1. Introducción: protección de datos, metaverso y tecnología blockchain
Blockchain, metaverso, smart contracts, tokenización… estos términos han pasado de ser completos desconocidos hasta hace poco a formar parte, cada vez con más intensidad, del lenguaje y los negocios habituales hoy en día. Actualmente son muchos los proyectos que proliferan relacionados con tokenización, NFTs e ICOs y muchas las marcas presentes en el metaverso, lo que tiene, de forma directa, un impacto en la protección de datos personales.
No obstante, no han sido sólo las marcas y los emprendedores quienes han hecho suya esta tecnología. También las Administraciones e instituciones públicas se han «puesto las pilas» y han empezado a emitir opiniones y resoluciones relacionadas con los complejos retos y problemáticas jurídicas que plantea la tecnología blockchain y los elementos que giran a su alrededor.
Así, y a modo de ejemplo, podemos citar la Dirección General de Tributos de España, quien ha emitido una primera consulta vinculante sobre la fiscalidad de los NFTs, cuyo comentario se puede leer aquí.
En el presente artículo vamos a centrarnos en los aspectos relacionados con la privacidad y la protección de datos que se ven también impactados por el metaverso, los smart contracts y la tecnología blockchain en general. Desde esta perspectiva, cabe indicar, que la Agencia Española de Protección de Datos (en adelante, AEPD) viene publicando diversos artículos informativos sobre cómo las aplicaciones de la tecnología blockchain pueden afectar a la protección de datos personales y al derecho de privacidad. Precisamente, en los últimos meses, la AEPD ha publicado en su blog dos notas acerca de este tema: una relacionada con los smart contracts y los datos personales, de 14 de marzo de 2022, y otra sobre el metaverso y la privacidad, de 14 de junio de 2022.
2. Conceptos básicos
Antes de comenzar a desgranar sendas noticias, es importante hacer una primera aproximación a los conceptos básicos. ¿Qué es la tecnología blockchain? ¿Para qué sirven los smart contracts? ¿Qué potencial tiene el metaverso?
La tecnología blockchain consiste en una cadena de bloques que configuran una base de datos distribuida y segura, gracias a la encriptación de los datos. Se crea un registro compartido de transacciones que opera de forma descentralizada entre todos los nodos que forman parte de la plataforma, de manera que no es necesaria la presencia de un tercero de confianza para su existencia y mantenimiento.
Los smart contracts tienen un papel relevante en la tecnología blockchain porque son programas informáticos, escritos en lenguaje de programación, que existen en una blockchain. Su principal característica es que son capaces de ejecutarse y hacerse cumplir por sí mismos, de manera autónoma y automática, sin intermediarios ni mediadores.
¿Dónde encaja el metaverso en todo esto? El metaverso es una red virtual dentro de una blockchain, que basa sus servicios en ofrecer experiencias a través de aplicaciones interconectadas entre dispositivos y productos. No deja de ser un universo virtual, formado por espacios virtuales en 3D, en el que existe una economía propia, una moneda propia, avatares y, en definitiva, otra realidad distinta al mundo real.
El metaverso más conocido es Decentraland, un metaverso que existe en la blockchain de Ethereum en el que se pueden comprar parcelas de terreno (conocidas como LAND) en forma de NFTs. Los pagos se efectúan con su propia criptomoneda, denominada MANA.
Las posibilidades que ofrece el metaverso son amplísimas, desde asistir a una conferencia, un concierto, hacer transacciones, probarse ropa (o más bien, que tu avatar se pruebe ropa) o visitar un museo y exponer tus propias obras de arte.
3. ¿Qué dice la AEPD sobre el metaverso y la protección de datos personales?
Desde el punto de vista de la privacidad, es incuestionable que el uso de los metaversos puede llegar a ser muy intrusivo con los datos personales del usuario, pues para ofrecer una verdadera experiencia inmersiva, los metaversos tratan una cantidad de datos considerable.
La AEPD reconoce que los metaversos pueden implicar el tratamiento de nuevas categorías de datos con mayor granularidad y precisión y pone como ejemplo los metaversos en los que se utilizan dispositivos del denominado Internet de las Cosas (IoT por sus siglas en inglés), que a menudo utilizan wearebles (tecnología ponible, como por ejemplo, gafas de realidad virtual, ropa inteligente, guantes que registran nuestras pulsaciones o relojes que registran nuestro ritmo respiratorio) o interfaces neuronales.
En estos casos, se estará tratando multitud de datos biométricos para analizar la respuesta emocional del usuario. Este análisis permite un estudio de la comunicación lingüística no verbal a través de los movimientos que realice el avatar en el metaverso en cuestión, y ello permite estudiar biomecánicamente a un individuo.
Toda esta tecnología abre la puerta a realizar un perfilado del usuario nunca antes visto y la AEPD reconoce que ello propiciará el empleo de técnicas de neuromarketing con gran precisión, puesto que los usuarios desvelarán información incluso de forma no deseada.
En este sentido, la AEPD identifica multitud de riesgos para la protección de datos personales y la salvaguarda de la privacidad en el entorno del metaverso, como la vigilancia masiva del usuario, la discriminación o la pérdida de autonomía e incluso el fraude o la suplantación de identidad digital.
Así, la AEPD concluye que todo ese procesamiento masivo de datos personales que se realice dentro de los metaversos deberá estar en consonancia con el Reglamento General de Protección de Datos (RGPD) y, en particular, habrá que observar con especial atención los siguientes aspectos clave:
- La minimización de los datos recogidos en el metaverso, de acuerdo con el artículo 5.1.c) del RGPD
- Mecanismos de gobernanza y transparencia en la protección de derechos, debiendo establecerse claramente los roles de cada uno de los intervinientes en el tratamiento de datos personales.
- Auditoría y transparencia en relación con la toma de decisiones automatizadas, de conformidad con el artículo 22 del RGPD, para evitar abusos, sesgos, perfilados y discriminaciones.
- Una adecuada gestión de los wearables y otros dispositivos que permitan el acceso a datos biométricos
- Realización de evaluaciones de impacto para la protección de los datos
- Garantía de los derechos de los usuarios de conformidad con la normativa sobre protección de datos
- Garantías específicas de privacidad desde el diseño y por defecto
- Seguridad y confidencialidad de los datos personales que son objeto de tratamiento en el metaverso
- Protección especial de los menores de edad y sus datos personales en los entornos virtuales
4. Datos personales y smart contracts
En relación con los smart contracts, la AEPD ha señalado que los mismos pueden producir decisiones automatizadas con efectos jurídicos significativos en el interesado. Esta circunstancia entra a menudo en conflicto con el artículo 22 del RGPD, pues puede producir pérdidas económicas, pérdidas de derechos sobre bienes digitales o materiales o fraudes de cualquier tipo.
Literalmente el artículo 22 señala lo siguiente:
“Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”
Existen tres excepciones a la prohibición que establece el artículo 22 del RGPD, citadas en el apartado segundo:
“El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos el interesado, o
c) se basa en el consentimiento explícito del interesado.”
En todos los casos, será necesario identificar una figura responsable de la ejecución del smart contract para poder efectuar un tratamiento automatizado de los datos personales.
Sobre la naturaleza de los smart contracts, la AEPD se pronuncia y admite que dada su complejidad no se puede afirmar de forma inmediata que los mismos se consideren contratos en sentido jurídico estricto, y dado su carácter de autoejecutable, es difícil asegurar que siempre se materializa un consentimiento expreso, inequívoco, específico e informado del interesado en el tratamiento de sus datos personales.
Dados los retos legales que la blockchain, los smart contracts y el metaverso plantean para la privacidad y la protección de datos, las empresas que implementen estas tecnologías emergentes en sus modelos de negocio, necesitan contar con abogados expertos en protección de datos que les ayuden a alinear la innovación y disrupción con la legalidad vigente.
