La coexistencia entre Blockchain y GDPR planteará numerosas dificultades
- Blockchain
La nueva ley de protección de datos europea (GDPR) impone una serie de normas para garantizar la privacidad y la seguridad de los datos, que son difíciles de cumplir cuando se habla de Blockchain, debido a la descentralización de la información. En este sentido, los expertos creen que no es imposible que la tecnología y la normativa coexistan, pero sí reconocen que hay muchos obstáculos que salvar para que los proyectos de cadena de bloques vean la luz cumpliendo con la ley.
El interés por la implantación de Blockchain abarca diferentes sectores, desde las empresas financieras a las administraciones públicas, que prevén numerosas ventajas en el uso de esta tecnología de cara al futuro. Pero las cadenas de bloques suponen la descentralización de determinada información sensible, como es la autenticación y los datos personales de los integrantes de la red. Y esto genera problemas en relación a las estrictas normas en materia de protección y almacenamiento de los datos impuestas por la nueva ley europea GDPR. Por ello, los expertos prevén que la implantación de blockchain se enfrenta a retos complicados dentro del ámbito europeo, que podrían retrasar su adopción y, en algunos casos, echar para atrás proyectos que ya han comenzado a desarrollarse.
En un reciente artículo Martha Bennett, analista principal de la consultora Forrester comenta que las opiniones sobre esta cuestión van desde a más agorera a la más optimista. Hay quien cree que la tecnología de contabilidad distribuida (DLT) no será capaz de integrarse en el ámbito legal europeo, haciendo fracasar los proyectos de implantación dentro del marco europeo. Por otro lado, otros expertos creen firmemente que, a pesar del desafío que supone integrar esta tecnología de cadena de bloques con la ley GDPR, si se logra hacer adecuadamente, puede suponer un gran éxito en las organizaciones que quieren pasar a modelos de contabilidad distribuida.
En cualquier caso, Bennett señaló que hay varias cuestiones que se deben tener en cuenta a la hora de adoptar DLT u otras tecnologías basadas en Blockchain en una organización de ámbito europeo. Por un lado, dice que las cadenas de bloques públicas y la normativa GDPR no van unidas per se. Esto se debe a que este tipo de redes no contemplan de base los requisitos de privacidad impuestos por esta ley, y a que no es posible nombrar un responsable que controle los datos en una estructura distribuida que no está gobernada por nadie. Además, tampoco se puede controlar con cómo ni dónde se están almacenando y procesando los datos, y tampoco existe la posibilidad de ejercer el derecho al olvido. Y también afirma que los dato cifrados siguen siendo datos personales, y solo los datos completamente anónimos se pueden considerar exentos de cumplir con esta normativa. Pero en las estructuras de Blockchain públicas actuales no se aplican estos criterios, y es posible (aunque difícil) identificar a los individuos que participan en la cadena, empleando combinaciones de diferentes técnicas.
A esto se suma que la Unión Europea no va a hacer excepciones a la ley para dar cabida a una tecnología, ya que esta debería desarrollarse de forma que respete la ley, o no tendrá lugar dentro de la región. Aunque la UE está estudiando la forma de que se puedan implantar las tecnologías de cadenas de bloques como DLT en su entorno, incluso para la operativa económica de las propias instituciones públicas, pero esto pasará por desarrollar esta tecnología para que cumpla con la GDPR desde su diseño hasta su implementación final.
Por ello, como consejo para las organizaciones que quieran adoptar blockchain en cualquier ámbito, por ejemplo, para la contabilidad distribuida, Bennet recomienda que se diseñen redes DLT teniendo en cuenta la ley desde su base. Porque si se crea una red que no cumple con la normativa, posteriormente puede ser muy difícil de adaptar, o imposible, lo que requeriría empezar desde el principio. Además, señala que, aunque las plataformas DLT destinadas al uso empresarial tengan en cuenta la confidencialidad de los datos, no por ello cumplen con la ley, por lo que es preciso contar con especialistas en seguridad y privacidad que garanticen la compatibilidad de la red con los requisitos de GDPR desde el principio.
Otro consejo es el de tratar de que los datos personales que en muchos casos forman parte de las redes de DLT se mantengan fuera de la cadena de bloques, para así poder administrarlos de forma más fiable, cumpliendo con los requisitos de seguridad, protección de la privacidad, etcétera. En este sentido, Bennett indica que no hay motivo para integrar en la cadena de bloques la información de identificación personal (PII). Además, afirma que, aunque el cifrado es un punto bastante sólido en estas estructuras, aún existen riesgos de que se viole esta medida de seguridad, algo que aumenta a medida que se crean más nodos en la red. Para ilustrarlo, hizo mención al viejo dicho de que una cadena es tan fuerte como su eslabón más débil.
Lo siguiente que recomienda a las empresas que estén estudiando la adopción de Blockchain es que involucren a asesores legales especializados en todas las fases del proyecto, a fin de garantizar que no se incumplirá la normativa en ningún aspecto del funcionamiento de la red. Además, serán de vital importancia para saber interpretar adecuadamente las “zonas grises” de la ley, ya que son los puntos más sensibles al error, que después se puede acabar pagando en los tribunales. Teniendo en cuenta estos consejos, las organizaciones europeas pueden embarcarse en proyectos de implantación de DLT que después podrán tener éxito, sin incurrir en problemas legales por infringir el código impuesto por la ley GDPR.