La protección de datos en la Blockchain y los Smart-Contracts ¿es posible?
La Agencia Española de Protección de Datos (“AEPD”) ha realizado una publicación sobre el posible impacto en el tratamiento de datos personales, regulado por el Reglamento General de Protección de Datos (“RGPD”), del cada vez más frecuente uso de los Smart-Contracts en algunos sectores, a través de la tecnología Blockchain.
Antes de indagar en estas explicaciones, se hace necesario recordar lo que son los Smart-Contracts y la Blockchain en la que se despliegan.
Los Smart-Contracts, o contratos inteligentes, no son más que algoritmos almacenados en la Blockchain y que ejecutan decisiones automatizadas, es decir, se trata de un programa para ejecutar ciertas obligaciones pre-determinadas cuando se cumplen una serie de requisitos o situaciones previas de forma automática y sin necesidad de intervención humana en muchos casos.
La Blockchain, o cadena de bloques, es una base de datos distribuida (almacenada en cada uno de los nodos que componen la cadena), que facilita el proceso de registro de transacciones y de seguimiento de activos en una red de negocios. Se caracteriza, entre otras cosas, por la garantía que otorga al registro debido a la dificultad que entraña el hecho de intentar modificar un bloque que está distribuido entre un número indeterminado de nodos, lo cual impide que una sola persona pueda tomar esta decisión por sí sola.
La combinación de las características de ambos elementos es lo que hace interesante su uso para la ejecución de determinadas obligaciones, ya que mediante su combinación se permite que determinados contratos pre-establecidos se ejecuten sin que estén sujetos a valoración o intervención humana, y sin que una de las partes pueda decidir sobre dicha ejecución o sobre la modificación de las condiciones de la misma; ya que los Smart-Contract desplegados en la Blockchain son invariables, y cualquier cambio en los mismos sería rápidamente detectado por el resto de nodos de la cadena.
Ahora bien, si nos centramos en lo que a protección de datos se refiere, debemos tener cuidado cuando intentemos diseñar o emplear un Smart-Contract, ya que los mismos entran de lleno en el ámbito de aplicación del artículo 22 del RGPD, que regula el uso de decisiones automatizadas con impacto jurídico en los interesados o les afecte de forma significativa.
Para mejor comprensión, usaremos uno de los ejemplos más habituales de Smart-Contract, que estaría plenamente sometido a este artículo: El caso de un seguro relacionado con la producción agrícola, en el que se establece que si no se producen precipitaciones de igual o mayor cantidad a “X”, se abonará automáticamente al productor asegurado la cantidad fija regulada en el contrato de seguro, de forma que dicho Smart-Contract está vinculado a unos detectores de precipitaciones de la zona que, en la fecha acordada, envían el nivel de precipitaciones y, en base a este dato, se ejecuta o no el Smart-Contract.
En este caso, podemos ver un ejemplo sencillo de Smart-Contract sin intervención humana, pero con impacto significativo en el interesado (ya que del mismo depende el cobro o no del seguro).
Ahora bien, esta opción, tal y como está reflejada, no sería posible desde un punto de vista del RGPD en tanto en cuanto el mismo exige, en el artículo 22, que para que esta toma de decisiones sea correcta deben establecerse ciertas medidas de seguridad, entre las que deben encontrarse, como mínimo, el derecho del interesado a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
Es decir, no sería posible la creación de Smart-Contracts que implicaran el uso de datos personales que pudieran afectar al interesado de forma significativa (criterio que, además es interpretable) y que carecieran de cualquier tipo de intervención humana.
Volviendo al caso anterior, el ejemplo sería legalmente aceptable, a priori, si, en lugar de darse la orden de ejecución o no del Smart-Contract por el sensor mencionado, los datos de este último hubiesen sido validados previamente por la compañía aseguradora o existiera la posibilidad de rescindir o llevar a cabo esa orden de pago tras una revisión por personal de dicha compañía. Ahora bien, esto le quita gran parte de su sentido al uso de los Smart-Contracts, ya que eliminan, o al menos reducen, la automatización de procesos que los caracteriza.
Tenemos que tener en cuenta igualmente que no en todos los casos las empresas estarían legitimadas para el uso de estos Smart-Contracts en lo que afecte a datos personales, ya que la propia legislación limita las bases de legitimación aplicables a estas decisiones automatizadas a: 1) su necesidad para la celebración o la ejecución de un contrato, 2) la autorización por el Derecho de la Unión o de los Estados miembros o 3) el consentimiento explícito del interesado. Además, la AEPD ha manifestado en esta publicación la dificultad para “asegurar o afirmar de forma inmediata la validez de la celebración de un contrato entre el responsable del tratamiento y el interesado o considerarse como un contrato en sentido jurídico estricto. También es difícil asegurar que siempre pueda materializarse el consentimiento expreso, inequívoco, específico e informado del interesado en el tratamiento de sus datos, para poder considerarlo como una de las excepciones permitidas en el artículo 22 del RGPD”.
Por otro lado, las medidas antes mencionadas no son las únicas que sería necesario implementar, ya que, como todo tratamiento de datos personales, hay una serie de requisitos que tendrán que tenerse en cuenta, como son la obligación de implementar la privacidad desde el diseño y por defecto, realizar las Evaluaciones de Impacto en Protección de Datos y, posiblemente, consultas previas a la autoridad de control, creación de documentación que permita cumplir con las obligaciones de transparencia con los usuarios, implementar una gestión de derechos clara para poder atender a los usuarios y explicarles las decisiones automatizadas tomadas, etc.
Por tanto, y a modo de conclusión, debemos dejar claro que el uso de Smart-Contracts es una situación compleja que requerirá de un examen en gran profundidad, sin embargo no debemos considerar que su uso sea imposible, pero sí que se debe ser consciente de que se requerirá un asesoramiento en detalle realizado por expertos tanto tecnológicos como legales (ya que es imposible entender tanto el funcionamiento y necesidad de implementación técnicas como los riesgos y obligaciones legales si no se tiene una visión integral del proyecto) antes de lanzarse al uso de estos Smart-Contracts.
Ahora bien, también debemos destacar que es muy probable que el empleo de estos algoritmos se extienda aun más en el futuro conforme se siga avanzando en tecnologías disruptivas, como el metaverso, donde estos programas automáticos pueden tener un mayor uso tanto para individuos como para empresas en la monetización y la agilización de las relaciones realizadas para y en dichas tecnologías, por lo que entendemos que la experiencia en el asesoramiento y diseño de estos algoritmos será especialmente relevante en un futuro cada vez más cercano.
Enrique Extremera Maestro, Head Privacy Counsel, Legal Army