Todas las entradas de Víctor Méndez

17Feb/19

A vueltas con los motores de búsqueda y el derecho al olvido

A VUELTAS CON LOS MOTORES DE BÚSQUEDA Y EL DERECHO AL OLVIDO

A vueltas con los Motores de Búsqueda y el Derecho al Olvido

El Abogado General Spunzar emitió el pasado 10 de enero su opinión hacia el Tribunal de Justicia de la Unión Europea (TJUE) sobre dos casos relativos a la desindexación de contenidos de los motores de búsqueda. El TJUE aún nos e ha pronunciado sobre estos asuntos, pero sus sentencias suelen seguir la línea de pronunciamiento del Abogado General.

  1. Datos sensibles y motores de búsqueda

Varios ciudadanos se encuentran enfrentados en un litigio frente al equivalente a la Agencia Española de Protección de Datos en Francia, CNIL (Comisión Nacional de Informática y Libertades), en relación con 4 decisiones de esta última, en la que niega a dichos ciudadanos la desindexación del archiconocido motor de búsqueda Google. El contenido que mostrarían las páginas web al ser accedidas desde el buscador introduciendo los apellidos de los afectados sería un fotomontaje satírico contra una política, un artículo en el que se menciona el cargo de uno de ellos como responsable de relaciones públicas de la Iglesia de la Cienciología, la investigación de la que fue objeto un político y la condena de otro de los afectados por agresión sexual a un menor.

El Conseil d’Etat plantea entonces diversas cuestiones prejudiciales al TJUE. La primera de ellas, sobre si resulta aplicable también a los motores de búsqueda la prohibición general de tratamiento de datos de categorías especiales (como son las opiniones políticas, las convicciones religiosas o filosóficas, o la sexualidad). El Abogado Spunzar explica entonces que, en su opinión, es necesario interpretar las disposiciones de la norma de modo que se tengan en cuenta las responsabilidades, competencias y responsabilidades reales de los motores de búsqueda. Así, concluye que al contrario de lo que sucedería con cualquier otro responsable, el buscador no decide si tratar datos sensibles o no, pues son otros responsables los que lo hacen por él. Por ello, dicha prohibición debe funcionar necesariamente a la inversa, realizando una verificación a posteriori, cuando el afectado presente una reclamación para su desindexación.

En su segunda cuestión prejudicial, el Conseil d’Etat plantea si existe una “obligación sistemática de desindexación a cargo de los gestores de motores de búsqueda”. El Abogado General se remite entonces a su respuesta anterior. También aplica a los motores de búsqueda la prohibición general de tratamiento de datos de categorías especiales, lo que obligaría a los motores de búsqueda a “aceptar sistemáticamente las solicitudes de desindexación relativas a vínculos que lleven a páginas de Internet en las que figuren tales datos, sin perjuicio de las excepciones previstas en la Directiva 95/46”.

La tercera cuestión prejudicial en ser abordada por el Abogado General, versa sobre el tratamiento de datos personales y la libertad de expresión. El artículo 9 de la Directiva 95/46 establece exenciones y excepciones para el tratamiento de datos con fines exclusivamente de periodismo o de expresión artística o literaria, en particular, siempre que sean necesarias para conciliar el derecho a la privacidad con las normas que regulan la libertad de expresión. En este sentido, el Abogado General concluye que el buscador deberá ponderar los casos en los que pueda resultar aplicable la excepción al tratamiento de datos por motivo del respeto a la libertad de información y expresión, circunstancia que permitiría el rechazo de una solicitud de desindexación.

Por último, el Abogado General da una respuesta muy similar a la última cuestión, relativa a aquellas solicitudes de desindexación sobre datos incompletos, inexactos u obsoletos, como los relativos a situaciones anteriores a la finalización de un procedimiento judicial. En este caso, el Abogado General, indica que el buscador deberá ponderar entre el respeto al derecho a la vida privada, el derecho a la protección de datos y el derecho a la libertad de información y de expresión.

  • Alcance territorial del derecho al olvido

El 21 de mayo de 2015 la CNIL requirió a Google que desindexara determinados resultados de búsqueda de su buscador para todas las extensiones territoriales del mismo, no solamente de las extensiones territoriales del buscador correspondientes a los territorios europeos. Google se negó a cumplir con este requerimiento, manteniendo una suerte de bloqueo geográfico. Es decir, los resultados de búsqueda serían accesibles a cualquier IP no europea visitando una extensión de dominio no europea. Tras esto, la CNIL impuso a Google una sanción de 100.000 euros, quien solicitó ante el Conseil d’Etat la anulación de dicha resolución. Por su parte el Conseil d’Etat decidió plantear varias cuestiones prejudiciales al TJUE sobre el asunto.

¿Debe interpretarse que el derecho al olvido obliga al gestor a retirar los enlaces “independientemente del lugar desde el que se realice la búsqueda a partir del nombre del solicitante, incluso fuera del ámbito de aplicación territorial de la Directiva de 24 de octubre de 1995”?

Según la opinión del Abogado General Spunzar el alcance territorial de la Directiva 95/46 se limita a los territorios de la Unión Europea, por lo que sugiere al TJUE que interprete que el operador del motor de búsqueda no está obligado a desindexar los enlaces objeto de solicitud fuera los territorios de la Unión Europea, garantizando que tal desindexación se realice a nivel europeo.

Por último, cabe reseñar una reciente sentencia del Tribunal Supremo (STS 12/2019) en la que el Tribunal interpreta, entre otros aspectos, el requisito de veracidad para el mantenimiento del vínculo en el motor de búsqueda a una noticia al buscar por el nombre de las personas involucradas en dicho hecho.

Víctor Méndez

Departamento Legal

17Feb/19

El abogado TJUE da un «like» a la corresponsabilidad del Tratamiento

EL ABOGADO DEL TJUE LE DA UN “LIKE” A LA CORRESPONSABILIDAD DEL TRATAMIENTO

El abogado del TJUE le da un “like” a la corresponsabilidad del tratamiento

El pasado 19 de diciembre de 2018, se publicó la edición provisional del documento de conclusiones del Abogado General del Tribunal de Justicia de la Unión Europea (TJUE), Michal Bobek sobre el asunto C-40/17 (caso Fashion ID GmbH & Co. KG contra Verbraucherzentrale NRW eV) en la que recoge sus apreciaciones a las preguntas planteadas por el Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, sobre el caso.

Antecedentes

El citado caso versa sobre una tienda online de moda (Fashion ID) que insertó en su tienda online un plug-in para mostrar el botón “Me gusta” de Facebook, de forma que, cuando un usuario accede a la página de Fashion ID y sin necesidad de interactuar con el citado botón, se envía a Facebook la IP del usuario y la secuencia (o identificación) del navegador de éste, independientemente de si el usuario es, a su vez, miembro de Facebook. Además, Facebook procedería a la instalación de cookies en el navegador del usuario (DATR y FR), que según el informe “Facebook Tracking Through Social Plug-ins” preparado por un grupo de expertos para la autoridad belga de protección de datos en junio de 2015, remitirían a Facebook un identificador único del navegador (DATR) y el ID de Facebook cifrado del usuario registrado, junto con el identificador único del navegador (FR).

El caso viene motivado por la demanda interpuesta por Verbraucherzentrale NRW eV (la demandante), una asociación alemana de protección de los intereses de los consumidores, que consideraba que dicho plug-in infringía la normativa sobre protección de datos. Concretamente, la demandante basaba su demanda en los siguientes puntos:

  1. Falta de información “de forma expresa y visible a los usuarios de la página web de la finalidad de la recogida de los datos así transmitidos y del uso de estos hasta el momento en que el proveedor del plug-in comienza a acceder a la dirección IP y a la secuencia del navegador del usuario”.
  2. Falta de consentimiento antes de que se produzca el tratamiento de los datos.
  3. Falta de información del derecho a revocar el consentimiento.

Así, el Tribunal Superior Regional de lo Civil y lo Penal de Düsseldorf, plantea al TJUE una serie de dudas sobre el caso. Entre dichas dudas se encuentra si la entidad administradora de Fashion ID debe ser considerada responsable del tratamiento con respecto al tratamiento de datos derivado del plugin.

Opinión del Abogado General

El Abogado General examina los conceptos de tratamiento y de responsable del mismo, conforme a la Directiva 95/46 (recordemos que este caso es anterior a la entrada en vigor del RGPD). Así, “responsable del tratamiento” comprende a toda persona que, «sol[a] o conjuntamente con otr[a]s, determine los fines y los medios del tratamiento de datos personales».

Del mismo modo, antes de pronunciarse, el abogado toma en consideración dos sentencias recientes del TJUE sobre el asunto.

Por un lado, se refiere a la Sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16), en la que se dictaminó la corresponsabilidad conjunta con Facebook del administrador de una página de fans en dicha red social, en tanto en cuanto ambos son los que delimitan los fines y los medios del tratamiento. En cuanto a los fines, el administrador de la página de fans, opta por configurar la página para facilitar la captación de determinados datos de sus usuarios por medio de cookies, para la elaboración de estadísticas, lo que, a su vez, permitía a Facebook la mejora de su sistema de publicidad. Precisamente, esa acción de configuración de la página de fans, fue determinante a la hora de considerar como corresponsable al administrador de la misma. Con respecto a los medios del tratamiento, es claro que el administrador de la página de fans opta voluntariamente por utilizar dicho medio para la recogida de datos.

Por otro lado, se remite también a la Sentencia de 10 de julio de 2018, Jehovan todistajat (C-25/17), en la que el Tribunal de Justicia realizó otra apreciación crucial con respecto al concepto de corresponsabilidad del tratamiento: “para que exista control conjunto y responsabilidad conjunta no es preciso que cada uno de los responsables tenga acceso a (todos) los datos personales de que se trate”. Por ejemplo, en el caso de referencia, “eran los miembros de la comunidad de los Testigos de Jehová quienes tenían la posesión física de los datos personales. Bastaba con que la actividad de predicación durante la cual se habían recabado los datos estuviese organizada, coordinada y fomentada por dicha comunidad” para considerar que ambas partes eran corresponsables del tratamiento.

El uno por el otro, la casa sin barrer

La aplicación de los estrictos criterios del TJUE, al considerar la corresponsabilidad en los casos apreciados, nos deja en una situación problemática.

El Abogado General apunta uno de los peligros de hacer una interpretación demasiado amplia del concepto de corresponsable, conforme a los criterios del TJUE, ya que una atribución de responsabilidad sobre una cosa a muchas partes, implica que en realidad nadie es responsable, facilitando conductas comúnmente conocidas como “escurrir el bulto”.

La duda generada sobre qué obligación incumbe a quién, puede implicar “una imposibilidad real de que un eventual corresponsable del tratamiento cumpla la normativa aplicable”, según el Abogado General. Entonces, ¿cómo podemos delimitar la responsabilidad de cada corresponsable? Es en este punto, cuando el Abogado se plantea la opción de que los corresponsables deban suscribir un contrato entre ellos en el que se delimiten dichas responsabilidades, algo que ya se recoge en el artículo 26 del RGPD, sin embargo, concluye que sería descabellado pensar que todos los administradores de páginas web que incluyen un botón de “Me gusta” de Facebook tuvieran que firmar un contrato de corresponsabilidad con éste, amén de su falta de capacidad o fuerza negociadora frente a la red social.

Fines y medios ¿quién es responsable de cada cosa?

Hasta aquí, según el criterio del TJUE, parece claro que ambas Fashion ID y Facebook deben ser tenidas como corresponsables del tratamiento. No obstante, lo que no resulta tan claro es si ambas entidades deben ser corresponsables de todo. No debemos olvidar que Fashion ID no tiene control ninguno de la información que Facebook recaba a través del plug-in que Fashion ID ha colocado en su página web.

Por ello, el Abogado General examina la siguiente mención de la STJUE Wirtschaftsakademie Schleswig-Holstein “la existencia de una responsabilidad conjunta no se traduce necesariamente en una responsabilidad equivalente de los diversos agentes a los que atañe un tratamiento de datos personales [sino que] esos agentes pueden presentar una implicación en distintas etapas de ese tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto”. De ello se desprende, según la opinión del Abogado, que cada parte debería tener la responsabilidad justa que le corresponde en función de su participación en las operaciones de tratamiento que se realicen conjuntamente como corresponsables:

“Un responsable (conjunto) del tratamiento tiene responsabilidad por la operación o la serie de operaciones en relación con las cuales comparta o codetermine los fines y los medios respecto a una determinada operación de tratamiento. En cambio, esa persona no puede ser considerada responsable ni de las fases anteriores ni de las posteriores de la cadena de tratamiento con respecto a las cuales no estuviera en condiciones de determinar ni los fines ni los medios.”

Conclusiones

En el caso que nos ocupa, la opinión del Abogado General es que tanto Fashion ID como Facebook deben ser consideradas corresponsables del tratamiento de las operaciones de tratamiento que realizan de forma conjunta, puesto que considera que en este caso existe una “unidad de fines” y de medios.

En cuanto a los fines, Fashion ID ocasiona voluntariamente la recogida del dato por parte de Facebook con el deseo de aumentar la visibilidad de sus productos, mientras que Facebook utiliza los datos con sus propios fines comerciales.

Por lo que respecta a los medios, Fashion ID ha escogido voluntariamente disponer en su página web del botón “Me gusta” de Facebook. Precisamente esta elección, junto con la unidad de fines anterior, pone a Fashion ID en la posición del responsable del tratamiento con respecto a dicha recogida de datos.

Del mismo modo, el Abogado considera que la responsabilidad de Fashion ID “debe limitarse a la fase del tratamiento de datos en la que participa, y que no se puede extender a todas las eventuales fases ulteriores del tratamiento si se producen fuera de su control y, según parece, incluso sin su conocimiento”.

Víctor Méndez

Legal Department

Áudea Seguridad de la Información

17Feb/19

Un año más de Privacy Shield

Un año más de Privacy Shield

El pasado mes de julio de 2018, tras el escándalo de Cambridge Analytica, el Parlamento Europeo pedía la suspensión del acuerdo Privacy Shield, si a fecha 1 de septiembre EEUU no cumplía con la totalidad del acuerdo mediante la publicación de su resolución 2018/2645.

Tras unos meses de incertidumbre, la llegada del 1 de septiembre no supuso la suspensión del acuerdo Privacy Shield como pedía el Parlamento Europeo en su resolución. Ahora, la Comisión Europea publica el segundo informe anual sobre el estado del Privacy Shield.

El informe viene a constatar que EEUU sigue siendo considerado como un destino que garantiza un nivel adecuado de protección para los datos personales que allí se transfieran, siempre que la empresa esté adherida al acuerdo Privacy Shield. Como principales puntos de mejora, se cita el refuerzo del proceso de certificación y supervisión activa del acuerdo Privacy Shield por parte del Departamento de Comercio de EEUU. Entre las medidas de refuerzo figuran los controles aleatorios a empresas para comprobar que se ajustan al Privacy Shield, así como el examen de páginas web para velar por que los enlaces a sus políticas de privacidad sean correctos.

La Comisión continúa demandando algunos de los puntos que también se demandaron en el primer informe anual sobre el estado del Privacy Shield, como el nombramiento de un Defensor del Pueblo con carácter permanente. La Comisión es tajante en su informe, indicando que se espera su nombramiento antes del 28 de febrero de 2019, bajo amenaza de adopción de las medidas adecuadas de conformidad con el Reglamento general de Protección de Datos, lo que podría implicar, nuevamente, la suspensión del acuerdo Privacy Shield.

Víctor Méndez

Legal Department

Áudea Seguridad de la Información

17Feb/19

Blockchain y RGPD ¿Destinados a entenderse? Parte II

Blockchain y RGPD ¿destinados a entenderse? – Parte II

Como vimos en la primera parte de este artículo, la tecnología blockchain no es en sí misma incompatible con el RGPD. Afirmar algo así sería como decir que los smartphones son incompatibles con el RGPD o que la propia internet lo es. Blockchain es tan solo una tecnología disponible de la que se pueden hacer distintos usos. Son estos usos los que podrían ser contrarios al RGPD. A continuación, examinamos algunas de las dificultades que existen hoy en día para el uso de la tecnología blockchain, asegurando el respeto al RGPD.

“Tensiones” con el RGPD y algunas soluciones

No obstante, el uso de la tecnología blockchain presenta importantes retos para los actores que decidan ponerla en práctica, ya que existen cuestiones aún por clarificar en relación a su uso. A continuación citamos algunas de las tensiones y soluciones que aparecen recogidas en el informe del observatorio de la UE para blockchain:

  1. Dificultad o imposibilidad de identificar al responsable: Esta dificultad es más acusada dependiendo del tipo de red.
  1. Redes públicas: En una red pública como la Bitcoin, resulta extremadamente difícil, si no imposible, determinar quién es el responsable del tratamiento de los datos, ya que la red se encuentra completamente distribuida, y no hay un actor claro que la ordene o tome decisiones sobre ella.
  • Redes privadas: En una red privada resultaría más sencillo dedefinir el responsable o el conjunto de responsables del tratamiento. Podríamos entender que, si la red se comparte entre diversas entidades, podrían considerarse corresponsables del tratamiento de los datos.

Solución: Pese a que no existe una fácil solución, el informe aboga por considerar responsables del tratamiento a las entidades que incluyan datos personales en una red pública. En redes privadas, aboga por que las partes que compongan la red privada delimiten su posición respecto del tratamiento, sugiriendo el modelo de corresponsabilidad.

  • Dificultad para determinar la base legitimadora:
  1. Redes públicas: En este tipo de redes, el único requisito para introducir datos en la blockchain es descargar un software cliente. Junto con la dificultad o imposibilidad de determinar el responsable del tratamiento, se encontraría la dificultad de determinar la base legitimadora para el tratamiento de los datos. Por ejemplo, ¿a quién debería el usuario dar su consentimiento? ¿Quién sería el encargado de solicitarlo, informarle y guardarlo?. ¿Y si entendemos que por el mero hecho de usar la tecnología se está dando un consentimiento? El RGPD estipula que el consentimiento debe ser específico, expresado mediante una clara acción afirmativa.

Por otro lado, podríamos entender que, por el hecho de utilizar la tecnología podríamos ampararlo en la necesidad para la ejecución de un contrato, sin embargo, estaríamos ante un contrato sin una contraparte y sin unos términos y condiciones claros.

  • Redes privadas: En redes privadas el problema se podría solventar mediante la firma de un contrato entre las partes, de tal forma que se identifica a todas y existen unos términos y condiciones ciertos para el uso de dicha red.

Solución: Evitar el uso de una blockchain pública para almacenar datos personales y únicamente introducir datos personales en una red privada si es estrictamente necesario. Todo ello hasta que existan tecnologías de cifrado que permitan guardar tan solo las pruebas de la existencia de determinados documentos o hechos, sin introducir los propios datos.

  • Dificultad para cumplir con los derechos de rectificación y supresión: Por la inmutabilidad de la propia blockchain, independientemente del modelo de red, nos encontramos ante una dificultad difícil de superar. Y es que la blockchain no está diseñada para ser alterada, puesto que en eso reside la confianza que los usuarios depositan en la misma.

Solución: Nuevamente, evitar la introducción de datos personales en una blockchain. Aunque cabe destacar que en el informe que publicó la agencia de protección de datos francesa (CNIL) se hablaba de que el RGPD no especifica lo que debe entenderse por supresión de los datos, dejando abierta la posibilidad de emplear determinadas técnicas de encriptación, junto con la destrucción de claves de descifrado de la información (lo que conllevaría que nadie pudiera acceder a los datos) pudiera considerarse como una forma de supresión. No obstante, todavía se está trabajando en fórmulas para garantizar la rectificación de los datos.

  • Dificultad para ejercer el derecho de acceso: El derecho de acceso se define como el derecho a obtener del responsable del tratamiento una confirmación acerca de si está tratando datos de un afectado, en su caso, concretar qué datos, para qué finalidades, s se comunican a terceros, etc. Precisamente la dificultad de determinar un responsable hace que difícilmente se pueda llevar a la práctica este derecho.

Solución: En este caso la solución pasa por determinar un responsable encargado de informar al usuario.

  • Decisiones automatizadas basadas en el tratamiento automatizado de los datos: Otro de los derechos que recoge el RGPD indica que los interesados tienen derecho a no ser objeto de decisiones automatizadas basadas únicamente en el tratamiento automatizado que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Así los interesados tendrían derecho a la intervención de un humano para verificar dicha decisión automatizada. Aunque minoritario todavía, la blockchain se utiliza también para la elaboración de “smart contracts”, contratos que se programan en la propia blockchain para que se ejecuten de forma automática cuando se dan una serie de circunstancias.
  • Territorialidad: Por la propia naturaleza descentralizada, puede ser muy difícil de controlar que la información que se introduce en una blockchain pública no se aloje en territorios que no ofrezcan un nivel de protección equivalente a la Unión Europea.

Solución: El empleo de una red privada, cuyos servidores se encuentren ubicados en territorios que garanticen un adecuado nivel de protección.

Conclusiones

La tecnología blockchain es, sin duda, una herramienta muy poderosa que ya está contribuyendo con cambios en algunos modelos de negocio. No obstante, su verdadero potencial está aún por explotar. Son evidentes las tensiones que se producen entre el empleo de esta tecnología y la adecuada aplicación del RGPD para las que, por ahora, no existe una solución. Mientras el legislador, agencias de control y el Comité Europeo de Protección de Datos se pronuncian respecto a determinados aspectos sobre el uso de esta tecnología en relación con el RGPD, las empresas que decidan hacer uso de la misma, deberán actuar con suma cautela, evitando siempre incluir datos personales en la blockchain.

Víctor Méndez

Legal Department

Áudea Seguridad de la Información

17Feb/19

Blockchain y RGPD ¿Destinados a entenderse? Parte I

Blockchain y RGPD ¿destinados a entenderse? – Parte I

Cuando el misterioso Satoshi Nakamoto lanzó Bitcoin allá por el año 2009, muchos no éramos conscientes de la revolución que ello podría desatar en muchos aspectos. Y es que La criptomoneda Bitcoin (BTC), venía acompañada de un compañero de viaje muy especial, tan especial, que lo guardaba en su corazón: Blockchain.

¿Qué es blockchain?

Podríamos definir blockchain muy a grandes rasgos, como una base de datos. Hay quien lo define como un libro de contabilidad en el que se van añadiendo los distintos asientos contables, uno detrás de otro. Pero pensemos en una base de datos donde almacenamos información.

Esta base de datos es un poco particular. La primera implementación de la tecnología blockchain se hace en 2009 de la mano de bitcoin. Es la primera implementación de una blockchain pública en donde cualquier persona que descargue el software puede participar, y donde la información de esta blockchain no tiene ningún tipo de restricción en cuanto a su acceso (por ejemplo, puede ser consultada con herramientas como el explorador de bloques).

A parte de su publicidad, otra característica que hace única a esta base de datos tan particular es que se encuentra distribuida. Dicha base de datos se encuentra replicada en miles de nodos a lo largo del mundo. Estos nodos son máquinas (ordenadores y servidores) que se encargan de escribir y mantener viva la blockchain, manteniendo sincronizados los datos entre todas ellas.

Así, la primera blockchain es una base de datos que puede ser pública y que se encuentra distribuida. Además de estas características, blockchain guarda un último secreto. Es una base de datos de un solo sentido, es decir, una vez introducida la información en la blockchain, ésta no puede alterarse ni borrarse.

¿Qué tipos de redes de blockchain existen?

Dado que blockchain es una tecnología descentralizada de base de datos, necesitan de una red para funcionar. Esta red de blockchain se encuentra formada por nodos (ordenadores y servidores) que pueden ser de dos tipos:

  1. Nodos de validación: Son los únicos nodos que pueden añadir datos a la blockchain.
  2. Nodos participantes: Son los que guardan una copia sincronizada de los datos de la blockchain.

Según un reciente informe del observatorio de la UE para blockchain, existen tres tipos de redes de blockchain:

  1. Redes públicas y sin permisos, donde cualquiera puede participar como un nodo de validación o como un nodo participante. Los únicos requisitos para participar activamente son instalar el software cliente y bajar una copia de la blockchain. En este tipo de redes, todos los nodos pueden ver los datos almacenados en la blockchain.
  2. Redes públicas y con permisos: en este tipo de redes cualquiera puede participar y ver los datos almacenados en la blockchain, pero solamente algunos actores podrán actuar como nodos de validación y, por tanto, añadir datos a la blockchain.
  3. Redes privadas y con permisos, donde los nodos de validación deben ser autorizados por quienes dispongan de dicha red y donde suele haber normas que definen quién está autorizado a ver los datos de la blockchain.

La tecnología blockchain, ¿cumple con el RGPD?

Dada la propia naturaleza de blockchain, se ha generado la percepción de que es totalmente incompatible con el RGPD. No obstante, toda tecnología es neutra en sí misma. Todo depende del uso que se haga de la misma. Si mediante el uso de una tecnología se incumplen las normas o se genera un daño, no significa que la tecnología en sí sea ilícita, sino que alguien se vale de ella para atentar contra las normas. Con blockchain viene a suceder lo mismo. Se trata de una tecnología muy poderosa que no tiene por qué considerarse incompatible con el RGPD. Efectivamente, existen tensiones evidentes entre los casos de usos de blockchain y el RGPD, como la dificultad de rectificar y suprimir los datos que se han introducido previamente en una blockchain, pero esto será objeto de la segunda parte de este artículo.

Víctor Méndez

Departamento Legal

www.audea.com