Compatibilidad y encaje legal de la tecnología blockchain con la normativa sobre protección de datos personales

• Autores: Gerard Espuga Torné
• Localización: La Ley mercantil, ISSN-e 2341-4537, Nº. 84 (octubre), 2021
• Idioma: español
• Texto completo no disponible (Saber más ...)
• Resumen
  • español

    Es evidente que el ecosistema Blockchain se diseñó para evitar la intromisión de agentes estatales o corporativos en la operativa de los usuarios, por lo que no fue diseñado teniendo en cuenta el cumplimiento normativo y, en particular, el cumplimiento de la normativa sobre protección de datos personales. No obstante, el desarrollo de las cadenas de bloques no puede quedar en una especie de «limbo alegal», sino que deben acomodarse y desarrollarse técnicamente teniendo en cuenta los requerimientos del RGPD y normativa concordante. Como veremos, en las cadenas de bloques múltiples sujetos intervienen en la determinación de los fines y medios del tratamiento de datos personales, por lo que la determinación del responsable y encargado del tratamiento es confusa y no puede establecerse de manera generalizada, sino que dependerá de la configuración técnica de cada red. Además, la excepción del ámbito doméstico (art. 2.2. RGPD), por la propia descentralización de las redes blockchain, no puede ser aplicada de manera pacífica pues, al agregarse datos propios del usuario a la cadena de bloques, se agregan, a su vez, datos de terceros que serán distribuidos en múltiples nodos y, por tanto, serán accesibles por una cantidad indeterminada de personas, lo que podría conllevar que la persona física que realiza una transacción en el ámbito doméstico pueda ser considerada responsable del tratamiento y, consiguientemente, se le aplique la normativa sobre protección de datos personales. Por la propia configuración de las cadenas de bloques, que dotan a los datos almacenados en las mismas de integridad e inmutabilidad, el ejercicio de derechos por parte de los interesados plantea también problemas de ejecución que deben sumarse a la indeterminación de los sujetos responsables del tratamiento y, por tanto, a la identificación de ante quién deben ejercitarse dichos derechos, sobre todo, en redes de carácter público.

  • English

    Is evident that the Blockchain ecosystem was designed to avoid intrusion of state or corporative agents into the operations carried out by users, meaning it was not designed observing the compliance of normativity, particularly the fulfillment of regulations about personal data protection. Development of blockchains should not be left in a sort of «legal limbo» and should be technically developed having in consideration requirements from GDPR and related regulations. As we see, in blockchains, multiple people participate to determine goals and methods of how personal data is treated, consequently it is difficult and confusing to determine responsibility, and cannot be generally established, but will depend on each technical setting net. In addition, the exception of the domestic scope (art. 2.2. GDPR) due to the decentralization of blockchain networks, cannot be applied peacefully because when the user added data to the blockchain, third party data will be simultaneously added and distributed through multiple nodes, therefore, data will be accessible by an undetermined number of people. This could mean that the individual who is carrying out a transaction on the domestic scope, could be considered controller and consequently data protection regulation would be applied. Blockchains own configuration provides integrity and immutability to the data stored in them, the exercise of rights by the interested parties, raises also execution problems that must be added to the indeterminacy of the controllers and, therefore, to the identification of to whom those rights should be exercised in public networks