La economía digital está caracterizada por el uso de los datos personales para crear y mejorar modelos de negocios que, en teoría, deberían representar un beneficio para los individuos. En particular, el uso de big data, es decir de grandes cantidades de información originados de diversas fuentes a gran escala y velocidad, ha caracterizado los últimos años de desarrollo económico y tecnológico. A pesar de los grandes beneficios socioeconómicos que trae la tecnología, que son innegables, también ha ocasionado graves daños. Desde valoraciones injustas generadas de forma automática como consecuencia del tratamiento de ciertos datos, como ha sucedido recientemente en Países Bajos, hasta, inclusive, generar un cultura y modelo de negocio basado en la vigilancia constante y la extracción de valor a partir de dicha vigilancia, como son las grandes plataformas de redes sociales.
¿Qué herramientas jurídicas tenemos para frente a esta realidad? Si bien contamos con todo el “arsenal” de institutos jurídicos para lidiar con el llamado capitalismo de vigilancia, hay dos elementos que han resaltados por encima del resto por su relación directa con los datos: el derecho a la privacidad y el derecho a la protección de datos personales. Si bien ambos presentan muchos puntos en común, e inclusive cuando son ejercidos logran efectos similares, son diferentes: el derecho a la privacidad busca que ciertas acciones y hechos relativos a una persona permanezca dentro de su esfera de intimidad mientras que el derecho a la protección de datos personales pretende que la información sobre una persona, ya sea pública o privada, sea usada siguiendo una serie de obligaciones. Dado la amplitud del concepto de dato personal, este derecho representa un mecanismo para contrarrestar posibles ataques a lo más íntimo de nuestra personalidad: nuestra información que representa quienes somos.
Con un origen anclado principalmente en Europa, las normas de protección de datos personales buscan establecer ciertos derechos y obligaciones mínimos que deben ser respetados para asegurar que esos datos no ocasionen un daño, por mínimo que sea, a su titular. América Latina, y en particular Argentina, cuentan con una sólida tradición en esta materia y estrechamente relacionada con las normas europeas. Sin embargo, muchas jurisdicciones carecen de ella. Ante los peligros que pueden suponer estas actividades para los derechos de las personas, aquellos países que carecían de normas en este sentido han procedido a adoptarlas y aquellas jurisdicciones que las tenían han tomado acciones para ajustar sus marcos normativos a los últimos avances tecnológicos.
Actualmente, buena parte de la discusión sobre la economía digital esta puesta únicamente sobre un conjunto muy específico de áreas, principalmente las redes sociales, los grandes portales de comercio electrónico y las aplicaciones de economía colaborativa. Todas estas herramientas permiten la conexión directa entre particulares para fomentar relaciones entre iguales. Sin embargo, esas interacciones se dan bajo el amparo de una plataforma operada por un intermediario que mantiene un ojo puesto sobre que se hace dentro de su espacio. A partir de esa vigilancia, ese intermediario tiene acceso a un conjunto de datos personales que le permite llevar a cabo una explotación económica de ellos.
Dentro de ese debate, suelen quedar fuera las instituciones bancarias y, de forma más general, el sistema financiero. Sin embargo, el impacto tecnológico también ha llegado a este conjunto de actividades económicas. La creación de plataformas para la provisión de servicios financieros es una realidad e, inclusive, es estimulado por los reguladores mediante las políticas de promoción de entornos de banca o finanzas abiertas, también conocidas en inglés como open banking y finance, respectivamente. Sin embargo, a pesar de la apertura, sigue existiendo un intermediario a quien responsabilizar e imponer obligaciones, sin perjuicio de las actividades que llevan adelante los participantes de estas plataformas. Por ejemplo, los modelos de crowdlending o crowdfunding suelen estar organizados por una entidad, como Afluenta en América Latina, que asume un conjunto de obligaciones frente a los usuarios.
Sin embargo, en el mundo de los servicios financieros ha tenido lugar un proceso de desintermediación gracias al fenómeno de Bitcoin y la revolución que ha generado en consecuencia. Explicar Bitcoin y las tecnologías descentralizadas creadas a partir de este es innecesario dado que ya se han escrito numerosa cantidad de artículos periodísticos, opiniones, reportes de la industria y de organismos internacionales, análisis de diferentes disciplinas científicas hasta inclusive decisiones administrativas y judiciales. Bitcoin ha permitido abrir la puerta a la pregunta: ¿existe una alternativa al sistema financiero basado en la emisión desmedida y descontrolada de dinero fiduciario sin respaldo alguna que permite la creación de ahorro y, consecuentemente, la generación de inversiones?
Como consecuencia de Bitcoin, surgió el fenómeno de las finanzas descentralizadas, conocido en inglés como decentralized finance y, generalmente, abreviado como DeFi. La premisa fundamental de las DeFi es remover intermediarios, como bancos, procesadores de pagos, etc., y permitir que muchas de las funciones de que estos ejecutaban sean realizadas directamente por software, mediante contratos inteligentes. Como contrapartida de ello, la eliminación de intermediarios implica que no existe una entidad capaz de bloquear o limitar de alguna manera el ingreso o participación en determinada actividad a actuales o potenciales participantes. Así como Bitcoin ha permitido la transferencia de valor a escala global sin restricciones, las DeFi pueden hacer lo mismo con el resto de actividades financieras más complejas que la mera transmisión de valor.
Ahora bien, las normas de protección de datos personales presentan una estructura donde el rol de los intermediarios es fundamental por su organización verticalista. Con diferentes nombres, dependiendo de la norma que estemos mirando, siempre exista una persona o una entidad que determina el ciclo vital del tratamiento de datos: desde su recolección y los motivos que disparan esa actividad, pasando su efectivo procesamiento hasta culminar en su destrucción cuando la finalidad para la cual se los recolecto ha sido cumplida. Esa entidad es lo que se conoce como responsable del tratamiento y, como bien lo indica su nombre, es quien respetar las normativas de protección de datos. Junto con esta figura, también podemos encontrar a los encargados del tratamiento, quienes ayudan al responsable con cierta actividad puntual siguiendo sus instrucciones. Del otro lado, nos encontramos con los titulares de los datos personales.
Como señalamos antes, las DeFi permiten la conexión directa entre particulares para la provisión de servicios financieros mediante la ayuda de contratos inteligentes para garantizar el cumplimiento de las obligaciones asumidas y el respeto de los derechos contraídos. La pregunta que se dispara a continuación es, por lo tanto, ¿quién es el responsable del tratamiento de datos personales en este entorno descentralizado y como debe ser realizado el tratamiento de datos?
La pregunta no es nueva y hace años que la aplicación de las normas de protección de datos personales al universo blockchain constituye un gran desafío. En ese sentido, las DeFi no son la primera aplicación de las tecnologías descentralizadas que se han visto enfrentadas a esta pregunta. Desde hace años que las tecnologías descentralizadas se enfrentan a este escrutinio en todos sus ámbitos: desde los análisis académicos pasando por los reportes de consultoras hasta, inclusive, informes generados por instituciones internacionales, como el Observatorio y Foro Blockchain de la Unión Europea.
La pregunta se vuelve aún más compleja cuando se trata de tecnologías abiertas y transparentes en cuanto a su funcionamiento porque los datos se encuentran liberados al público; el hecho que el dato sea público, y por lo tanto que haya menos expectativa de privacidad, no implica que no deba respetarse el régimen aplicable de protección de datos personales.
Esta pregunta relacionada con la protección de los datos personales no es la única que las DeFi deben enfrentarse. La eliminación de los intermediarios tradicionales que actuaban como sujetos obligados de cierta normativa también ha sido una pregunta que se ha realizado con relación a las DeFi en temas como la intermediación financiera, la protección de los usuarios de servicios financieros o, inclusive, la prevención de lavado de activos y financiamiento del terrorismo.
La búsqueda de un “nuevo” sujeto obligado no debe volverse una caza de brujas para mantener ciertas normas, sino que debe ser una oportunidad para replantear las normas que tenemos y, aún más importante, el conocimiento y respeto que la sociedad tiene de esas normas. Tomando el caso de la protección de datos personales, en lugar de buscar un responsable del tratamiento para exigir el cumplimiento con la normativa, resultaría más beneficioso la enseñanza y la generación de una cultura de respeto a los datos personales para evitar que el cumplimiento de normas sea visto como una obligación tortuosa.
Estos problemas, lejos de ser una realidad distante, son moneda corriente en nuestra actualidad, más aún en países de América Latina donde el uso de las DeFi crece constantemente. Por otro lado, estos interrogantes cobran un gran sentido cuando se considera que mucho de los principales usuarios de DeFi son personas económicamente vulnerables y, por lo tanto, merecedoras de mayor protección conforme las normas de protección de datos personales.
En este sentido, debemos tener siempre presente que las actividades digitales conllevan, en la gran mayoría de los casos, una actividad de tratamiento de datos. En consecuencia, ello dispara la necesidad de atender los derechos y obligaciones que esas normas de protección de datos personales asignan. Los profesionales jurídicos trabajando en la industria de las criptomonedas necesitan tener un acabado conocimiento del funcionamiento técnico de estas herramientas para saber cuándo hay un dato personal y cuando no lo hay. Del otro lado, los profesionales informáticos necesitan conocer la existencia de estas normas para contemplar desde el diseño de la tecnología y del desarrollo del plan de implementación la observancia de los derechos y obligaciones.
