Archivos de la etiqueta: RGPD

17Feb/19

Blockchain y RGPD ¿Destinados a entenderse? Parte I

Blockchain y RGPD ¿destinados a entenderse? – Parte I

Cuando el misterioso Satoshi Nakamoto lanzó Bitcoin allá por el año 2009, muchos no éramos conscientes de la revolución que ello podría desatar en muchos aspectos. Y es que La criptomoneda Bitcoin (BTC), venía acompañada de un compañero de viaje muy especial, tan especial, que lo guardaba en su corazón: Blockchain.

¿Qué es blockchain?

Podríamos definir blockchain muy a grandes rasgos, como una base de datos. Hay quien lo define como un libro de contabilidad en el que se van añadiendo los distintos asientos contables, uno detrás de otro. Pero pensemos en una base de datos donde almacenamos información.

Esta base de datos es un poco particular. La primera implementación de la tecnología blockchain se hace en 2009 de la mano de bitcoin. Es la primera implementación de una blockchain pública en donde cualquier persona que descargue el software puede participar, y donde la información de esta blockchain no tiene ningún tipo de restricción en cuanto a su acceso (por ejemplo, puede ser consultada con herramientas como el explorador de bloques).

A parte de su publicidad, otra característica que hace única a esta base de datos tan particular es que se encuentra distribuida. Dicha base de datos se encuentra replicada en miles de nodos a lo largo del mundo. Estos nodos son máquinas (ordenadores y servidores) que se encargan de escribir y mantener viva la blockchain, manteniendo sincronizados los datos entre todas ellas.

Así, la primera blockchain es una base de datos que puede ser pública y que se encuentra distribuida. Además de estas características, blockchain guarda un último secreto. Es una base de datos de un solo sentido, es decir, una vez introducida la información en la blockchain, ésta no puede alterarse ni borrarse.

¿Qué tipos de redes de blockchain existen?

Dado que blockchain es una tecnología descentralizada de base de datos, necesitan de una red para funcionar. Esta red de blockchain se encuentra formada por nodos (ordenadores y servidores) que pueden ser de dos tipos:

  1. Nodos de validación: Son los únicos nodos que pueden añadir datos a la blockchain.
  2. Nodos participantes: Son los que guardan una copia sincronizada de los datos de la blockchain.

Según un reciente informe del observatorio de la UE para blockchain, existen tres tipos de redes de blockchain:

  1. Redes públicas y sin permisos, donde cualquiera puede participar como un nodo de validación o como un nodo participante. Los únicos requisitos para participar activamente son instalar el software cliente y bajar una copia de la blockchain. En este tipo de redes, todos los nodos pueden ver los datos almacenados en la blockchain.
  2. Redes públicas y con permisos: en este tipo de redes cualquiera puede participar y ver los datos almacenados en la blockchain, pero solamente algunos actores podrán actuar como nodos de validación y, por tanto, añadir datos a la blockchain.
  3. Redes privadas y con permisos, donde los nodos de validación deben ser autorizados por quienes dispongan de dicha red y donde suele haber normas que definen quién está autorizado a ver los datos de la blockchain.

La tecnología blockchain, ¿cumple con el RGPD?

Dada la propia naturaleza de blockchain, se ha generado la percepción de que es totalmente incompatible con el RGPD. No obstante, toda tecnología es neutra en sí misma. Todo depende del uso que se haga de la misma. Si mediante el uso de una tecnología se incumplen las normas o se genera un daño, no significa que la tecnología en sí sea ilícita, sino que alguien se vale de ella para atentar contra las normas. Con blockchain viene a suceder lo mismo. Se trata de una tecnología muy poderosa que no tiene por qué considerarse incompatible con el RGPD. Efectivamente, existen tensiones evidentes entre los casos de usos de blockchain y el RGPD, como la dificultad de rectificar y suprimir los datos que se han introducido previamente en una blockchain, pero esto será objeto de la segunda parte de este artículo.

Víctor Méndez

Departamento Legal

www.audea.com

13Jul/18

¿A un administrador de una página de fans de Facebook se le aplica el GDPR?

Muchas veces, las actividades cotidianas que solemos realizar a lo largo del día pueden acarrear algún riesgo que solemos tener presente o, inocentemente, no nos percatamos de ello. Por ejemplo, quién iba a decir que el mero hecho de ser administrador de una página de fans de Facebook te hacía ser responsable de datos personales de todos los visitantes de dicha página (sean usuarios de Facebook o no), pues ha sido el Tribunal de Justicia de la Unión Europea quien lo ha dicho.

SI no era suficiente el revuelo causado por la aplicación del RGPD, esta nueva resolución del tribunal iba a constatar que una actividad tan “inofensiva” conllevarse la aplicación de toda la legislación sobre protección de datos cayese sobre el administrador.

En efecto, el Tribunal de justicia se basa para ello, que un administrador de páginas de fans trata una serie de datos personales tales como edad, sexo, situación sentimental y profesión, información sobre el estilo de vida y los intereses de su audiencia destinataria, así como información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, las categorías de productos o servicios que más les interesan, además de datos geográficos.

Toda esta recogida de datos que puede realizar dicho administrador permite configurar y dirigir los contenidos que puede crear el administrador de una página de Facebook, con lo que, a ojos del RGPD y del Tribunal, supone determinar la finalidad en el tratamiento de dichos datos personales, lo que automáticamente lo convierte en “responsable del tratamiento”.

Pero el administrador no está solo: para que este pueda recabar toda esa información, Facebook instala “cookies” en dicha página para recabar los datos de los usuarios no solo para facilitar la labor del administrador, sino también para tratarlos con el fin de configurar su propia publicidad. Esto convierte a Facebook en corresponsable junto con el administrador; pero no son responsables por igual, sino que hay que determinar cuál de las partes interviene más en el tratamiento.

La relación entre el administrador y Facebook como corresponsables debe regularse mediante un contrato donde determine las responsabilidades que tiene cada parte en el tratamiento, por lo que tendremos que estar atentos a las políticas de Facebook para páginas de fans para los posibles cambios en esta de cara a los administradores.

A partir de ahora, los administradores deberán informar sobre la finalidad de la recogida de los datos, el ejercicio de los derechos, uso de cookies, y todas las obligaciones de información que se recogen en el artículo 13 del RGPD, y que cuyo incumplimiento podría acarrear sanciones de diversas índoles, como advertencias o multas.

Para más información, consulte la sentencia

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

13Jul/18

Las nuevas obligaciones de los proveedores de cloud computing

El RGPD (GDPR en sus siglas en inglés) ha alterado en panorama europeo (si no mundial) de la protección de datos, y la gran mayoría de actores se están preparando para una norma mucho más exigente  que la vigente durante años, que va a afectar a servicios cuyo objeto de negocio es el tratamiento de los datos personales.

 

Uno de estos servicios es el cloud computing, consistente en el almacenamiento en servidores ajenos repartidos en diferentes localizaciones y a cuya información se puede acceder desde cualquier dispositivo con conexión a internet, y mundialmente famosos por servicios como Google Drive o OneDrive. El contrato con este servicio conlleva externalizar el tratamiento de datos (encargar en el lenguaje del Reglamento), y esto conlleva una serie de responsabilidades para ambas partes.

 

En primer lugar, es necesario formalizar la relación mediante un contrato por el cual se determinen los roles de cada parte. Este contrato estipulará el régimen de la protección de datos y, en especial, 1) el objeto y duración del tratamiento, 2)  la finalidad, 3) las categorías de personas y datos personales tratados, y 4) las instrucciones respecto al fin del tratamiento.

 

Una característica clave de los proveedores de servicios cloud (véase Google, Microsoft o Amazon) es que muchas veces es necesario integrar en el propio servicio elementos de otras empresas, y las cuales tienen responsabilidad en el tratamiento de datos. Para ello, es necesario que en ese contrato se autorice la contratación de servicios con esas terceras empresas para poder desplegar un servicio cloud correctamente.

 

Como se ha dicho anteriormente, los servidores pueden estar distribuidos en varios países, ya no solo dentro de la Unión Europea, también de otros países ajenos a esta. Esto significa que si alguien “sube” datos personales, pueden estar almacenados fuera de la UE. El RGPD impone férreas obligaciones para poder transferir datos fuera de la UE, como la exigencia de garantizar la seguridad de los datos en ese otro país, o que la UE haya declarado a ese país como “seguro”.

 

La seguridad se presenta clave en estos servicios, puesto que al encargar el tratamiento de los datos a otra empresa, se puede llegar a perder el control de estos. Es por ello que la empresa responsable del tratamiento debe asegurar que el proveedor de servicios cloud aplica las suficientes medidas de seguridad. Esto se puede conseguir mediante acuerdos contractuales o certificaciones en materia de seguridad.

 

Los proveedores de servicios cloud se enfrentan a una nueva era en la protección de datos, los cuales tienen la oportunidad de dar valor añadido a su servicio asegurando una adecuada seguridad en él; está en su mano dar prioridad a la privacidad en este nuevo contexto.

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información