Por Paula Pascual

A pocos meses de su obligatorio cumplimiento por parte de los Estados miembros de la Unión Europea, el nuevo Reglamento General de Protección de Datos (RGPD) va a suponer un cambio muy importante en el tratamiento de datos por parte de la mayoría de empresas que actúan en el mercado, especialmente si lo hacen con datos sensibles. El RGPD entró en vigor el día 25 de mayo de 2016, si bien su cumplimiento estaba previsto para dos años desde dicha fecha, es decir, será de obligado cumplimiento a partir de mayo de este año (2018).

Actualmente, en España rige la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), por lo que el primer punto importante que se analiza brevemente es: ¿qué va a cambiar el nuevo RGPD con respecto a la regulación actual?

En primer lugar, su campo de aplicación pasa de ser únicamente en los Estados establecidos en la Unión Europea a ampliarse a responsables y encargados que, no estando establecidos en la UE, realizan tratamientos de datos de ciudadanos de la Unión. En la tecnología blockchain esto tiene una gran relevancia, pues el RGPD va a ser aplicable a casi todas las empresas del mercado, ya que normalmente la mayoría de empresas que utilizan esta tecnología tratan con datos de ciudadanos de la Unión, aunque no figuren como establecidas en la misma.

Otra importante novedad es la forma en que las empresas deben recoger el consentimiento de los usuarios, pues ya no se admite el consentimiento tácito, sino que debe ser dado con carácter general, libre, informado, específico e inequívoco, es decir, se requiere que haya una declaración de los interesados o una acción positiva que indique su acuerdo. Por último, debe ser verificable. ¿Qué consecuencias tiene esto? Básicamente, que las empresas para poder tratar con nuestros datos deberán pedirnos nuestro consentimiento de forma expresa, no bastando simplemente con no reclamar, lo que hasta ahora se consideraba un consentimiento implícito.

Por último, y lo que va a resultar ser la mayor contradicción de la blockchain, es que en el nuevo RGPD se regula el «derecho al olvido», que se presenta como el derecho que tienen los ciudadanos para que sus datos sean suprimidos cuando, entre otros casos, ya no sean necesarios para la finalidad inicial, cuando se retire el consentimiento o cuando se hayan recogido de forma ilícita.

En otras palabras, a partir de mayo los usuarios tenemos derecho a pedir que nuestros datos se borren de forma permanente en la base de datos de una empresa. Sin embargo, pensemos otra vez en la tecnología blockchain y en su principal característica: inmutabilidad de los datos (es imposible eliminar algo que haya quedado registrado en la cadena de bloques).

¿Debemos decir, en consecuencia, que la blockchain resulta incompatible con el nuevo RGPD? La respuesta definitiva es no, ya que habría un mecanismo alternativo para conseguir que se cumpla con la regulación europea. La supresión de los datos no solo podría realizarse mediante su eliminación, sino que el reto para los administradores de blockchain será diseñar un mecanismo que permita hacer ilegible esa información. Es decir, si se consigue que los administradores de blockchain «tapen» o «escriban encima» de cierta información contenida en un bloque, haciendo que esta información relativa a los datos quede censurada, de manera que tecnológicamente resulte imposible leerla.

No obstante, eso va a suponer un debate ético dentro de la comunidad blockchain. Recordemos que su fundamento principal es la eliminación de prácticas delictivas o de corrupción, ya que se basa en la inmutabilidad de datos, por lo que si, cumpliendo con la normativa europea, se desarrolla un método para hacer ilegibles ciertos datos, ¿qué impide que este método se utilice también para suprimir otro tipo de información que algunos administradores quieran borrar? Volveríamos a un sistema parecido al actual.

Habrá que esperar a que la Unión Europea se pronuncie sobre el derecho al olvido y su compatibilidad con la tecnología blockchain, y de esa forma analizar las consecuencias que esta nueva norma tendrá en el sistema. No hay que olvidar que todavía cabe que la UE permita limitar este derecho dentro de esta tecnología, lo que solucionaría en gran parte el problema (aunque en detrimento del derecho del ciudadano).

La última gran novedad —de las que nos interesan en este artículo, ya que las introducidas por el RGPD constituyen una larga lista— es el derecho a la rectificación de los datos personales, que no tiene por qué presentar ningún problema con respecto a la blockchain, ya que, en principio, la información contenida en una cadena de bloques puede rectificarse cuantas veces se quiera mediante la inclusión de entradas a través de una orden de modificación.

Una vez más, todo este sistema queda a la espera de próxima regulación tanto europea como nacional, que no parece que vaya a mostrarse restrictiva ni que entorpezca la aplicación de esta tecnología, ya que el entorno económico europeo no se muestra muy dispuesto a rechazar avances tecnológicos que le permitan mantener o incrementar su importancia económica y la de sus empresas.

Lo que parece más probable esperar es que la UE tome una actitud garantista, estableciendo un equilibrio entre la promoción e implantación de los avances tecnológicos que supone el sistema blockchain a la vez que se aplica la regulación de protección de datos general a esta tecnología.

Es importante tener en cuenta que la inexistencia actual de regulación específica al respecto no debe entorpecer el crecimiento o la implantación de la tecnología blockchain, ya que el Derecho siempre ha ido un paso por detrás, regulando acerca de aspectos que se han ido haciendo visibles conforme la tecnología se iba implantando, como ocurrió con la regulación de los derechos a la propia imagen, que no se realizó hasta que las innovaciones de Internet pusieron de manifiesto su necesidad. Por tanto, es necesario que las innovaciones tecnológicas se vayan implantando y su normal uso por parte de los usuarios exteriorice algunos tipos de problemas. El desafío para el Derecho se encontrará en mantenerse a la altura y aprender a programar la regulación posterior.