Blockchain y derecho de supresión: Un análisis desde la nota técnica de la AEPD.

La Agencia Española de Protección de Datos (AEPD) ha abordado un tema complejo pero esencial para el futuro de la tecnología Blockchain en Europa: el cumplimiento del derecho de supresión de datos personales en una red Blockchain. Este derecho, establecido en el Reglamento General de Protección de Datos (RGPD), permite a los usuarios solicitar la eliminación de sus datos cuando ya no son necesarios o cuando han sido tratados de forma indebida. Sin embargo, la estructura descentralizada e inmutable de la tecnología Blockchain plantea importantes desafíos para cumplir con esta regulación.

La nota técnica de la AEPD y su Prueba de Concepto.

La AEPD, consciente de la creciente adopción de Blockchain en el ámbito empresarial, ha desarrollado una Prueba de Concepto (PoC) para explorar cómo la eliminación de datos en Blockchain podría ejecutarse de manera que cumpla con el RGPD. La PoC se centra en un caso concreto: la eliminación de una cuenta de usuario en la Blockchain y todas las transacciones asociadas a ella. Este enfoque busca cumplir con el derecho de supresión mediante la alteración de datos en Blockchain a través de un proceso llamado Hard Fork, una bifurcación que permite actualizar las bases de datos de los nodos para reflejar la eliminación solicitada.

Es importante destacar que, al emplear esta técnica, no se restaura la integridad de los bloques originales, sino que se modifica la estructura de datos en la cadena para evitar que la cuenta eliminada siga visible en el historial de transacciones. La PoC propuesta por la AEPD es una aproximación experimental y no se plantea como una solución que pueda aplicarse directamente en infraestructuras Blockchain comerciales o en producción.

Dicho de otra manera, la AEPD demuestra que es técnicamente posible eliminar datos en Blockchain, pero reconoce que esta práctica va en contra del principio de inmutabilidad de la cadena. Para implementar el derecho de supresión, se necesita modificar directamente la estructura de datos, algo que en una red de Blockchain diseñada de manera tradicional sería altamente disruptivo.

La filosofía de Satoshi Nakamoto y el principio de inmutabilidad

Para entender la complejidad de estos cambios, es importante contextualizar el propósito original de Blockchain y sus principios fundacionales. Satoshi Nakamoto, el creador de Bitcoin, introdujo Blockchain como una tecnología descentralizada y resistente a manipulaciones externas, donde los registros no pudieran ser alterados una vez validados. Este principio de inmutabilidad es crucial, ya que permite a los usuarios confiar en que sus transacciones y datos no serán modificados ni controlados por ninguna autoridad central.

Esta perspectiva, sin embargo, presenta un dilema: cualquier intento de modificar o eliminar información en Blockchain, como lo exige el RGPD, podría entenderse como un alejamiento de los ideales de Nakamoto. Implementar un Hard Fork para eliminar registros de datos es técnicamente factible, pero plantea la pregunta de si estamos sacrificando la integridad y la seguridad de la cadena en favor de una normativa de protección de datos.

O, en otras palabras, se plantea si la aplicación del derecho de supresión es realmente compatible con una tecnología cuya razón de ser era precisamente la inmutabilidad y la descentralización. Sin llegar a una conclusión categórica, la PoC de la AEPD abre un espacio para la reflexión sobre si, en su evolución, Blockchain puede o debe adaptarse a estas nuevas demandas regulatorias sin perder su esencia.

Aspectos técnicos de la Prueba de Concepto.

La PoC de la AEPD emplea varias técnicas avanzadas para implementar el derecho de supresión en una Blockchain privada basada en Ethereum, adaptando el código de la red para incluir modificaciones en los datos de los nodos. La estrategia técnica incluye:

• Sobrescritura de datos: Se modifica la dirección de la cuenta que solicita la supresión en todas sus interacciones, reemplazándola por un valor constante.
• Modificación de las bases de datos locales de los nodos: Para ejecutar esta eliminación, cada nodo de la red reemplaza los registros asociados con la cuenta en cuestión.
• Implementación de un mecanismo de consenso: Inspirado en el modelo BIP-0009 de Bitcoin, se establece un consenso entre los nodos para aceptar la actualización de datos y hacer efectivo el cambio en toda la red.

Este enfoque permite que la Blockchain continúe operando tras el Hard Fork, aunque con el registro de datos personales modificado. Y es que la PoC aprovecha la posibilidad técnica de bifurcar la red para suprimir datos, pero introduce con ello un proceso, a nivel computacional, que requiere la colaboración de todos los nodos validadores y de un sistema de consenso. Esto plantearía dudas sobre la viabilidad de su implementación en redes públicas, o en infraestructuras Blockchain que involucran múltiples regiones o jurisdicciones.

Gobernanza y desafíos en la gestión de datos en Blockchain.

Uno de los aspectos más innovadores de la PoC de la AEPD es su propuesta de un marco de gobernanza en la gestión de datos personales en Blockchain. La gobernanza, en este contexto, se refiere a los roles, políticas y procedimientos necesarios para que la infraestructura cumpla con los principios del RGPD. Esto incluye la designación de responsables para la detección y eliminación de datos personales, la implementación de canales seguros para la recepción de solicitudes y la validación de los cambios en la red mediante consenso.

Sin embargo, este marco de gobernanza es difícil de implementar en redes públicas o no permisionadas, como Bitcoin o Ethereum, donde la descentralización y la falta de una autoridad central dificultan la aplicación de políticas unificadas de cumplimiento normativo. En redes Blockchain de tipo privado o permisionado, es más factible establecer roles y procedimientos, pero incluso en estos casos, los procesos son complejos y requieren una estructura de gestión robusta.

Es decir, cumplir con las obligaciones del RGPD en Blockchain no sólo depende de la tecnología, sino de la colaboración entre los diferentes actores en la red y de la existencia de un marco de gobernanza capaz de responder a los requisitos legales, algo que representa un cambio significativo frente al modelo descentralizado promovido por Nakamoto.

Conclusiones

La nota técnica de la AEPD sobre el derecho de supresión en Blockchain muestra avances técnicos destacables, pero también evidencia las limitaciones y desafíos inherentes a la tecnología. Si bien la Prueba de Concepto demuestra que es técnicamente viable realizar modificaciones en Blockchain para cumplir con el RGPD, plantea una serie de cuestiones sobre la capacidad de adaptación de esta tecnología a la normativa de privacidad.

Este ejercicio experimental de la AEPD sugiere que, en el caso de infraestructuras privadas o permisionadas, es posible alcanzar un equilibrio entre la normativa de protección de datos y los principios técnicos de Blockchain. Sin embargo, en redes públicas o no permisionadas, la implementación de un derecho de supresión efectivo y coherente con el RGPD podría requerir un replanteamiento fundamental y total del diseño de estas redes. Esta cuestión es altamente improbable con el alto volumen de operaciones que se manejan en la actualidad.

Finalmente, cabe señalar que cualquier intento de adaptar Blockchain a las exigencias normativas debe hacerse con un conocimiento profundo de sus fundamentos y limitaciones técnicas, evitando comprometer su seguridad e integridad. Desde EJASO, entendemos que estos desafíos requieren un enfoque jurídico-tecnológico que permita a las empresas implementar soluciones de Blockchain que cumplan con la normativa, sin perder de vista los principios fundamentales de transparencia y seguridad que definen esta tecnología.

Autor: Luis Miguel Prieto, del departamento de Derecho Digital y Propiedad Intelectual