[vcw-converter symbol1=»BTC» symbol2=»USD» color=»grey» initial=»1″ fullwidth=»yes»]
 
[vcw-price-big-label symbol=»BTC» color=»orange» currency1=»USD» currency2=»EUR» currency3=»GBP» url=»» target=»_blank» fullwidth=»yes»]
[vcw-price-big-label symbol=»XRP» color=»amber» currency1=»USD» currency2=»EUR» currency3=»GBP» url=»» target=»_blank» fullwidth=»yes»]
[vcw-price-big-label symbol=»ETH» color=»yellow» currency1=»USD» currency2=»EUR» currency3=»GBP» url=»» target=»_blank» fullwidth=»yes»]
[vcw-price-big-label symbol=»BCH» color=»grey» currency1=»USD» currency2=»EUR» currency3=»GBP» url=»» target=»_blank» fullwidth=»yes»]
[vcw-price-big-label symbol=»EOS» color=»grey» currency1=»USD» currency2=»EUR» currency3=»GBP» url=»» target=»_blank» fullwidth=»yes»]
[vcw-price-big-label symbol=»LTC» color=»grey» currency1=»USD» currency2=»EUR» currency3=»GBP» url=»» target=»_blank» fullwidth=»yes»]
[vcw-price-big-label symbol=»ADA» color=»grey» currency1=»USD» currency2=»EUR» currency3=»GBP» url=»» target=»_blank» fullwidth=»yes»]

Compatibilidad de Smart Contracts y GDPR

Compatibilidad de Smart Contracts y GDPR


Como continuación del post anterior, hoy hablaremos de la compatibilidad de los smarts contracts con la GDPR.

En virtud del artículo 22 del GDPR, todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Si los smart contracts constituyen un sistema de tratamiento automatizado, ¿significa que no son compatibles con el GDPR?

Para contestar a esta pregunta necesitaremos responder a las siguientes cuestiones:

En primer lugar, se debe determinar si (i) un contrato inteligente cuenta como una decisión basada únicamente en el tratamiento automatizado; y (ii) si esa decisión (a) produce efectos legales para el interesado o (b) le afecta significativamente.

 

¿Qué significa decisión basada únicamente en el tratamiento automatizado?

El GDPR no define qué es una decisión basada únicamente en el tratamiento automatizado. Para analizar el significado, hemos acudido a la Guía del Grupo de Trabajo del Artículo 29 de Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 (en adelante, la «Guía«). En virtud de la Guía, las decisiones basadas únicamente en el tratamiento automatizado representan la capacidad de tomar decisiones por medios tecnológicos sin la participación del ser humano.

Un ejemplo de este tipo de decisiones, según la Guía es la imposición de multas por exceso de velocidad únicamente sobre la base de las pruebas de los radares de velocidad.

Existen tres posibles formas de utilizar la elaboración de perfiles:

  1. i) elaboración de perfiles general;
  2. ii) decisiones basadas en la elaboración de perfiles; y

iii) decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que producen efectos jurídicos en el interesado o le afectan significativamente de modo similar (artículo 22, apartado 1).

La diferencia entre ii) y iii) se observa mejor con los dos siguientes ejemplos en los que una persona solicita un préstamo a través de internet:

  • el caso en el que un ser humano decide si aprueba el préstamo sobre la base de un perfil elaborado únicamente mediante tratamiento automatizado corresponde a la opción ii);
  • el caso en el que un algoritmo decide si el préstamo debe aprobarse y la decisión se traslada automáticamente a la persona en cuestión, sin ninguna evaluación previa y significativa por parte de un ser humano, corresponde a la opción iii).

¿Son los smart contracts una decisión basada únicamente en el tratamiento automatizado?

En el contexto de los smart contracts, podemos contar con dos interpretaciones alternativas:

(i) la decisión podría ser considerada la ejecución del código del smart contract cuando ocurre un hecho determinado, como por ejemplo, que tenga lugar una situación equis que  justifica el pago o el reembolso de una suma determinada. Aplicando esta teoría a los smart contracts, no habría participación humana en la etapa de la decisión, lo que significaría que el contenido del Artículo 22 GDPR se aplicaría a los smart contracts por ser considerados una decisión basada únicamente en el tratamiento automatizado, y por tanto todo interesado tendrá derecho a no ser objeto del mismo.

(ii) se podría argumentar que la decisión abarca una escala de tiempo más amplia e incluye las fases iniciales que dieron como resultado el smart contract: dado que los humanos participan en la elaboración de los smart contracts y determinan el propósito y la configuración del mismo, al haber intervención humana en la decisión, los smart contracts no se considerarían una decisión basada únicamente en el tratamiento automatizado, y por tanto, no entraría dentro del scope del artículo 22 del GDPR. Asimismo, y para reforzar este argumento, el humano también actuará en ocasiones como el oráculo que alimenta los datos de entrada del smart contract, los cuales son necesarios para su ejecutabilidad.

También cabe tener en cuenta que los humanos también son necesarios para traducir la prosa contractual a código informático, y en virtud de esta interpretación, se puede entender  que la decisión abarca las negociaciones contractuales iniciales.

Si bien esta interpretación de que la decisión abarca todo el procedimiento de elaboración de los smart contract (y que, por tanto, al estar «intervenido» por la mano humana, saldría de del scope del artículo 22 del GDPR), es menos probable que tenga éxito, ya que debe tenerse en cuenta el contenido del apartado dos del artículo 22 GDPR:

1 Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

  1. El apartado 1 no se aplicará si la decisión:
  2. a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
  3. b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
  4. c) se basa en el consentimiento explícito del interesado.

Es decir, cuando la decisión es necesaria para la elaboración de un contrato, se produce una excepción al artículo 22, y por tanto, el interesado no tendría derecho a no ser objeto de una decisión basada únicamente en el tratamiento.

Teniendo en cuenta ambas interpretaciones de los smart contracts y analizando la totalidad del contenido del artículo 22 del GDPR, podemos concluir que por decisión se entendería la interpretación primera, que es la que tiene lugar cuando se ejecuta el código de los smart contracts de forma automática sin necesidad de que haya intervención humana.

Esta interpretación encuentra apoyo en los ejemplos expuestos en la Guía (alguno ya ha sido mencionado en el presente artículo): se menciona la imposición de multas por exceso de velocidad emitidas únicamente sobre la base de la evidencia de cámaras de velocidad como un ejemplo de toma de decisiones únicamente automatizada sin participación humana. Esto es, como los smart contracts en sí mismos: una relación simple de «if this, then that» que es moldeada inicialmente por humanos y posteriormente ejecutado por una máquina.

Por consiguiente, y en virtud del análisis realizado, podemos concluir que los smart contracts están bajo la aplicación del Artículo 22 del GDPR, y como consecuencia, se aplicará la prohibición del tratamiento automatizado de datos cuando este produce efectos jurídicos en el interesado o le afecte significativamente.

 

En este punto del análisis cabe plantearse ¿cuándo se considera que una decisión basada únicamente en el tratamiento automatizado produce efectos jurídicos en el interesado o afecta significativamente al interesado?

La Guía ha definido «efectos jurídicos» como un efecto que afecte a los derechos jurídicos de una persona, o que afecte al estado jurídico de una persona o a sus derechos en virtud de un contrato.

En este sentido, cuando se ejecuta un pago o se transfiere un bien o título simbólico, los derechos de una parte y las obligaciones de otra cambian inevitablemente, por tanto, muchos smart contracts quedarán bajo la aplicación del artículo 22 por provocar efectos jurídicos en los individuos.

Por otro lado, en multitud de ocasiones los contratos inteligentes afectarán significativamente a los individuos. Esto se puede ver en los ejemplos que se han mostrado en el inicio de este artículo, como es el cobro de una compensación por retraso de un vuelo.

Por tanto, y sin entrar a profundizar en exceso en este punto, es probable que muchos smart contracts entren dentro del ámbito de aplicación del artículo 22.1 del GDPR por producir efectos jurídicos o afectar significativamente al interesado.