-
Almacenar datos privados en una blockchain no cumple con legislación de España.
-
El informe destaca que una blockchain depende de otros mecanismos para alcanzar su seguridad óptima.
La Agencia Española de Protección de Datos, organismo oficial de gobierno, no recomienda utilizar una blockchain o bases de datos distribuidas para registrar datos personales sensibles.
Las acotaciones acerca de blockchain y el manejo de datos personales se incluyen en un reporte acerca de cómo se utilizan diferentes tecnologías en la administración pública para la protección de datos de la población civil.
A pesar de que la agencia considera que blockchain podría adaptarse a las disposiciones y protocolos apropiados, «se ha de evitar la publicación de datos personales en claro en la cadena de bloques, los cuales deberían alojarse off-chain, en bases de datos tradicionales u otros sistemas de información del responsable», indican.
De no ser posible evitar el registro de datos personales en una blockchain, se debe utilizar la criptografía apropiada para cifrar los datos y garantizar la confidencialidad de la información.
No obstante, se recomienda limitar al máximo la información insertada en la blockchain, de manera que los datos estén protegidos por defecto en el protocolo de inserción de datos, mas no enteramente respaldados en la tecnología que se utilice para almacenarlos.
Esta observación la realizan considerando que una red distribuida requiere configurarse y ser evaluada constantemente. Tanto los mecanismos de consenso, la criptografía y los parámetros de interacción entre participantes, deben estar bien definidos para reducir el riesgo de manipulación de los datos.
El reporte indica también que una base de datos distribuida no necesariamente funciona por sí misma en función de proteger los datos insertados. Blockchain debe integrarse con otras implementaciones tecnológicas para ser completamente segura, afirman.
“No hay que olvidar que blockchain es la solución, o una de las soluciones tecnológicas, que dan soporte a un tratamiento de datos, en cuyo marco existirán otras herramientas para el acceso, la gestión e incluso, mecanismos de intermediación para usuarios. Todos estos elementos tienen sus propias vulnerabilidades, en concreto de seguridad, por lo que se han de analizar los riesgos e implementar las medidas necesarias para evitar la suplantación de identidad en la ejecución de las transacciones y garantizar una seguridad integral.”
Agencia Española de Protección de Datos.
¿Puede blockchain cumplir con el reglamento legal?
Según el informe, se debe analizar la compatibilidad de blockchain con las disposiciones del Reglamento General de Protección de Datos, por el cual se rige esta actividad.
La AEPD sugiere prestar atención al apartado legal «Responsabilidad del tratamiento», donde se determina la responsabilidad de quienes coordinen la inserción de datos en un registro. El organismo nota que blockchain dificulta la identificación de sus participantes, cuestión que no sería deseable ya que en el caso de datos personales, se debe tener conocimiento de quién maneja la información allí insertada.
Además señalan el «Derecho al olvido» como uno de los principios legales a defender, en contraste con la inmutabilidad de datos como características que tienen las redes blockchain distribuidas, por lo que cada inserción de datos debe realizarse cuidadosamente ya que luego no podrá modificarse.
El tercer aspecto que piden tener claro es que los datos personales no deben ser visibles más del tiempo necesario, de modo que la inmutabilidad de ciertas blockchain y su transparencia, dificulta que estos datos permanezcan ocultos una vez sean registrados definitivamente por quien los opere.
En cuarto lugar, mencionan la confidencialidad, como un factor crucial para hacer posible el registro de datos personales en blockchain. La razón está implícita ya que la información sería compartida por varios participantes de la red.
Sin embargo, por esta misma razón la disponibilidad de los nodos determinará qué tan accesible sea la información por momentos, ya que no suelen existir garantía de que los nodos permanezcan conectados y con esta información al alcance de quienes la necesiten, cuando la necesiten.
Por último, señalan que la conectividad entre los nodos de la red puede propiciar que ocurra una transferencia internacional de datos, lo que entra en conflicto con la legislación. La agencia recomienda establecer los principios de privacidad y confidencialidad desde el diseño inicial de la red, así como el modelo de gobernanza.
