La publicación por el Comité Europeo de Protección de Datos (CEPD o EDPB)
de sus Guidelines 02/2025 onprocessing of personal data through blockchain technologies (Version 1.1 para consulta pública), de 8 de
abril, constituye un hito en el análisis de los desafíos que el cumplimiento
del marco legal imperativo de la UE en materia de protección de datos personales
plantea en relación con ciertos usos de las tecnologías de registros
distribuidos, especialmente algunas de las que han recibido más atención en los
últimos años, como las llamadas public permissionless blockchains. Por
ejemplo, destaca la constatación de que la persona física o jurídica que
controla un nodo de una cadena de bloques de ese tipo puede en determinadas
circunstancias ser considerada responsable del tratamiento de datos personales
a los efectos del Reglamento (UE) 2016/679 general de protección de datos (RGPD)
(apdos. 43 y 130 de las Directrices). Antes de hacer referencia a algunos
aspectos del contenido de las Directrices, la lectura del documento se presta a
dos reflexiones generales. La primera es que constituye un buen ejemplo de un
principio básico aplicable en lo que tiene que ver con la regulación de las
nuevas tecnologías y los modelos de negocio disruptivos basados en ellas,
aunque frecuentemente olvidado.
I. Consideraciones
previas: cumplimiento normativo y aplicación efectiva del Derecho de la Unión
Sin perjuicio de la constante evolución del
ordenamiento jurídico y su capacidad de adaptación -incluyendo la
jurisprudencia y la labor de otros agentes encargados de su aplicación-, lo
cierto es que son los modelos de negocio surgidos al hilo de las nuevas
tecnologías los que deben desarrollarse y prestarse con las adaptaciones
pertinentes para cumplir antes de su lanzamiento con el marco legal imperativo
vigente en cada mercado en el que se ofrecen. Ello debe ser así especialmente
cuando ese marco normativo responde a la tutela de intereses públicos
relevantes o derechos fundamentales, como es el caso en la Unión Europea de la
legislación en materia de protección de datos personales. Resulta algo tan
obvio como con frecuencia olvidado.
Desde ese punto de vista, es compresible la
insistencia de las Directrices en reiterar que determinadas características de
las tecnologías de registros distribuidos, como la multiplicidad de actores implicados
en las actividades de tratamiento, pese a que hacen muy difícil en determinadas
circunstancias el respeto del marco imperativo en materia de protección de
datos personales, no son óbice para que quien pretenda utilizar tales
tecnologías deba asegurarse previamente del cumplimiento de ese marco. La
imposibilidad técnica no puede invocarse para justificar el incumplimiento de
los requisitos del RGPD (apdo. 50 de las Directrices). En definitiva, si el uso
de un modelo específico de blockchain en una actividad de tratamiento crea
riesgos para los derechos y libertades de las personas que no pueden mitigarse
con medidas técnicas y organizativas adecuadas, el responsable del tratamiento debería
utilizar un modelo diferente de blockchain u otra tecnología que no genere
tales riesgos (apdo. 92).
La segunda reflexión previa es que nuevamente
nos encontramos ante un ámbito en el que surge la duda de si realmente el
estricto marco normativo europeo (en materia de protección de datos personales)
ha sido eficazmente aplicado, en particular con respecto a quienes desde
terceros Estados -con marcos normativos menos estrictos- no solo han
desarrollado servicios basados en esas tecnologías disruptivas, sino que,
además, los han venido ofreciendo en el mercado europeo desde hace años. El problema podría no estar
tanto en el restrictivo marco normativo europeo, potencialmente justificado por
los objetivos que pretende salvaguardar, sino en la incapacidad para hacerlo
cumplir eficazmente, con el consiguiente menoscabo de los objetivos que el
marco legal trata de proteger (en este caso, el derecho fundamental a la
protección de datos personales), así como de la posición competitiva de los
operadores europeos.
II. Contenido y enfoque de las Directrices
Pese a su relevancia,
las Directrices tienen un objeto modesto, limitado a ofrecer orientaciones
prácticas a quienes pretenden utilizar tecnologías blockchain, analizando la
interacción entre las características de esta tecnología y los principios de
protección de datos, con los que con frecuencia entran en tensión. Se trata de
un enfoque que condiciona el carácter parcial del panorama que aportan estas
orientaciones para los operadores relevantes, centradas en valorar en qué
medida la opción por esta tecnología afecta a la actividad de tratamiento de
datos personales y al cumplimiento con lo dispuesto en el RGPD.
Por ejemplo, por su carácter descentralizado
y potencialmente global, en muchas ocasiones los nodos interconectados estarán
situados en múltiples países, incluidos algunos fuera de la Unión. Las
Directrices ponen de relieve que en el caso de las blockchain públicas lo anterior
conduce a que necesariamente surja el riesgo de que se produzcan transferencias
de datos personales a terceros países que deberán cumplir con lo dispuesto en
el Capítulo V RGPD, pero se limita a señalar la importancia de la protección de
los datos desde el diseño en relación con esas actividades, así como la
eventual relevancia de la incorporación por el responsable del tratamiento de cláusulas
tipo de protección de datos en
cualquier contrato que deba firmarse antes de aceptar un nodo (apdos. 74-76).
El tipo de tecnología blockchain empleado, en
particular en función de sus controles de acceso y de la infraestructura,
condiciona decisivamente los riesgos en materia de protección de datos personales
y la posibilidad de hacerlos frente. Los desafíos son mayores cuando se trata
de blockchains públicas y plenamente descentralizadas, sin permisos o permissionless.
La circunstancia de que en las permissioned los participantes tengan
que ser admitidos por una autoridad que ejerce cierto control sobre la
infraestructura facilita la asignación de responsabilidades y la implementación
de medidas de cumplimiento en materia de protección de datos. Las Directrices
expresamente afirman que las organizaciones que pretendan utilizar estas
tecnologías deben favorecer el uso de permissioned blockchains ,
explorando otras alternativas únicamente cuando existan razones justificadas y
documentadas para excluir el empleo de ese tipo de blockchain, valorando en tal
caso si realmente es apropiado utilizar tecnologías blockchain (apdo. 40).
III. Tratamiento de datos personales
En la medida en que la información almacenada
en la blockchain sea relativa a una persona física identificada o identificable,
tal almacenamiento implica un tratamiento de datos personales, que quedará
sometido al RGPD si está comprendido en su ámbito material (art. 2) y
territorial (art. 3).
El que entre los metadatos de la transacción u
otras informaciones que se almacenen en la blockchain figure un identificador
del usuario que participa en la transacción, aunque sea una serie de caracteres
alfanuméricos de apariencia aleatoria -por ejemplo, una clave pública derivada de una clave
privada conocida por el usuario-, es suficiente normalmente para apreciar el
tratamiento de datos personales, si el usuario en cuestión es una persona
física y esas claves públicas pueden permitir llegar a identificarla por medios
razonablemente probables. Incluso cuando esos identificadores se ocultan
mediante el empleo de herramientas criptográficas -que pueden ser relevantes como
medidas de seguridad-, los datos que los sustituyen y se almacenan en la
blockchain pueden también constituir información relativa a una persona física “identificable”
y, por lo tanto, un dato personal (apdos. 26 y 27 de las Directrices). Es
relevante que en ocasiones los datos personales pueden ser almacenados fuera de
la blockchain (off-chain). En este sentido, pueden emplearse los
compromisos criptográficos como medida para proteger la confidencialidad de los
datos originales, incluyendo en la cadena únicamente el compromiso, pero
almacenando los datos originales fuera de la cadena (apdo. 34).
Con respecto a la determinación
de los responsables del tratamiento a los efectos del RGPD, las Directrices
destacan que el diseño y el mecanismo de gobernanza de la blockhain empleada condiciona
en cada caso la determinación de las funciones y responsabilidades con arreglo
al RGPD. En el caso de una blockchain pública sin permisos o permissionless,
los nodos pueden llevar a cabo diversas actividades de tratamiento con un nivel
de intervención variable. La persona física o jurídica que opera o controla
cualquiera de esos nodos puede reunir los requisitos para ser calificado como responsable
o corresponsable del tratamiento, cuando los nodos ejerzan una influencia
decisiva en la determinación de los fines y los medios de la actividad de
tratamiento. Tal puede ser el caso cuando los nodos tienen capacidad para decidir
de manera significativa, aunque sea conjuntamente, en relación con las actividades
de minería y validación. Por ejemplo, cuando los nodos pueden ejercer
individualmente una influencia decisiva sobre el subconjunto de transacciones
que se añadirán al siguiente bloque, o acordar conjuntamente como grupo las
modificaciones de los protocolos y las reglas a aplicar, supuesto este último
en el que el EDPB recomienda la creación de una entidad jurídica entre los
nodos que pueda actuar como responsable del tratamiento (apdo. 44).
IV. Medidas de cumplimiento con el RGPD
La exigencia de que las medidas técnicas y
organizativas apropiadas que el responsable debe aplicar que, por defecto, “los
datos personales no sean accesibles, sin la intervención de la persona, a un
número indeterminado de personas físicas” (art. 25.2 RGPD) condiciona el
almacenamiento de datos personales en redes blockchain, especialmente las
públicas.
El EDPB destaca la importancia de la adopción
de medidas para evitar el almacenamiento de datos personales de forma
directamente identificable en una cadena de bloques, pues en caso contrario
puede que sea técnicamente imposible cumplir con determinados aspectos del
RGPD, como el derecho de supresión o el derecho de rectificación de los
interesados (apdos. 103 y 105). Como ejemplo de tales medidas, valora el
cifrado de datos personales, el hash de datos personales y el almacenamiento de
compromisos criptográficos. Destaca que siempre que sea necesario almacenar
datos personales en la cadena de bloques, es preferible almacenarlos en una
forma funcione principalmente como mera prueba de existencia, es decir, como datos
que hacen referencia a otros almacenados fuera de la cadena (apdo. 54). En primer lugar, insiste en que incluso una
vez cifrados los datos continúan siendo datos personales, y que la evolución tecnológica
privará de eficacia al cifrado respecto de cadenas de bloques que pretendan ser
conservadas indefinidamente (apdo. 51).
Otra medida relevante que las Directrices consideran
es el hash de datos personales, consistente en almacenar en la cadena de
bloques únicamente un hash con clave de los datos personales. Los propios datos
sin hash, así como la clave secreta se almacenan confidencialmente fuera de la
cadena. Aunque el hash, en tanto que identificador, se considerará dato
personal en la medida en que la información vaya referida a una persona física,
la ventaja es que los datos originales no pueden recuperarse fácilmente a
partir del hash. Además, tras la eliminación de la clave secreta, el hash no
debería poder vincularse a los datos originales, siempre que las claves no
hayan sido comprometidas. Sin embargo, esta arquitectura requiere el uso de
otro sistema para almacenar los datos en sí, creando así un tratamiento de
datos personales en otro componente de la infraestructura, lo que conlleva su
propio riesgo (apdo. 52 de las Directrices).
Seguidamente las Directrices abordan los
particulares desafíos de la tecnología blockchain con respecto al cumplimiento
de los principios relativos al tratamiento de datos personales del artículo 5 RGPD.
Destaca las dificultades para que el recurso a tecnología blockchain sea una
opción respetuosa con el principio de minimización de datos, habida cuenta de
constante crecimiento inherente al funcionamiento de la cadena de bloques (apdo.
61), así como con el principio de exactitud, por la rigidez de la tecnología
con respecto a la información almacenada (apdo. 62).
El principio de limitación del plazo de
conservación requiere que los datos personales sean mantenidos de forma que se
permita la identificación de los interesados durante no más tiempo del
necesario para los fines del tratamiento. Cuando el borrado no se ha
tenido en cuenta por diseño, la EDPB constata que puede ser necesario borrar
toda la cadena de bloques. Si la
combinación del cumplimiento de los datos dentro y fuera de la cadena con la
protección de datos se ha tenido en cuenta por diseño, puede ser posible
impedir la futura identificación de un interesado mediante el borrado de los
datos fuera de la cadena (apdo. 63). El criterio del EDPB es que cuando el
tratamiento no requiera un período de conservación igual o superior a la vida
útil de la cadena de bloques, los datos personales no deben escribirse en la
cadena de bloques a menos que se haga de una manera que permita impedir
eficazmente la identificación de los interesados con referencia a esos datos
empleando medios que sea razonablemente probable que se utilicen. Si el período
de conservación de los datos es la vida útil de la cadena de bloques, el
responsable del tratamiento debe poder justificar que dicho período de
conservación es necesario y proporcional en relación con la finalidad (apdo. 81).
Con respecto a las condiciones de licitud del
tratamiento, tiene especial importancia la constatación de que cuando el
almacenamiento de datos personales esté justificado sobre la base de que el
interesado dio su consentimiento para el tratamiento (art. 6.1.a RGPD), el
responsable del tratamiento debe poder cumplir con la exigencia de que los
datos personales puedan suprimirse o hacerse anónimos si se retira dicho
consentimiento (apdo. 71). Por lo tanto, el consentimiento no debe utilizarse como base de licitud para tratamientos
que requieran transacciones con personas físicas si la arquitectura blockchain
no proporciona una forma de eliminar los datos personales relativos a tales
personas (apdo. 116).
En materia de seguridad, se incluye la
recomendación de evaluar las salvaguardias necesarias para reducir, o impedir,
el uso indebido de la cadena de bloques por parte de un grupo de participantes.
En las permissioned blockchains cabría incluir tales salvaguardias en la
relación contractual entre los participantes y que sean aplicadas con base en
los privilegios de supervisión atribuidos al controlador (apdo. 83).
Las Directrices incluyen una síntesis de sus
principales recomendación en el Anexo A.
