Por María José González.
Abogada por la Universidad de los Andes y cuenta con un Diplomado en Propiedad Intelectual de la Pontificia Universidad Católica de Chile. Ha realizado diversos cursos de especialización en materia de Blockchain, Inteligencia Artificial y Protección de Datos Personales. Es socia fundadora de Legalgoat, estudio de abogados especializado en Tecnología, Protección de Datos y Propiedad Intelectual. En 2016 fundó Fashion Law Chile. Actualmente cursa el programa CS50’s Computer Science for Lawyers de HarvardX.
No cabe lugar a duda que el Blockchain ha llegado a revolucionar la forma en que funciona el mundo. En el último tiempo hemos escuchado hablar de los beneficios de los Smart Contracts, por ejemplo, que se almacenan en la red de Blockchain, los cuales aportan múltiples beneficios en materia de eficiencia y reducción de costos, así como también de beneficios en materia de aumento de la transparencia y reducción de conflictos. Sin embargo, ¿qué implicancias tiene el Blockchain en materia de protección de datos personales? Es necesario partir por el principio.
Blockchain es un tipo de tecnología de registro distribuido según la cual los registros se guardan en la forma que se conoce como “cadena de bloques”. Dichos bloques están vinculados entre sí mediante métodos criptográficos sin posibilidad de ser modificados posteriormente. Para añadir nuevos datos en este registro se requiere del denominado “consenso distribuido”, es decir, el consenso de los nodos que conforman dicha red. La forma en la que se logra ese consenso dependerá de cada sistema Blockchain. Entre los algoritmos de consenso más comunes se encuentran el Proof-of-Work (PoW), Proof-of-Stake (PoS) y el Proof-of-Authority (PoA).
Existen diversos proyectos de Blockchain, éstos pueden clasificarse en Blockchain Públicas (caso de Ethereum y Binance Smart Chain), Blockchain Privadas (Hyperledger) y Blockchain federadas o de consorcio. Ethereum, fundada por Vitalik Buterin, es la principal red de Blockchain encargada de gestionar Smart Contracts.
Un Smart Contract o Contrato Inteligente es un programa informático almacenado en la red de Blockchain, que se autoejecuta por sí mismo cuando se cumple la condición para la que fue programado. El concepto de ‘Smart Contract’ fue acuñado por primera vez en la década de los ‘90 por Nick Szabo, abogado y criptógrafo norteamericano.
Es de relevancia distinguir el “Smart Contract” o “Smart Contract Code” de lo que es el “Smart Legal Contract”. El Smart Contract Code hace referencia a la secuencia de código informático (software) autoejecutable, que utiliza la lógica condicional (“si/entonces”) para evaluar si se cumple una o más de las condiciones predefinidas. En cambio, el Smart Legal Contract hace referencia a contratos legales que cumplan con los requisitos legales esenciales de los contratos y que se encuentran parcial o totalmente representados o ejecutados por software.
Respondiendo a la interrogante planteada en un comienzo, el Blockchain genera grandes discusiones en materia de protección de datos personales. Una de las razones de lo anterior se debe a la existencia de una dicotomía entre la inmutabilidad de la tecnología de los registros distribuidos, por un lado, y por otro los derechos de cancelación y rectificación consagrados en la Ley 19.628 y en el Proyecto de Ley de Protección de Datos personales.
La inmutabilidad de la tecnología de registros distribuidos se traduce en que los datos una vez almacenados no pueden ser modificados. Si bien en nuestro país no existe experiencia en la materia, en Europa existe literatura [1] que plantea por ejemplo que el derecho de rectificación contemplado en el GDPR podría ser ejercido agregando un nuevo bloque con la información corregida a la cadena sin necesidad de eliminar el bloque que contiene la información errónea, sin embargo, no existe jurisprudencia sobre la materia.
Otra discusión que plantea la relación del Blockchain y la Protección de Datos es si los datos contenidos en la cadena son considerados datos personales. Para ahondar en aquello es necesario hacer la distinción entre dato y dato personal. El primero, refiere a cualquier tipo de información referente a hechos, eventos, etc. En cambio, el segundo se refiere a cualquier información concerniente a una persona natural, identificada o identificable. Es en este punto precisamente donde se encuentra la interrogante, ¿se identifican o son identificables los intervinientes en dicha red?
La normativa actual en materia de protección de datos chilena sólo define la disociación (o anonimización) de los datos personales, sin incurrir en muchos detalles y sin referirse a la seudonomización de ellos. El Proyecto de ley en cambio, nos indica que el dato anonimizado (bajo este supuesto el dato no se asocia ni podría identificarse a una determinada persona) deja de ser un dato personal, por tanto, si en la cadena los datos estuviesen anonimizados no habría problema alguno, ya que no habría tratamiento de datos personales.
En lo referente a la seudonimización, el Proyecto la define como el tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujetas a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable. Por lo tanto, en un principio, si se toman las medidas organizativas para resguardar dicha información adicional que no permita identificar al titular de datos, la norma da a entender, sin decirlo expresamente como en el caso de la anonimización, que dicho dato deja de ser dato personal. Sin perjuicio a lo anterior, queda abierta la posibilidad de que sea identificable.
¿Cuál es la experiencia europea? El Comité Europeo de Protección de Datos ha señalado que los datos seudonimizados si se consideran datos personales y, por tanto, quedan bajo el amparo del GDPR. Ahora, ¿cómo se encuentran los datos alojados en la cadena? Éstos pueden encontrarse encriptados o en forma de hash function, de tal forma que no resulta fácil identificar si con esta información podría llegar a identificarse a una persona, como podría suceder en el caso de las Public Keys, de esa manera identificar aquellos datos como datos personales. Otra interrogante que dejaremos para más adelante es la determinación de la figura del responsable (el ‘Data Controller’ en el GDPR). De este modo, son muchas las interrogantes planteadas al momento de intentar aplicar la normativa en materia de protección de datos personales a la tecnología Blockchain, las cuales se espera obtener respuestas conforme esta tecnología va formando parte de nuestras vidas.
[1] The tension between GDPR and the rise of blockchain technologies, CMS Legal Services EEIG (2019)
