+ INFORMACIÓN

Logo Eip Nuevo
EIP Talent Acceso alumnado
  • es_ES
  • en_GB

¡Comparte en redes sociales!

Blockchain y el Derecho de Supresión: Retos y Soluciones Técnicas para el Cumplimiento del RGPD

por
abstract image uhd wallpaper

La tecnología blockchain, conocida por su inmutabilidad y transparencia, plantea un desafío significativo en el contexto de la protección de datos personales, especialmente cuando se trata de garantizar el ejercicio de derechos fundamentales como el derecho de supresión establecido en el Reglamento General de Protección de Datos (RGPD). Dado que los datos almacenados en una blockchain, por su propia naturaleza, son difíciles de modificar o eliminar, surge una aparente contradicción entre las características de esta tecnología y las obligaciones legales impuestas por la normativa de protección de datos.

En este contexto, la Agencia Española de Protección de Datos (AEPD) ha desarrollado una Prueba de Concepto (PoC) para explorar cómo podría aplicarse el derecho de supresión en una infraestructura basada en blockchain. Este artículo analiza, desde una perspectiva técnica y regulatoria, las implicaciones de esta iniciativa, detallando las soluciones propuestas y reflexionando sobre los retos que plantea la implementación de estas medidas.

Blockchain y el Derecho de Supresión: Un Conflicto Aparente

La blockchain es una tecnología de registro distribuido que asegura la integridad y trazabilidad de los datos mediante la generación de bloques encadenados y validados por consenso. Sus principales características incluyen:

  1. Inmutabilidad: Una vez que los datos son registrados en la blockchain, no pueden ser alterados sin invalidar todos los bloques posteriores.
  2. Transparencia: Los datos almacenados son accesibles y verificables por los participantes de la red.
  3. Descentralización: La blockchain no depende de una única entidad o servidor, lo que dificulta su manipulación.

Sin embargo, el derecho de supresión recogido en el artículo 17 del RGPD establece que las personas tienen derecho a solicitar la eliminación de sus datos personales si ya no son necesarios para los fines para los que fueron recogidos, si se retira el consentimiento o si se oponen al tratamiento, entre otros supuestos. Esto entra en conflicto con la naturaleza inmutable de la blockchain, pues el diseño de esta tecnología dificulta la eliminación efectiva de los datos.

La Prueba de Concepto de la AEPD: Un Enfoque Innovador

La AEPD, consciente de este desafío, ha desarrollado una PoC centrada en la facilitación del derecho de supresión en una infraestructura blockchain basada en Ethereum. El objetivo principal es explorar cómo una combinación de medidas técnicas y de gobernanza puede permitir el cumplimiento del RGPD sin comprometer las propiedades esenciales de la blockchain.

Aspectos Clave de la PoC

  1. Infraestructura Blockchain
    La PoC utiliza una blockchain privada y permisionada, configurada con dos nodos validadores en modo archive. Esto permite tener un control más estricto sobre los participantes y facilita la gestión de los datos personales almacenados.
  2. Gobernanza y Políticas
    Se establecen medidas organizativas y políticas que regulan el acceso a los datos y los procedimientos para ejecutar el derecho de supresión.
  3. Técnicas de Supresión
    La PoC propone una solución basada en la sobrescritura de datos en la base de datos subyacente de los nodos (leveldb) mediante un Hard Fork. Este procedimiento permite eliminar el rastro de los datos personales sin comprometer la funcionalidad general de la blockchain.
blockchain
Blockchain technology

1. Sobrescritura de Datos en los Nodos

En la PoC, los datos personales que se deben suprimir se identifican en las bases de datos de los nodos. Estas bases de datos utilizan estructuras de datos como los árboles Merkle-Patricia Trie para almacenar la información de las transacciones y los estados de las cuentas. El procedimiento de supresión implica:

  • Detección de los datos afectados: Se analizan las transacciones y los estados de las cuentas para identificar los bloques, transacciones y estructuras de almacenamiento donde aparecen los datos personales.
  • Sobrescritura de valores: Los valores relacionados con los datos personales se sobrescriben con valores constantes (por ejemplo, 0xaaaaaaaa…). Esto incluye:
    • Los campos de las transacciones.
    • Los nodos hoja en el árbol de estado (State Trie).
    • Los valores almacenados en los Smart Contracts.

2. Hard Fork para Gestionar la Inconsistencia

La sobrescritura de datos en los nodos crea una inconsistencia en la cadena de bloques original, ya que los valores modificados no coinciden con el resto de los nodos. Para resolver esto, la PoC propone la implementación de un Hard Fork, que genera una nueva versión de la blockchain en la que los datos personales han sido eliminados de forma efectiva.

El consenso entre los nodos validadores sobre la aceptación del Hard Fork se alcanza mediante un mecanismo inspirado en el BIP-0009 de Bitcoin. En este caso, el campo MixDigest de los bloques, que no se utiliza en el protocolo Clique, se emplea para registrar el apoyo de los nodos validadores a la nueva versión.

3. Modificación del Software del Nodo

Para implementar estas medidas, fue necesario modificar el software cliente de Ethereum (geth) en varios puntos clave:

Sincronización de nuevos nodos: Adaptación del proceso de sincronización para que los nodos que se incorporen a la red adopten automáticamente la versión actualizada de la blockchain.

Base de datos local: Incorporación de las modificaciones necesarias para sobrescribir los datos personales.

Consenso de los nodos: Implementación de un mecanismo para alcanzar el acuerdo sobre la nueva versión de la cadena.

Conoce más entradas relacionadas en nuestro blog de DPO

 

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Blog Master Dpo

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.

Miembros de 

Consejo Latinoamericano Escuelas Admisión Logo
Logo Escuela De Negocios
Euphe 1
Euphe 2

Reconocimientos

Qs Rating Horizontal 0
Qs Rating Horizontal 4
Qs Rating Horizontal 1
Qs Rating Horizontal 2
Qs Rating Horizontal 3
Cualificam Logo Footer

Partners educativos

Harvard Negativo (1)
Microsoft Academy (1)
Aws Academy Logo Footer
Cisco Networking Academy Blanco
Wca Logo
Logo Ausape
Logo Cumplen Asociacion Profesionales Blanco
Logo Aeca Footer
Buildingsmart Rgb Spain Chapter Member V2
Sage50 Cloud Logo Footer
Pmp Logo Footer
Global Suite Logo Blanco
Minsoit Sap Svg
Nominasol Logo Footer
Cype Logotipo
Pvsyst Logo
Logo Capman Footer
Toeic Logo Blanco
Python Institute Logo Blanco
Its Logo Blanco
Insignia Ccsp
Cdpp
Cpcc
Aviso Legal Uso de Cookies Política de Privacidad Política de Calidad Canal de denuncias Condiciones de Matrícula Únete a nosotros

EIP Campus Universitario Teatinos - Málaga - España

© EIP | International Business School 2010-2024

Marca registrada en la OEPM. Nº 3.735.191