Blockchain es LA tecnología del futuro para el procesamiento, almacenamiento y trazabilidad de datos. Esta solución es cada vez más utilizada por actores en finanzas, el sector asegurador, derecho, etc.
Pero, ¿qué pasa con blockchain al procesar datos personales? ¿Es compatible con el Reglamento General de Protección de Datos (GDPR)? ¿Están seguros y protegidos los datos personales almacenados en blockchain, y cuál es la postura de la CNIL (Comisión Nacional de Informática y Libertades de Francia) sobre la privacidad en blockchain? Este artículo explica todo lo que necesitas saber, y cómo BCdiploma, la solución de blockchain para badges, certificaciones y diplomas digitales, permite a las instituciones cumplir con todas sus obligaciones relacionadas con el GDPR.
Definiendo blockchain y el GDPR
¿Qué es exactamente blockchain?
La autenticación de blockchain es una tecnología segura y transparente para almacenar y transmitir información. Los datos, así como todos los cambios y manipulaciones, se almacenan en un ledger que es verificable por todos y no puede ser falsificado.
Blockchain es una excelente solución para:
- Desintermediación de datos: por ejemplo, permite realizar transacciones sin un intermediario, como un banco;
- Seguridad de los datos: ningún dato introducido en blockchain puede ser modificado, falsificado o eliminado;
- Verificabilidad: cualquier cambio realizado aparece en blockchain y es visible para todos. La transparencia definitiva es la principal fortaleza de la tecnología de blockchain.
Varios actores están involucrados cuando se utiliza blockchain para procesar datos:
- Participantes: pueden agregar información al ledger de blockchain;
- Mineros: verifican que los participantes cumplan con el protocolo al agregar nuevos datos o modificar información almacenada en el ledger;
- Todos los demás miembros de la red: supervisan todos los datos y cambios realizados en blockchain.
¿Qué es el GDPR?
El GDPR es el Reglamento General de Protección de Datos. Es un reglamento de la UE en vigor desde 2018, que complementa la Ley de Protección de Datos de Francia (1978 “Loi Informatique et Libertés”), que regula el uso de computadoras para el procesamiento de datos.
El GDPR tiene como objetivo:
- Proteger a las personas cuyos datos personales se procesan, y ayudarles a recuperar el control sobre su información: enumera un conjunto de derechos que todos tienen sobre sus datos personales;
- Hacer que las empresas que procesan datos personales sean responsables de proteger la privacidad de los usuarios.
Según la CNIL, los datos personales se definen como “cualquier información relativa a una persona identificada o identificable”. Esto se refiere a cualquier dato que permita la identificación directa (apellido, nombre) o indirecta (número de teléfono, dirección, número de cliente) de un individuo.
El tratamiento de datos personales se relaciona con cualquier operación con fines comerciales o profesionales que dependa de la recolección, registro, uso o difusión de datos personales.
El objetivo del GDPR es proporcionar un marco legal para el tratamiento de datos por cualquier organización pública o privada con sede en Europa o cuyos clientes residan en la Unión Europea. También se aplica a los subcontratistas de estas organizaciones.
La CNIL es la autoridad supervisora independiente responsable de garantizar la correcta implementación de la Ley Francesa de Protección de Datos y el cumplimiento del GDPR en Francia.
Blockchain y el GDPR: ¿cuándo son compatibles?
¿En qué casos se utiliza blockchain para procesar datos personales?
Blockchain está sujeta al GDPR cuando los datos almacenados contienen información personal.
Aquí hay ejemplos de uso de datos personales por la blockchain:
- La transferencia de activos financieros, fondos de pensiones, seguros;
- Hashes de datos médicos de pacientes para blockchains en el sector de la salud;
- Trazabilidad de muestras en investigaciones científicas;
- Datos académicos o de formación, por ejemplo, para la emisión de insignias digitales, certificados, micro-certificaciones o diplomas digitales.
El GDPR debe cumplirse en estos casos, así como en cualquier transacción donde se registren datos personales en la blockchain.
¿Qué derechos del GDPR son compatibles con blockchain?
En su análisis, la CNIL indica que la responsabilidad de cumplir con el GRPD recae en el operador de procesamiento que establece un servicio utilizando blockchain. En este sentido, continúa ofreciendo un conjunto de recomendaciones y cita casos de uso, como diplomas y credenciales.
Varios casos de uso ya están bien documentados y cumplen con los requisitos del GDPR, como el establecido por BCdiploma para credenciales certificadas usando blockchain.
¿Qué derechos del GDPR están en riesgo?
Sin embargo, como cualquier tecnología, blockchain tiene limitaciones y puede no ser adecuada para todos los usos. Por ejemplo, el “derecho al olvido” (o “derecho de supresión”) está en el centro del debate del GDPR y blockchain:
“A primera vista, blockchain y el derecho al olvido no parecen ser compatibles. La inalterabilidad y la descentralización no solo implican que el registro es indeleble, sino también que es compartido entre todos los usuarios que han registrado copias. Si una persona ejerciera su derecho al olvido, por lo tanto, se esperaría que vaya en contra del principio de inalterabilidad de blockchain, y su derecho al olvido solo podría garantizarse si cada usuario eliminara individualmente los datos cifrados deseados de su libro mayor“, como explicó la experta legal Aurélie Bayle en su artículo “Peut-on concrètement espérer l’exercice d’un droit à l’oubli sur la blockchain et se conformer aux principes dégagés par le RGPD ?” (¿Es blockchain compatible con el ‘derecho al olvido’ y puede cumplir con los requisitos establecidos por el GDPR?)
Opinión de la CNIL: ¿Qué soluciones para un uso responsable de datos personales por blockchain?
¿Dónde se posiciona la CNIL: cómo podemos garantizar el uso responsable de datos personales almacenados en blockchain?
En septiembre de 2018, la CNIL publicó su análisis inicial sobre la compatibilidad de blockchain con el GDPR. También examinó las siguientes preguntas:
¿Quién es responsable del procesamiento de datos en la blockchain?
Para cumplir con el GDPR, debe nombrarse un controlador de datos para demostrar que las operaciones de datos respetan de hecho los derechos de privacidad de los usuarios.
Según la CNIL, en el caso de blockchain, solo los participantes se consideran controladores de datos, ya que son ellos quienes deciden usar la blockchain para procesar datos, sea cual sea el propósito previsto.
Un controlador de datos se define como cualquier persona o estructura que:
- procesa datos con fines no personales (por ejemplo, un médico o un abogado);
- es una entidad legalmente establecida (por ejemplo, bancos).
Por otro lado, los mineros que validan transacciones en la base de datos de blockchain no se consideran responsables. Para un grupo de varias personas, la CNIL recomienda que se designe una entidad legal o una persona natural como responsable del tratamiento de los datos.
¿Qué solución se puede implementar para proteger los datos personales procesados por blockchain cumpliendo con los requisitos del GDPR?
La CNIL proporciona pautas sobre cómo asegurar que el procesamiento de datos personales cumpla con el GDPR:
- Piensa río arriba del procesamiento de datos: ¿es necesario almacenar los datos en una blockchain pública? ¿En qué formato?
- Cifra los datos personales escritos en la blockchain, especialmente para los libros mayores públicos que pueden ser consultados por cualquiera;
- Respecto al “derecho al olvido”: destruye la clave de cifrado para que los datos ya no sean descifrables y así permanezcan permanentemente inaccesibles.
BCdiploma, una solución conforme al GDPR
BCdiploma ha creado las primeras credenciales digitales seguras, verificables y a prueba de falsificaciones utilizando tecnología blockchain, y demuestra un enfoque sólido que permite a las instituciones educativas que utilizan el servicio cumplir con el GDPR.
Los estudiantes pueden mostrar sus certificados, diplomas, certificaciones o open badges en cualquier plataforma digital (LinkedIn o currículos) y compartirlos con los reclutadores a través de una URL de manera transparente.
Para cumplir con el enfoque de la CNIL, BCdiploma ha patentado un método criptográfico que permite la gestión del derecho al olvido. Con más de 200 implementaciones exitosas, BCdiploma ha desarrollado experiencia para apoyar a las instituciones en la implementación del GDPR durante el despliegue de la solución. El trabajo de la Universidad de Lille sobre este tema está documentado en su Libro Blanco 2024, disponible aquí.
Aprende más
Practice guide for the security of personal data : 2024 edition