El próximo 25 de mayo es la fecha límite que tienen los Estados Miembros de la Unión Europea para aplicar definitivamente el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
El periodo de dos años entre su entrada en vigor y su aplicación definitiva tiene como objetivo permitir que los Estados de la Unión Europea y sus instituciones y empresas se preparen y adapten a ese nuevo Reglamento.
Dentro de todas las novedades que incluye este Reglamento, hoy nos centraremos en el derecho al olvido, regulado en el artículo 17 y que otorga al interesado la facultad de solicitar la rectificación o supresión de datos personales, sin dilación indebida, en seis supuestos:
- Que estos datos ya no sean necesarios atendiendo al fin con el que fueron recogidos;
- Que se retire el consentimiento de tratar estos datos por parte del interesado;
- Que el interesado se oponga al tratamiento de datos;
- Que los datos se hayan tratado de manera ilícita;
- Que los datos se deban eliminar para cumplir con una obligación legal establecida en el Derecho de la Unión Europea o en el de los Estados Miembros;
- Que los datos personales se obtengan en relación a la oferta de servicios de la sociedad de la información.
Así, el responsable del tratamiento de estos datos deberá adoptar todas las medidas técnicas y tecnológicas de las que disponga con el objetivo de suprimir completamente los datos personales del interesado, informando a todos aquellos que estén tratando estos datos del requerimiento del interesado.
Sin embargo, la solicitud del interesado no será de aplicación cuando el tratamiento de estos datos personales sea necesario:
- Para ejercer el derecho a la libertad de expresión e información;
- Para cumplir con una obligación legal impuesta por el Derecho de la Unión Europea o de los Estados Miembros;
- Por razones de interés público en el ámbito de la salud pública;
- Por razones de interés público, de investigación científica o histórica o estadísticos, siempre que el derecho al olvido del interesado imposibilitase u obstaculizase gravemente el objetivo de estos fines.
El derecho al olvido entra en conflicto con el concepto de la cadena de bloques, conocida en inglés como blockchain. Se trata de una base de datos que, a grosso modo, posibilita la gestión de la información entre dispositivos informáticos de manera descentralizada y sincronizada, además de transmitir y guardar esta información de un modo extremadamente seguro a través de claves criptográficas, por lo que la identidad y privacidad de quien lo utiliza queda protegida. Asimismo, la información que se guarda en blockchain es inalterable, por lo que no se puede deshacer, suprimir o reescribir y, si es pública, es visible para cualquier participante de la red.
Las características de inalterabilidad e inmutabilidad de blockchain chocan frontalmente con el derecho al olvido, ya que restringen su ejercicio por parte del interesado. La supresión o reedición de sus datos, para la que además necesitaría el consenso de las partes implicadas, quedaría registrada en una nueva cadena de bloques, lo que implica que esos datos continuarían existiendo en la anterior cadena de bloques.
Sería posible eliminar las claves de acceso a la cadena de bloques que contenga los datos personales, de manera que esa información sea inaccesible. No obstante, estas claves pueden recuperarse, por ejemplo, a través de lo que se denomina en criptografía un ataque de fuerza bruta, consistente en probar todas las combinaciones posibles hasta encontrar la que permite el acceso.
La solución definitiva que podría evitar esta contradicción entre el artículo 17 del nuevo Reglamento de Protección de Datos y la tecnología blockchain pasaría por dos opciones: (i) que la legislación interna de cada Estado Miembro de la Unión Europea limite el alcance del derecho al olvido en blockchain; o (ii) que se desarrollen cadenas de bloques que puedan editarse y permitiesen a los administradores reescribir los bloques que contengan la información sobre la que se ha ejercido el derecho al olvido, sin alterar el resto de la cadena de bloques.
En nuestro país encontramos jurisprudencia que puede dar solución a este conflicto. La Sentencia número 5129/2014, de 29 de diciembre, de la Sala de lo Contencioso-Administrativo, Sección Primera de la Audiencia Nacional resolvió que, pese a que es imposible eliminar o suprimir datos de su fuente de información, lo que sí puede hacerse es eliminar de la lista de resultados de los buscadores ese vínculo entre el dato personal y la información contenida en ella. Es decir, pese a que lo que se encuentra almacenado en blockchain es inalterable, se puede tratar de ocultar públicamente.
Sin embargo, por ahora no existe ninguna iniciativa para solucionar esta controversia, por lo que tendremos que esperar a la aplicación del Reglamento para ver cómo se resuelve este conflicto y cuál es la respuesta del legislador.
*****
Referencias bibliográficas:
España. Audiencia Nacional, Sala de lo Contencioso-Administrativo (Sección Primera). Sentencia número 5129/201 de 29 de diciembre de 2014. Recuperado de: https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derecho_olvido/common/SAN_29122014.pdf
Unión Europea. Reglamento (ue) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Recuperado de: http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf
González-Meneses García-Valdecasas, M. (2017). Entender Blockchain. Cizur Menor (Navarra): Thomson Reuters Aranzadi.
Bonatti Penal & Compliance