Compatibilidad de Smart Contracts y GDPR (II)

Compatibilidad de Smart Contracts y GDPR (II)


Excepciones a la prohibición del tratamiento automatizado

El segundo párrafo del artículo 22 GDPR prevé tres escenarios distintos en los que el tratamiento automatizado sigue siendo legal. A continuación se examinarán estos tres escenarios desde el punto de vista de smart contracts.

En virtud del artículo 22, la prohibición del tratamiento automatizado no se aplica si la decisión:

  • Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
  • está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
  • se basa en el consentimiento explícito del interesado.

En primer lugar, el artículo 22 del GDPR formula que se tolera el tratamiento automatizado cuando es necesario para la celebración o la ejecución de un contrato entre el interesado y el responsable del tratamiento.

Esto, sin embargo, presupone que el contrato existente es celebrado entre el interesado y el responsable del tratamiento. Inicialmente, la propuesta legislativa de la Comisión y el Parlamento simplemente mencionó que la ejecución automatizada debía ser parte de la ejecución de un contrato. Fue el Consejo el que sugirió que este contrato debía darse entre responsable e interesado, lo que finalmente ha quedado reflejado en la versión final del GDPR.

En muchos casos, esta matización no causará dificultades. Por ejemplo, cuando un banco utiliza un contrato inteligente para ejecutar los pagos recurrentes automatizados de los clientes, el banco es parte del contrato y, al mismo tiempo, el responsable del tratamiento en relación con los datos personales del cliente.

Cuando se utilicen blockchains públicas o no permisionadas que cualquier persona pueda leer y utilizar para ejecutar el smart contract, el requisito de que el contrato se realice entre el interesado y el responsable del tratamiento implica una complicación significativa.

Bajo el GDPR, el responsable del tratamiento es la entidad que determina los fines y medios del tratamiento (el porqué y el cómo) y debe interpretarse de forma amplia para garantizar la correcta protección de los datos personales de los interesados. Por lo tanto, parece que cuando se utiliza un smart contract, la blockchain sobre la que descansa también constituye un responsable del tratamiento. Sin embargo, las blockchain públicas y no permisionadas no están «dirigidas» por una sola entidad que fuese fácilmente designada como responsable del tratamiento. Muy al contrario, el sistema descentralizado de blockchain está diseñado conforme a la colaboración de diversos actores (nodos, mineros, etc.) lo cual genera dificultad a la hora de designar al responsable del tratamiento conforme al GDPR.

Cabe destacar en este punto, que la Autoridad de Control Francesa ha sugerido recientemente que los desarrolladores de smart contracts también pueden ser calificados como responsables del tratamiento[1].

Considerando que la identidad precisa del responsable del tratamiento de datos tiene que ser determinada a la luz de la configuración una blockchain, parece inevitable concluir que tanto los actores situados en la capa de la infraestructura de blockchain, como los de la capa del smart contract son probablemente corresponsables del tratamiento bajo el GDPR.

 

Si bien aún no se cuenta con orientación sobre este punto, parece razonable suponer que la existencia de una relación contractual con al menos uno de los responsables del tratamiento que hemos analizado, sería suficiente para invocar la excepción del artículo 22 del GDPR en virtud de la cual la prohibición del tratamiento automatizado no se aplica si la decisión es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.

 

Una vez analizado este punto, vale la pena reflexionar acerca del significado de «necesaria». El Grupo de Trabajo del Artículo 29 refleja en la Guía que la automatización no es necesaria cuando se pueden utilizar otros medios eficaces y menos intrusivos para lograr el mismo objetivo[2].

 

En segundo lugar, el artículo 22 apartado 2, letra b) del GDPR establece que:

 

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

  1. El apartado 1 no se aplicará si la decisión:
  2. b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado

 

Actualmente, no se ha aprobado legislación a este respecto para permitir la decisión basada únicamente en tratamientos automatizados en los smart contracts. Sin embargo, algunos Estados Miembros han promulgado marcos legales «blockchain-friendly», por lo que no es descabellado pensar que la excepción del artículo 22.2.b) del GDPR sea utilizada para el uso de smart contracts.

 

Por ultimo, el artículo 22.2.c) contempla la tercera excepción:

 

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

  1. El apartado 1 no se aplicará si la decisión:
  2. c) se basa en el consentimiento explícito del interesado.

 

El artículo 22, apartado 2, letra c), del GDPR permite el tratamiento automatizado cuando se base en el consentimiento explícito del interesado.

 

Cuando hay una relación contractual análoga que precede al smart contract, esto puede ser implementado de manera directa como un consentimiento para el tratamiento de datos que cumple con los requisitos del GDPR. Puede ser más difícil en otros contextos como en ventas actuales de tokens donde no hay contrato legal paralelo al smart contract. Sin embargo, al menos desde un punto de vista abstracto, también debería poder obtenerse el consentimiento en este tipo de escenarios. En este sentido, hay dos puntos que deben tenerse en cuenta:

 

En primer lugar, el significado de «consentimiento explícito», que no viene definido en el GDPR. El Grupo de Trabajo del Artículo 29 interpretó en las Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, que el consentimiento explícito requería una «declaración o afirmación clara» del interesado. Cuando se requiera un consentimiento «explícito», el interesado deberá proporcionar una declaración de consentimiento expreso que podría tomar la forma de un escrito declaración o completar un formulario electrónico.

 

En segundo lugar, debe tenerse en cuenta que el artículo 7 del GDPR exige que el interesado tenga derecho a retirar el consentimiento sobre el que se basa el tratamiento en cualquier momento. Este hecho no afectará a la legitimidad del tratamiento que haya tenido lugar antes de que el interesado retire su consentimiento. Teniendo en cuenta este escenario, y ante la ausencia de otra base legal que legitime el tratamiento, los datos personales deberán ser borrados por el responsable del tratamiento, lo que nos hace encontrarnos con otro problema: el borrado de datos en una blockchain.

 

Tal y como hemos podido observar, aquellos responsables del tratamiento que quieran utilizar el consentimiento como base legal para el tratamiento, se encontraran con diversas dificultades.

 

En consecuencia y como hemos visto en este análisis, el artículo 22.2 GDPR ofrece una serie de opciones para operar con smart contracts. En ese caso, ciertos requisitos deberán cumplirse: si el tratamiento automatizado se basa en las excepciones a) o c) del artículo 22.2, debe tenerse en cuenta el apartado 3 del artículo 22, el cual reza lo siguiente:

 

En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

 

Asimismo, el interesado tiene el derecho a ser informado, conforme se estipula en los artículos 13 y 14 del GDPR.

 

  1. Derecho del interesado a obtener intervención humana

 

Para no perdernos en el análisis, de nuevo exponemos el contenido del artículo 22 GDPR:

 

  1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

 

  1. El apartado 1 no se aplicará si la decisión:
  2. a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
  3. b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
  4. c) se basa en el consentimiento explícito del interesado.

 

  1. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

 

Una vez releído el artículo, observamos que en el apartado 3 del mismo se contemplan derechos y garantías con los que cuenta el interesado en el tratamiento automatizado.

 

Aplicando el apartado 3 al ámbito de los smart contracts, emergen 3 cuestiones:

 

1) ¿Qué se considera intervención humana?

2) ¿En qué punto ha de darse dicha intervención?

3) ¿El responsable del tratamiento puede proporcionar dicha intervención humana?

 

En virtud de la Guía del Grupo de Trabajo del Artículo 29, para que una acción se considere bajo participación humana, el responsable del tratamiento debe garantizar que cualquier supervisión de la decisión sea significativa, en vez de ser únicamente un gesto simbólico. El Grupo de Trabajo del Artículo 29 establece que toda revisión debe ser llevada a cabo por una persona con la autorización y capacidad adecuadas para modificar la decisión.

 

Otro aspecto muy interesante de la Guía del Grupo de Trabajo del Artículo 29 es que la intervención humana puede tener lugar después de que haya ocurrido la decisión, y no necesariamente en el curso de la misma. En el contexto de los smart contracts podríamos imaginar una «revisión» del resultado de un smart contract una vez ha sido ejecutado. Desde un punto de vista puramente técnico, esto es relativamente sencillo, dado que leer un código con estructura «if this, then that», no supone un gran reto desde el punto de vista técnico.

 

En contraste con esta viabilidad desde el punto de vista técnico, las posibilidades de intervención humana contemplada en el artículo 22.3 del GDPR son quizás más difíciles de alcanzar en el contexto de los smart contracts.

 

Someter un smart contract a la intervención humana en un entorno empresarial tradicional, como una cadena de suministro, puede ser fácilmente implementado, ya que el smart contract no deja de ser un medio técnico para mejorar procesos dirigidos por personas. Sin embargo, si nos dirigimos a otros contextos, diseñados para alejarse de la intervención humana, la situación cambia, y esta no sería fácilmente implementable. Consideremos, por ejemplo, el caso de un smart contract que «gobierna» la compraventa de tokens; o un smart contract que «gobierna» una Organización Autónoma Descentralizada (DAO)[3]. En este tipo de casos, la capacidad de intervención humana será más limitada, ya que este tipo de sistemas lo que buscan es alejarse de la misma.

 

Por último, debemos fijarnos en la cuestión 3 que ha surgido en torno al artículo 22.3 GDPR.

En virtud del mismo, el responsable debe proporcionar las medidas adecuadas para salvaguardar los derechos y libertades del interesado, que tendrá como mínimo el derecho a obtener intervención humana por parte del responsable.

Como se ha venido observando a lo largo de este artículo, la identidad del responsable del tratamiento en blockchains públicas es incierta, y debe argumentarse que habrá un número de corresponsables del tratamiento en los niveles de infraestructura y aplicación y que el titular de la clave privada (que seguramente será una de las partes intervinientes en el smart contract) también puede ser calificado como un responsable del tratamiento.

 

Si todas estas partes deben proporcionar una opción de intervención humana es un asunto que las Autoridades de Control deben aclarar.

 

  1. Derecho del interesado a ser informado

 

Cuando tenga lugar un tratamiento automatizado, el interesado tiene derecho a que se le informe de este hecho. Qué información exacta se le debe proporcionar suscita cierto debate.

El artículo 12 del GDPR indica que el responsable debe proporcionar a los interesados información concisa, transparente, inteligible y de fácil acceso acerca del tratamiento de sus datos.

 

Cómo funciona este derecho del interesado en el tratamiento automatizado, va ligado con los artículos 13, 14 y 15 del GDPR, así como el considerando 71.

 

El artículo 13.2 f) del GDPR establece que el interesado tiene derecho a que se le facilite información acerca de:

 

La existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

 

El artículo 14.2 g) GDPR impone la misma obligación al responsable del tratamiento en caso de que los datos personales no hayan sido obtenidos directamente del interesado, y lo mismo se reitera en el artículo 15.1 h) GDPR.

 

Por tanto, la información que debe proporcionarse al interesado es (i) la existencia de decisiones automatizadas; (ii) información acerca de la lógica aplicada; y (iii) la importancia y consecuencias de dicho tratamiento.

Teniendo en cuenta la complejidad del aprendizaje automatizado, resulta complicado saber qué información acerca de la lógica aplicada debe trasladarse al interesado.

 

El Grupo de Trabajo del Artículo 29 aborda en la Guía esta situación con el siguiente ejemplo; un responsable del tratamiento utiliza la calificación crediticia para evaluar y rechazar la solicitud de préstamo de una persona. En virtud de la información que debe proporcionarse al interesado, el responsable del tratamiento debe explicar que este proceso le ayuda a tomar decisiones justas y responsables sobre préstamos. Asimismo deberá ofrecer detalles acerca de las principales características consideradas a la hora de tomar la decisión, la fuente de información y la pertinencia.

 

A la hora de aplicar este requisito en el contexto de un smart contract, deben tenerse en cuenta dos puntos:

 

1) Teniendo en cuenta que la obligación de informar al interesado recae sobre el responsable del tratamiento, nos encontramos con el mismo problema que hemos ido abordando a lo largo de este artículo: la dificultad de localizar a los responsables del tratamiento en una blockchain.

 

2) El cumplimiento de la obligación debe ser sencillo: los smart contracts cuya estructura se está analizando en el presente artículo no involucran grandes cantidades de datos, y la lógica que se les aplica es una estructura sencilla basada en una relación «if/then». Por tanto, el cumplimiento de la obligación de informar en este punto debe ser fácil en comparación con el punto anterior analizado.

 

Vale la pena señalar la conexión entre el derecho a informar al interesado y la capacidad de legitimar el tratamiento automatizado a través del consentimiento del interesado.

Cabe plantearse qué nivel de información es necesario para que el consentimiento del interesado sea válido, ya que, si no se entienden los detalles del tratamiento automatizado se puede considerar que el consentimiento no es válido por no cumplir los requisitos recogidos en el GDPR.

 

  1. Evaluaciones de impacto

 

En algunas situaciones, el uso del tratamiento automatizado desencadena la obligación de llevar a cabo evaluaciones de impacto.

 

El artículo 35 del GDPR estipula lo siguiente:

 

La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

  • evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  • tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
  • observación sistemática a gran escala de una zona de acceso público.

 

 

 

A primera vista, nada nos lleva a concluir que una evaluación de impacto debe preceder a la ejecución de un smart contract. Y es que, las evaluaciones de impacto son obligatorias cuando hay un tratamiento automatizado (nótese que la obligación aparece con los tratamientos automatizados no en las decisiones basadas únicamente en tratamientos automatizados) destinado a la evaluación sistemática y exhaustiva de aspectos personales de personas físicas, lo cual nos aleja del contexto de los smart contracts.

 

A pesar de ello, se puede argumentar que, en determinadas circunstancias, los smart contracts son una nueva tecnología que requiere de evaluaciones de impacto. Aunque la estructura «if/then» sobre la que se configuran los smart contracts lleva tiempo usándose en diferentes contextos (como las máquinas de refrescos, como vimos al comienzo de este artículo), la blockchain sobre la que descansan sí constituye una nueva tecnología que implica un alto riesgo desde el punto de vista de protección de datos.

 

Habrá que analizar caso por caso cada smart contract de forma que el riesgo específico sea analizado; y en caso de duda, una evaluación de impacto será siempre una forma de asegurar el cumplimiento del GDPR.

 

  1. Protección de Datos por Diseño y por Defecto

 

El artículo 25 del GDPR obliga al responsable del tratamiento a aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

 

Esta obligación tiene implicaciones para los smart contracts. El artículo 25 del GDPR desencadena una serie de obligaciones por defecto que pueden hacer que los desarrolladores se lo piensen dos veces antes de implementar su código de smart contract en una blockchain.

Por ejemplo, tenemos el problema del cumplimiento del principio de la minimización de los datos, o el problema de implementar mecanismos de ejercicio de derechos de los interesados.

 

A la luz de tanta incertidumbre, resulta atractiva la posibilidad de acudir a un mecanismo de certificación, como un elemento probatorio para acreditar el cumplimiento de los requisitos del GDPR y evitar así la imposición de multas por incumplimiento.

 

Del análisis arriba expuesto hemos revelado que la prohibición de que los interesados sean objeto de una decisión basada únicamente en el tratamiento automatizado se aplica a los smart contracts.

 

Teniendo en cuenta que el uso de los mismos puede justificarse cuando sea necesaria la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento, cuando esté autorizado por el Derecho de la Unión, o bien cuando se base en el consentimiento explícito del interesado, estos sistemas deben diseñarse desde un punto de vista «data protection – friendly». Esto incluirá el derecho del interesado a obtener intervención humana por parte del responsable, a ser informado respecto a los tipos de tratamiento y, en algunos casos, una evaluación de impacto.

El cumplimiento con estos requisitos implicará algunas dificultades, especialmente en el contexto de la tecnología blockchain.

[1] https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf

[2] En caso de existir otros medios efectivos y menos intrusivos para lograr el mismo objetivo, el tratamiento no será «necesario».

[3] Una DAO es un tipo de empresas que utilizan blockchain como forma de funcionamiento. Estas empresas tienen sus propias reglas y formas democráticas de obtener consenso. No existen en ningún registro mercantil ni son parte de ningún estado.