Com es poden rectificar o suprimir dades en la tecnologia blockchain?

Els drets a la cancel·lació i a la rectificació de dades personals són dos dels aspectes que es recullen en el nou Reglament general de protecció de dades, una normativa d’abast europeu que va entrar en vigor el maig del 2018 i que protegeix els ciutadans pel que fa al tractament de les seves dades per tercers. D’entrada, aquesta norma pot semblar incompatible amb la cadena de blocs (blockchain), una tecnologia que utilitza internet i que permet fer transaccions electròniques entre dues parts sense necessitat d’intermediaris, emmagatzemant la informació en blocs de dades enllaçats que es guarden de manera distribuïda. Un dels seus principis fonamentals és la immutabilitat, és a dir, que no és possible alterar o modificar les dades contingudes en els blocs. El professor de dret financer i tributari dels Estudis de Dret i Ciència Política de la UOC Benja Anglès explica com es podria salvar l’escull de la Llei de protecció de dades en la cadena de blocs.

La tecnologia de cadena de blocs, una de les aplicacions més conegudes de la qual són les criptomonedes (el bitcoin n’és només una, però n’hi ha centenars), emmagatzema la informació de les transaccions electròniques en blocs. Anglès explica que una de les particularitats d’aquesta tecnologia és que cada bloc conté una referència al bloc de la transacció anterior i aquests blocs s’uneixen formant una cadena de blocs (d’aquí ve el nom de cadena de blocs o blockchain). Aquest fet redunda en benefici de la seguretat de les transaccions, ja que qualsevol modificació d’un bloc seria detectada ràpidament.

L’article 17 del Reglament general de protecció de dades regula el dret a la supressió de dades personals, que es coneix com a «dret a l’oblit digital», de manera que la persona interessada pot demanar al responsable del tractament de dades la supressió de les seves dades personals. I com es pot resoldre això en la cadena de blocs tenint en compte que un dels seus principis és la immutabilitat de les dades que conté?

El professor de la UOC explica que dins d’una cadena de blocs difícilment s’emmagatzemen dades personals, sinó més aviat codis alfanumèrics que s’obtenen mitjançant la funció hash, que és capaç de transformar llargues cadenes de text en codis alfanumèrics inintel·ligibles. «Si s’entén que en una cadena de blocs només s’emmagatzemen codis alfanumèrics sense sentit en lloc de dades personals, podríem arribar a la conclusió que a les cadenes de blocs no se’ls pot aplicar la normativa de protecció de dades de caràcter personal, ja que no contindrien aquest tipus de dades», exposa Anglès en l’apunt publicat recentment al blog dels Estudis de Dret i Ciència Política de la UOC.

En canvi, diu Anglès, en el cas que s’hi emmagatzemin dades personals, aleshores sí que caldria adoptar alguna solució tècnica que ajudés a donar compliment a la normativa de protecció de dades.

Segons Anglès, una possibilitat seria tenir una base de dades externa amb les dades personals, fora de la cadena de blocs i gestionada per una entitat de registre, de manera que dins dels blocs tan sols hi hauria identificadors o referències apuntant a aquelles bases de dades. Només les persones autoritzades tindrien accés a les dades personals. Tenint aquesta base de dades externa, les demandes de rectificació o cancel·lació no s’executarien directament sobre els blocs de les cadenes, sinó sobre aquestes bases de dades externes, de manera que no s’alteraria el contingut dels blocs i es respectaria el principi d’immutabilitat.

No obstant això, el professor de la UOC reconeix que aquesta no és una solució que agradi als tecnòlegs i desenvolupadors de la cadena de blocs, ja que és contrària als avantatges que defineixen aquesta tecnologia. Una de les característiques de la cadena de blocs és que facilita fer transaccions electròniques sense intermediaris ni tercers que les validin. «Amb aquesta solució es guanyaria en seguretat jurídica, però es perdria agilitat, que és precisament el que proporciona l’ús de les cadenes de blocs», exposa Anglès en el seu apunt.

Una alternativa a les bases de dades externes seria l’ús d’una identitat digital autosobirana o SSID (self sovereign identity), gràcies a la qual una persona pot gestionar ella mateixa les seves dades personals emmagatzemades a la xarxa de manera distribuïda, utilitzant una infraestructura de clau pública (PKI, per les sigles en anglès), sense necessitat que un tercer n’acrediti l’autenticitat. D’aquesta manera seria possible utilitzar la cadena de blocs sense que aquests continguessin dades personals i sense que fos necessària la intervenció d’una entitat certificadora que validés la transacció.

En qualsevol cas, explica Anglès, es tracta de poder aprofitar els avantatges de la cadena de blocs sense haver de recórrer a estratagemes artificiosos que la desnaturalitzin o que n’obstaculitzin l’ús.