+34 960 500 761

Smart contracts y GDPR – Parte I

En el artículo anterior, explicábamos qué son los smart contracts, qué ventajas ofrecen y qué cuestiones plantean. En este artículo nos sumergimos de lleno en la compatibilidad de los smart contracts con el Reglamento Europeo de Protección de Datos (en adelante GDPR).

En virtud del artículo 22 del GDPR, todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Si los smart contracts constituyen un sistema de tratamiento automatizado, ¿significa que no son compatibles con el GDPR?

Para contestar a esta pregunta necesitaremos responder a las siguientes cuestiones:

En primer lugar, se debe determinar si (i) un contrato inteligente cuenta como una decisión basada únicamente en el tratamiento automatizado; y (ii) si esa decisión (a) produce efectos legales para el interesado o (b) le afecta significativamente.

¿Qué significa decisión basada únicamente en el tratamiento automatizado?

El GDPR no define qué es una decisión basada únicamente en el tratamiento automatizado. Para analizar el significado, hemos acudido a la Guía del Grupo de Trabajo del Artículo 29 de Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 (en adelante, la «Guía«).

En virtud de la Guía, las decisiones basadas únicamente en el tratamiento automatizado representan la capacidad de tomar decisiones por medios tecnológicos sin la participación del ser humano.

Un ejemplo de este tipo de decisiones, según la Guía es la imposición de multas por exceso de velocidad únicamente sobre la base de las pruebas de los radares de velocidad.

Existen tres posibles formas de utilizar la elaboración de perfiles:

i) elaboración de perfiles general;

ii) decisiones basadas en la elaboración de perfiles; y

iii) decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que producen efectos jurídicos en el interesado o le afectan significativamente de modo similar (artículo 22, apartado 1).

La diferencia entre ii) y iii) se observa mejor con los dos siguientes ejemplos en los que una persona solicita un préstamo a través de internet:

  • el caso en el que un ser humano decide si aprueba el préstamo sobre la base de un perfil elaborado únicamente mediante tratamiento automatizado corresponde a la opción ii);
  • el caso en el que un algoritmo decide si el préstamo debe aprobarse y la decisión se traslada automáticamente a la persona en cuestión, sin ninguna evaluación previa y significativa por parte de un ser humano, corresponde a la opción iii).

¿Son los smart contracts una decisión basada únicamente en el tratamiento automatizado?

En el contexto de los smart contracts, podemos contar con dos interpretaciones alternativas:

(i) la decisión podría ser considerada la ejecución del código del smart contract cuando ocurre un hecho determinado, como por ejemplo, que tenga lugar una situación equis que  justifica el pago o el reembolso de una suma determinada. Aplicando esta teoría a los smart contracts, no habría participación humana en la etapa de la decisión, lo que significaría que el contenido del Artículo 22 GDPR se aplicaría a los Smart contracts por ser considerados una decisión basada únicamente en el tratamiento automatizado, y por tanto todo interesado tendrá derecho a no ser objeto del mismo.

(ii) se podría argumentar que la decisión abarca una escala de tiempo más amplia e incluye las fases iniciales que dieron como resultado el smart contract: dado que los humanos participan en la elaboración de los Smart contracts y determinan el propósito y la configuración del mismo, al haber intervención humana en la decisión, los smart contracts no se considerarían una decisión basada únicamente en el tratamiento automatizado, y por tanto, no entraría dentro del scope del artículo 22 del GDPR. Asimismo, y para reforzar este argumento, el humano también actuará en ocasiones como el oráculo que alimenta los datos de entrada del smart contract, los cuales son necesarios para su ejecutabilidad.

También cabe tener en cuenta que los humanos también son necesarios para traducir la prosa contractual a código informático, y en virtud de esta interpretación, se puede entender  que la decisión abarca las negociaciones contractuales iniciales.

Si bien esta interpretación de que la decisión abarca todo el procedimiento de elaboración de los smart contract (y que por tanto, al estar «intervenido» por la mano humana, saldría de del scope del artículo 22 del GDPR), es menos probable que tenga éxito, ya que debe tenerse en cuenta el contenido del apartado dos del artículo 22 GDPR:

  1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
  2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado; o

c) se basa en el consentimiento explícito del interesado.

Es decir, cuando la decisión es necesaria para la elaboración de un contrato, se produce una excepción al artículo 22, y por tanto, el interesado no tendría derecho a no ser objeto de una decisión basada únicamente en el tratamiento.

Teniendo en cuenta ambas interpretaciones de los smart contracts y analizando la totalidad del contenido del artículo 22 del GDPR, podemos concluir que por decisión se entendería la interpretación primera, que es la que tiene lugar cuando se ejecuta el código de los smart contracts de forma automática sin necesidad de que haya intervención humana.

Esta interpretación encuentra apoyo en los ejemplos expuestos en la Guía (alguno ya ha sido mencionado en el presente artículo): se menciona la imposición de multas por exceso de velocidad emitidas únicamente sobre la base de la evidencia de cámaras de velocidad como un ejemplo de toma de decisiones únicamente automatizada sin participación humana. Esto es, como los smart contracts en sí mismos: una relación simple de «if this, then that» que es moldeada inicialmente por humanos y posteriormente ejecutado por una máquina.

Por consiguiente, y en virtud del análisis realizado, podemos concluir que los smart contracts están bajo la aplicación del Artículo 22 del GDPR, y como consecuencia, se aplicará la prohibición del tratamiento automatizado de datos cuando este produce efectos jurídicos en el interesado o le afecte significativamente.

En este punto del análisis cabe plantearse ¿cuándo se considera que una decisión basada únicamente en el tratamiento automatizado produce efectos jurídicos en el interesado o afecta significativamente al interesado?

La Guía ha definido «efectos jurídicos» como un efecto que afecte a los derechos jurídicos de una persona, o que afecte al estado jurídico de una persona o a sus derechos en virtud de un contrato.

En este sentido, cuando se ejecuta un pago o se transfiere un bien o título simbólico, los derechos de una parte y las obligaciones de otra cambian inevitablemente, por tanto, muchos smart contracts quedarán bajo la aplicación del artículo 22 por provocar efectos jurídicos en los individuos.

Por otro lado, en multitud de ocasiones los contratos inteligentes afectarán significativamente a los individuos. Esto se puede ver en los ejemplos que se han mostrado en el inicio de este artículo, como es el cobro de una compensación por retraso de un vuelo.

Por tanto, y sin entrar a profundizar en exceso en este punto, es probable que muchos smart contracts entren dentro del ámbito de aplicación del artículo 22.1 del GDPR por producir efectos jurídicos o afectar significativamente al interesado.

Excepciones a la prohibición del tratamiento automatizado

El segundo párrafo del artículo 22 GDPR prevé tres escenarios distintos en los que el tratamiento automatizado sigue siendo legal. A continuación se examinarán estos tres escenarios desde el punto de vista de smart contracts.

En virtud del artículo 22, la prohibición del tratamiento automatizado no se aplica si la decisión:

  • Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
  • está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
  • se basa en el consentimiento explícito del interesado.

En primer lugar, el artículo 22 del GDPR formula que se tolera el tratamiento automatizado cuando es necesario para la celebración o la ejecución de un contrato entre el interesado y el responsable del tratamiento.

Esto, sin embargo, presupone que el contrato existente es celebrado entre el interesado y el responsable del tratamiento. Inicialmente, la propuesta legislativa de la Comisión y el Parlamento simplemente mencionó que la ejecución automatizada debía ser parte de la ejecución de un contrato. Fue el Consejo el que sugirió que este contrato debía darse entre responsable e interesado, lo que finalmente ha quedado reflejado en la versión final del GDPR.

En muchos casos, esta matización no causará dificultades. Por ejemplo, cuando un banco utiliza un contrato inteligente para ejecutar los pagos recurrentes automatizados de los clientes, el banco es parte del contrato y, al mismo tiempo, el responsable del tratamiento en relación con los datos personales del cliente.

Cuando se utilicen blockchains públicas o no permisionadas que cualquier persona pueda leer y utilizar para ejecutar el Smart contract, el requisito de que el contrato se realice entre el interesado y el responsable del tratamiento implica una complicación significativa.

Bajo el GDPR, el responsable del tratamiento es la entidad que determina los fines y medios del tratamiento (el porqué y el cómo) y debe interpretarse de forma amplia para garantizar la correcta protección de los datos personales de los interesados. Por lo tanto, parece que cuando se utiliza un Smart contract, la blockchain sobre la que descansa también constituye un responsable del tratamiento. Sin embargo, las blockchain públicas y no permisionadas no están «dirigidas» por una sola entidad que fuese fácilmente designada como responsable del tratamiento. Muy al contrario, el sistema descentralizado de blockchain está diseñado conforme a la colaboración de diversos actores (nodos, mineros, etc.) lo cual genera dificultad a la hora de designar al responsable del tratamiento conforme al GDPR.

Cabe destacar en este punto, que la Autoridad de Control Francesa ha sugerido recientemente que los desarrolladores de smart contracts también pueden ser calificados como responsables del tratamiento.

Considerando que la identidad precisa del responsable del tratamiento de datos tiene que ser determinada a la luz de la configuración una blockchain, parece inevitable concluir que tanto los actores situados en la capa de la infraestructura de blockchain, como los de la capa del smart contract son probablemente corresponsables del tratamiento bajo el GDPR.

Si bien aún no se cuenta con orientación sobre este punto, parece razonable suponer que la existencia de una relación contractual con al menos uno de los responsables del tratamiento que hemos analizado, sería suficiente para invocar la excepción del artículo 22 del GDPR en virtud de la cual la prohibición del tratamiento automatizado no se aplica si la decisión es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.

Una vez analizado este punto, vale la pena reflexionar acerca del significado de «necesaria». El Grupo de Trabajo del Artículo 29 refleja en la Guía que la automatización no es necesaria cuando se pueden utilizar otros medios eficaces y menos intrusivos para lograr el mismo objetivo (en caso de existir otros medios efectivos y menos intrusivos para lograr el mismo objetivo, el tratamiento no será «necesario»).

En segundo lugar, el artículo 22 apartado 2, letra b) del GDPR establece que:

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

  1. El apartado 1 no se aplicará si la decisión:

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado

Actualmente, no se ha aprobado legislación a este respecto para permitir la decisión basada únicamente en tratamientos automatizados en los smart contracts. Sin embargo, algunos Estados Miembros han promulgado marcos legales «blockchain-friendly», por lo que no es descabellado pensar que la excepción del artículo 22.2.b) del GDPR sea utilizada para el uso de smart contracts.

Por último, el artículo 22.2.c) contempla la tercera excepción:

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

  1. El apartado 1 no se aplicará si la decisión:

c) se basa en el consentimiento explícito del interesado.

El artículo 22, apartado 2, letra c), del GDPR permite el tratamiento automatizado cuando se base en el consentimiento explícito del interesado.

Cuando hay una relación contractual análoga que precede al smart contract, esto puede ser implementado de manera directa como un consentimiento para el tratamiento de datos que cumple con los requisitos del GDPR. Puede ser más difícil en otros contextos como en ventas actuales de tokens donde no hay contrato legal paralelo al smart contract. Sin embargo, al menos desde un punto de vista abstracto, también debería poder obtenerse el consentimiento en este tipo de escenarios. En este sentido, hay dos puntos que deben tenerse en cuenta:

En primer lugar, el significado de «consentimiento explícito», que no viene definido en el GDPR. El Grupo de Trabajo del Artículo 29 interpretó en las Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, que el consentimiento explícito requería una «declaración o afirmación clara» del interesado. Cuando se requiera un consentimiento «explícito», el interesado deberá proporcionar una declaración de consentimiento expreso que podría tomar la forma de un escrito declaración o completar un formulario electrónico.

En segundo lugar, debe tenerse en cuenta que el artículo 7 del GDPR exige que el interesado tenga derecho a retirar el consentimiento sobre el que se basa el tratamiento en cualquier momento. Este hecho no afectará a la legitimidad del tratamiento que haya tenido lugar antes de que el interesado retire su consentimiento. Teniendo en cuenta este escenario, y ante la ausencia de otra base legal que legitime el tratamiento, los datos personales deberán ser borrados por el responsable del tratamiento, lo que nos hace encontrarnos con otro problema: el borrado de datos en una blockchain.

Tal y como hemos podido observar, aquellos responsables del tratamiento que quieran utilizar el consentimiento como base legal para el tratamiento, se encontraran con diversas dificultades.

En consecuencia y como hemos visto en este análisis, el artículo 22.2 GDPR ofrece una serie de opciones para operar con smart contracts. En ese caso, ciertos requisitos deberán cumplirse: si el tratamiento automatizado se basa en las excepciones a) o c) del artículo 22.2, debe tenerse en cuenta el apartado 3 del artículo 22, el cual reza lo siguiente:

En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

Asimismo, el interesado tiene el derecho a ser informado, conforme se estipula en los artículos 13 y 14 del GDPR.

En el próximo artículo finalizaremos esta serie sobre ‘smart contracts’ y GDPR y hablaremos sobre el derecho de interesado a obtener intervención humana, el derecho del interesado a ser informado, las evaluaciones de impacto y la protección de datos por diseño y por defecto.

Artículo escrito por:

Marina Foncuberta

Abogada especialista en privacidad, blockchain, ciberseguridad, e-commerce y telecomunicaciones

marina.foncuberta@ath21.com

ATH21 es una firma legal especializada en tecnología Blockchain y criptoactivos. Si quieres saber más o tienes cualquier duda, puedes contactar con nosotros aquí.

Photo by Christopher Burns on Unsplash

Related posts