para responder a eventos no previstos, así como también el compromiso colectivo de todos los actores involucrados. Solo mediante la integración de la protección de datos desde el diseño y la colaboración efectiva entre sectores tecnológicos y jurídicos se podrá asegurar que Blockchain sea una herramienta compatible con los derechos fundamentales de los ciudadanos.

Agradecemos a la abogada Patricia Sánchez, del departamento de Tech & Data por la elaboración de este artículo.