Blockchain y RGPD: Cómo Resolver el Conflicto del Derecho de Supresión en Entornos Empresariales.

El pasado 13 de noviembre de 2024 la AEPD (Agencia Española de Protección de Datos) ha publicado una nota técnica sobre la posibilidad de construir entornos de BlockChain que cumplan con el derecho de supresión según el artículo 17 del Reglamento UE 2016/679, General de Protección de Datos (RGPD).

En su nota y su Prueba de Concepto (realizada en Ethereum) la AEPD demuestra, que es posible operar en estos entornos de Blockchain y al mismo tiempo cumplir con la normativa de protección de datos.

Reto

El principal conflicto que se identifica entre el Blockchain y el derecho de supresión radica en la inmutabilidad de los datos, una característica fundamental de esta tecnología que asegura que la información registrada en la cadena no pueda ser modificada ni eliminada. Este principio, aunque clave para garantizar la integridad y transparencia, entra en conflicto directo con el RGPD, que otorga a los ciudadanos el derecho a exigir la eliminación de sus datos personales. Además, el diseño descentralizado y distribuido del Blockchain, donde los datos se replican en múltiples nodos, hace que incluso si un nodo elimina los datos, estos permanezcan en otros. Esto compromete la capacidad de cumplir con el derecho de supresión de manera efectiva.

Otro desafío surge del hecho de que muchos diseños actuales de Blockchain no consideran la protección de datos desde el diseño, lo que significa que no se han implementado mecanismos para eliminar o modificar datos personales de forma compatible con las normativas. Incluso cuando los datos sensibles no se almacenan directamente en la cadena, las referencias o hashes vinculados a ellos pueden seguir representando un problema.

Además, la gobernanza de la mayoría de las Blockchains, especialmente las públicas y no controladas, no incluye protocolos claros para abordar este tipo de solicitudes. En conjunto, estos factores hacen que garantizar el cumplimiento del RGPD en las infraestructuras Blockchain actuales sea técnicamente complejo y jurídicamente incierto. Evidentemente en las Blockchain privadas este reto puede ser mejor gestionado.

Posibles soluciones

Para abordar estos problemas, lo mejor es realizar un enfoque híbrido y multidisciplinar que combine soluciones técnicas y organizativas. Una de las ideas principales es almacenar los datos personales fuera de la Blockchain (off-chain), mientras que en la cadena solo se conservarán referencias o hashes que apunten a esos datos. Esto permite eliminar los datos sensibles del sistema off-chain sin comprometer la integridad de la Blockchain. Además, estos hashes pueden reforzarse con técnicas de pseudonimización y el uso de "sal" criptográfica, lo que hace que los datos en la cadena sean inservibles si se eliminan las claves externas necesarias para su interpretación.

Otra propuesta podría ser la inclusión de la implementación de contratos inteligentes con funcionalidades específicas para gestionar plazos de expiración o marcar datos como inaccesibles sin eliminarlos físicamente de la cadena, aunque no sería un derecho de supresión muy puro en si mismo. Estos contratos también podrían emitir eventos para notificar a los sistemas off-chain que realicen las acciones necesarias. Asimismo, sería buena idea como identifica la nota, que la gobernanza de las Blockchains incorpore protocolos de consenso que permitan realizar modificaciones planificadas, para gestionar casos excepcionales de supresión de datos. Aunque este supuesto sería mucho más aplicable a las privadas que a las públicas.

Finalmente, es esencial adoptar un diseño desde la privacidad, integrando medidas de protección desde la concepción de la infraestructura. Esto implica formar equipos interdisciplinarios que combinen conocimientos legales y técnicos para garantizar que los principios del RGPD se respeten sin comprometer las ventajas de la tecnología blockchain.

Aunque estas soluciones no eliminan por completo las tensiones entre Blockchain y el derecho de supresión, ofrecen un marco práctico para mitigarlas y avanzar hacia un cumplimiento más efectivo del RGPD.