Nos encontramos ante un punto de inflexión en la historia económica, marcado por una transformación profunda y sin precedentes en las dinámicas de intercambio y valoración de activos.

Tradicionalmente, los ciclos económicos han estado dominados por medios de intercambio tangibles y regulados centralmente, como el oro y el dinero fiduciario, así como por mecanismos de transacción modernos, como las tarjetas bancarias. Sin embargo, la emergencia de Bitcoin y otras criptomonedas ha introducido un nuevo paradigma radicalmente diferente: la descentralización.

Esta no es simplemente una evolución técnica, sino un cambio fundamental en la concepción misma de lo que constituye una ‘moneda’. A diferencia de los sistemas anteriores, donde el valor y la confianza eran impartidos y regulados por entidades centralizadas (gobiernos y bancos centrales), Bitcoin opera en una red descentralizada de nodos que valida transacciones sin necesidad de intermediarios. Este modelo descentralizado no solo redefine la noción de ‘moneda’ como herramienta de intercambio y reserva de valor, sino que también altera radicalmente la estructura de poder y control sobre la política monetaria. Al eliminar el control centralizado y democratizar el acceso a los medios de intercambio, Bitcoin podría potencialmente ofrecer una alternativa más estable y menos susceptible a la manipulación que los sistemas económicos anteriores.

En este contexto, Bitcoin y la tecnología blockchain representan no solo una innovación tecnológica, sino también una respuesta ideológica a las limitaciones de los sistemas económicos basados en la confianza en entidades centralizadas. Este nuevo paradigma propone una visión donde la transparencia, la seguridad y la equidad no están garantizadas por promesas institucionales, sino por la criptografía y el consenso comunitario.

 En este contexto de cambio intrínseco del paradigma económico, se deriva una estricta necesidad de adaptación de las regulaciones existentes, la interpretación legal de la descentralización y el anonimato, y el impacto en las políticas económicas globales.

¿Qué es el Halving de Bitcoin?

El halving de Bitcoin es un evento programado que reduce a la mitad las recompensas que reciben los mineros por validar nuevas transacciones y añadir bloques a la blockchain. Este evento ocurre aproximadamente cada cuatro años, cada 210.000 bloques minados y hasta la fecha, ha tenido lugar en tres ocasiones (2012, 2016, y 2020).

Inicialmente, la recompensa era de 50 BTC por bloque; actualmente, después de varios eventos de halving, la recompensa ha disminuido significativamente. Este mecanismo está diseñado para continuar hasta que se minen los 21 millones de bitcoins, lo que está previsto para el año 2140, contribuyendo así a una escasez comparable a la de los metales preciosos, lo que puede elevar su valor percibido a largo plazo si la demanda persiste o aumenta.

Bitcoin ha incorporado así un mecanismo de control de inflación a través de su diseño de halving, aumentando su valor progresivamente, de forma deflacionaria.

La naturaleza deflacionaria de Bitcoin incentiva tanto la minería, proporcionando beneficios a largo plazo a medida que disminuyen las recompensas pero potencialmente aumenta el valor de la moneda, como la inversión y la innovación en el sector de las criptomonedas. Los inversores son atraídos por la promesa de un aumento en el valor de Bitcoin, motivándolos a invertir en tecnologías relacionadas y proyectos emergentes. Simultáneamente, fomenta el ahorro entre los usuarios que ven en Bitcoin una oportunidad para preservar y aumentar su poder adquisitivo con el tiempo, una ventaja significativa sobre las monedas tradicionales que tienden a perder valor.

El desafío de adaptar el marco regulatorio a la naturaleza descentralizada de las criptomonedas como Bitcoin es complejo y requiere un enfoque meticuloso y colaborativo entre las jurisdicciones. Las criptomonedas desafían las normativas financieras tradicionales debido a su falta de centralización, lo que impide la aplicación de muchas estrategias regulatorias que dependen de la intervención directa sobre entidades centralizadas como bancos y otras instituciones financieras. A modo de ejemplo, vemos como las regulaciones existentes de todo el mundo ya se están integrando con el paradigma cripto:

1. Regulaciones de la Unión Europea (UE)

En la Unión Europea, la Quinta Directiva Antilavado de Dinero (AMLD5) es un ejemplo de cómo los reguladores están adaptando sus marcos para abordar las criptomonedas. Implementada en enero de 2020, esta directiva extiende los requisitos de las leyes AML/CFT (Anti-Money Laundering/Counter-Financing of Terrorism) a las plataformas de intercambio de criptomonedas y los proveedores de monederos electrónicos. Este cambio fue significativo porque marcó un reconocimiento de que las criptomonedas podían ser utilizadas para el lavado de dinero y la financiación del terrorismo, y que por lo tanto debían estar sujetas a supervisión regulatoria similar a las instituciones financieras tradicionales.

Avanzando en esta línea, la Unión Europea está preparando el terreno para la introducción de la Regulación sobre Mercados de Criptoactivos (MiCA), que se espera entre en vigor próximamente. Esta nueva regulación se propone establecer un marco legal específico para la gestión de criptoactivos, incluyendo no solo las criptomonedas sino también los diversos productos y servicios que giran en torno a la economía digital basada en blockchain. MiCA apunta a estandarizar las normas a lo largo de todos los estados miembros de la UE, ofreciendo un enfoque armonizado que facilita la operación legal de los mercados de criptoactivos mientras se asegura de proteger a los consumidores e inversores.

MiCA, que entrará en vigor el 30 de junio de 2024,​ abordará varias áreas críticas: desde la autorización y supervisión de los emisores de criptoactivos y proveedores de servicios relacionados hasta la prevención del abuso de mercado y la garantía de transparencia y equidad en las transacciones de criptoactivos. Por ejemplo, bajo MiCA, los emisores de tokens estables deberán ser entidades legales que cumplan con requisitos específicos de capital y operación, diseñados para asegurar la estabilidad y reducir los riesgos financieros.

2. FinCEN en Estados Unidos

En Estados Unidos, la Financial Crimes Enforcement Network (FinCEN) ha sido proactiva en la regulación de las criptomonedas. En 2013, FinCEN emitió guías que definían a los administradores y exchanges de criptomonedas como «transmisores de dinero» bajo las regulaciones de la BSA (Bank Secrecy Act). Esta clasificación implica que estas entidades deben implementar programas de cumplimiento AML, mantener registros apropiados y reportar ciertas transacciones. En 2019, FinCEN emitió nuevas guías que clarificaron y ampliaron las responsabilidades de las entidades involucradas en criptomonedas, incluyendo el desarrollo de modelos de negocio que no existían cuando las primeras guías fueron publicadas.

3. Regulación en Asia: Japón

Japón ha sido líder en la regulación de criptomonedas, reconociendo legalmente a Bitcoin como una forma de pago desde 2017 y exigiendo que todas las plataformas de intercambio de criptomonedas estén registradas y cumplan con las regulaciones AML y CFT. Esto se hizo más riguroso después del hackeo de Coincheck en 2018, después del cual la Agencia de Servicios Financieros (FSA) intensificó las inspecciones y la supervisión de las casas de cambio de criptomonedas. Japón muestra cómo una regulación bien pensada puede ayudar a legitimar y estabilizar el mercado de criptomonedas, protegiendo al mismo tiempo a los consumidores y promoviendo la innovación tecnológica.

Por lo tanto, para un abordaje más efectivo y coherente, se sugiere la colaboración internacional entre reguladores para desarrollar estándares comunes que puedan aplicarse a nivel global. Además, es crucial que los reguladores trabajen junto con tecnólogos y expertos en criptomonedas para desarrollar una comprensión más profunda de las tecnologías involucradas y así formular regulaciones que no solo protejan al público y mantengan la estabilidad financiera, sino que también permitan la innovación y el crecimiento del sector de las criptomonedas.

En el ámbito regulatorio de la nueva criptoeconomía, la colaboración internacional será crucial, dado que la naturaleza descentralizada y transfronteriza de las criptomonedas hace ineficaces los esfuerzos aislados. Iniciativas como el «Crypto-Asset Reporting Framework» de la OCDE y el «Global Stablecoin» de G7 son pasos hacia una regulación coordinada que podría establecer estándares globales para la supervisión de las criptomonedas, cuyo objetivo debe ser crear un ambiente que mitigue los riesgos asociados con estas tecnologías al tiempo que se fomenta su potencial para innovar y ofrecer nuevos servicios financieros.

Conclusiones

La transición hacia una economía globalizada y descentralizada, ejemplificada por el auge de criptomonedas como Bitcoin, plantea desafíos y oportunidades únicas. Si bien las características deflacionarias de Bitcoin ofrecen beneficios como la preservación del valor y el fomento del ahorro, también presentan riesgos potenciales que podrían desestabilizar la economía global si no se manejan adecuadamente. En una economía deflacionaria, el incentivo para posponer el consumo y la inversión puede llevar a una disminución en la actividad económica y, eventualmente, a la estagnación económica. Además, la inherente volatilidad de las criptomonedas podría amplificar estos efectos, haciendo que el valor de estas monedas sea impredecible a corto plazo.

En resumen, mientras que la deflación de monedas como Bitcoin presenta varios beneficios potenciales, particularmente en términos de preservar el valor y fomentar el ahorro, también viene con desafíos que deben ser gestionados cuidadosamente tanto por los inversores como por los reguladores para asegurar que su impacto en la economía global sea estabilizador en lugar de disruptivo.

La sociedad, en este nuevo paradigma, se orientará hacia una mayor autonomía y empoderamiento del individuo, gracias al acceso directo y descentralizado a los servicios financieros. Esto podría llevar a una reducción de la brecha de desigualdad financiera, ya que las criptomonedas y la tecnología blockchain ofrecen oportunidades de inclusión financiera a aquellos que tradicionalmente han estado excluidos del sistema financiero convencional.

Sin embargo, este empoderamiento también viene acompañado de nuevos desafíos y responsabilidades. La autonomía financiera incrementada requiere que los individuos tengan una comprensión sólida de los riesgos y beneficios asociados con las criptomonedas. En este sentido, la educación y la capacitación se volverán componentes esenciales de la política pública, para asegurar que todos los ciudadanos puedan participar de manera segura y efectiva en la economía digital.

Mientras nos dirigimos hacia este paradigma económico globalizado y descentralizado, la regulación adecuada y la colaboración internacional no solo son deseables, sino esenciales para garantizar una transición segura, equitativa y beneficiosa para todos los actores involucrados.

La regulación del futuro debe equilibrar la innovación con la protección, asegurando que la revolución de la criptomoneda y la blockchain catalice un cambio positivo y sostenible en nuestra sociedad global.

Nos dirigimos hacia una nueva era.

¡Feliz Halving, Bitcoin Hodlers!

El mundo de la propiedad intelectual e industrial siempre ha sido un terreno fértil para desafíos legales y éticos complejos. En este contexto, uno de los conceptos más intrigantes y polémicos es el de la patente. Ya hemos desglosado los elementos fundamentales de una patente en artículos anteriores: la creatividad innovadora, la novedad y la aplicabilidad industrial. Sin embargo, más allá de estos conceptos básicos, se abren debates éticos y legales adicionales relacionados con la biotecnología y la posibilidad de patentar la vida misma.

Dos dilemas centrales requieren una atención inmediata:

El primer dilema radica en cómo definir con precisión el objeto de una invención. ¿Es posible patentar un mero descubrimiento? La respuesta es negativa; la simple identificación de una nueva especie o un nuevo gen no cumple los requisitos para obtener protección por patente.

El segundo dilema, de mayor alcance, surge de las consideraciones éticas relacionadas con la capacidad de patentar invenciones de naturaleza biológica. Es fundamental recordar que la vida en sí misma no puede ser patentada, a menos que haya sido creada mediante un proceso aislado y completamente independiente de la naturaleza. En otras palabras, no es posible patentar un órgano humano tal como existe en la naturaleza. Sin embargo, si se logra crear uno en un laboratorio de manera aislada, con mejoras específicas, como la capacidad de prevenir la formación de cálculos renales, entonces podría considerarse sujeto a una patente. Este último punto genera debates intensos desde una perspectiva ética, ya que algunos se oponen enérgicamente a la idea de «inventar» y patentar la vida.

Un Punto de Inflexión en la Patentabilidad de la Vida

Un hito en el campo de las patentes biotecnológicas se encuentra en la histórica Sentencia del Tribunal Supremo de los Estados Unidos, que permitió la patente de una bacteria creada mediante ingeniería genética, conocida como Gen Pseudomonas. Este caso, conocido como el caso Chakrabarty, marcó un cambio significativo en la percepción de la patentabilidad de la vida.

En junio de 1972, Amanda Chakrabarty solicitó una patente en los Estados Unidos para una bacteria con la notable capacidad de degradar y eliminar hidrocarburos y sus manchas. La solicitud de patente incluía la reivindicación del método de obtención de estas bacterias, su combinación con materiales portadores y la propia bacteria.

Este invento presentaba un gran potencial comercial y prometía beneficios evidentes para el medio ambiente, ya que podría ayudar a mitigar desastres naturales relacionados con hidrocarburos. Tras varios debates sobre la posibilidad de patentar seres vivos, el caso llegó al Tribunal Supremo de Estados Unidos, que dictaminó:

«El solicitante ha creado una bacteria con características notoriamente diferentes de cualquier otra encontrada en la naturaleza, que además posee un potencial de utilidad significativa. Este descubrimiento no es obra de la naturaleza, sino del investigador […]. El párrafo 101 de manera inequívoca ampara la invención del solicitante, ya que la ley de patentes no hace distinción entre objetos vivos o inanimados, sino entre productos de la naturaleza, vivos o no, y las invenciones producidas por el ser humano.»

Este fallo respalda la idea de que lo fundamental no es si la invención se relaciona con la vida o no, sino si lo que se intenta proteger no se encuentra de forma natural. Esta interpretación de la patentabilidad de la vida es más flexible en Estados Unidos y Japón que en Europa, donde las patentes biotecnológicas son más restrictivas y han influido en el desarrollo de la industria biotecnológica en ambas regiones.

Consideraciones Éticas y Normativas Europeas

Dada la disparidad en las normativas, Europa ha trabajado en el desarrollo de la Directiva del Parlamento y el Consejo de la Unión 98/44/CE. Esta directiva se centra principalmente en la protección jurídica de las invenciones biotecnológicas, aunque la regulación de la solicitud y concesión de patentes biotecnológicas sigue siendo provisional en el Convenio de Munich.

En Europa, es necesario respetar ciertos valores que afectan a la patentabilidad de la vida, como la dignidad humana y los compromisos internacionales. Entre estos compromisos se incluye el Tratado sobre Biodiversidad de Río de Janeiro de 1992 y el Tratado de Nagoya relativo al acceso a los recursos genéticos y la participación justa y equitativa en los beneficios derivados de su uso. Estos aspectos han generado debates apasionados sobre la investigación y las diversas sensibilidades en juego.

En Resumen

En conclusión, a pesar de los debates en torno a la patentabilidad de la vida, está claro que las invenciones biotecnológicas pueden ser patentadas, siempre que se creen y produzcan en un entorno aislado, diferenciándolas de los simples descubrimientos. Sin embargo, los límites de esta área continúan siendo objeto de revisión y cambio constante en un mundo donde la frontera entre la ciencia y la ética está en constante evolución.

En esta primera publicación trataremos una de las más significativas obligaciones para los proveedores de servicios sobre criptoactivos (o CASPs en sus siglas en inglés): la obligación de registro ante una autoridad competente.

Nociones esenciales

¿Quién es CASP? Dice el reglamento que será considerado CASP aquel cuya actividad consista en la prestación de forma profesional de cualquiera de los servicios sobre criptoactivos; pero ¿cuáles son los servicios sobre criptoactivos? Son todos aquellos que puedan encajar en cualquiera de las siguientes categorías de servicios:

• la custodia y la administración de criptoactivos por cuenta de terceros;
• la explotación de una plataforma de negociación de criptoactivos;
• el canje de criptoactivos por una moneda fiat de curso legal;
• el canje de criptoactivos por otros criptoactivos;
• la ejecución de órdenes relacionadas con criptoactivos por cuenta de terceros;
• la colocación de criptoactivos;
• la recepción y transmisión de órdenes relacionadas con criptoactivos por cuenta de terceros;
• el asesoramiento sobre criptoactivos.

Por lo tanto, todo aquel que de forma profesional preste cualquiera de los servicios anteriores de acuerdo con las definiciones de cada servicio que realiza el propio reglamento, será considerado CASP y por lo tanto deberá de estar autorizado ante el órgano competente.

Sin embargo, ¿estarán todos los tipos de criptoactivos bajo la regulación de MICA? Comentábamos, en la publicación anterior que no; no todos los tokens (o fichas como las denomina la versión en español del reglamento) estarán bajo la lupa de la AEVM (Autoridad Europea de Valores y Mercados) y la ABE (Autoridad Bancaria Europea). Lo estarán por ahora los asset reference tokens, los e-money tokens, los utility tokens y todo aquel token que no sea considerado instrumento financiero o se considera único y no-fungible respecto de cualquier otro token, ¡ojo! Siempre y cuando ninguno de los anteriores se utilicen como medio de elusión de la normativa aplicable, sea MICA o sea MIFID, o normativa sobre dinero electrónico. Por lo tanto, habrá que analizar caso por caso cada token a efectos de poder excluir la aplicación de una norma y otra.

La obligación de autorización

Con la aprobación de MICA y su entrada en vigor, ya no será posible para ningún CASP prestar servicios sobre criptoactivos si previamente no se encuentra establecido en el territorio de la Unión, y además le ha sido concedida autorización para operar.

¿Qué implica esto? Que la Unión ha regulado lo que se denomina “reserva de actividad”, es decir, que solo podrán ser prestados determinados servicios por determinadas personas, en este caso CASPs autorizados de acuerdo con lo que comentamos ahora en adelante.

En cuanto a la solicitud de autorización, hay que destacar que esta no se debe presentar ante la AEVM o la ABE, aunque sea la AEVM la última encargada de publicar el listado de CASPs en suelo europeo autorizados, sino que deberá presentarse ante la autoridad competente en el estado miembro en que se sitúe el proveedor. No obstante ¿significa eso que deberemos solicitar autorización en cada estado miembro? No, ya que, gracias a la aplicación de los principios de libertad de establecimiento y libre prestación de servicios, con solicitar y sernos concedida una autorización, siempre que designemos en la solicitud aquellos estados a los que vayamos a dirigir nuestra actividad, podremos operar a nivel transfronterizo dentro de la Unión. Por último, ¿qué información debe consignarse? Se recoge en el apartado segundo del artículo 54, del que podemos destacar algunos puntos, que pueden ser críticos especialmente para startups, emprendedores y compañías cuyo organigrama no se haya profesionalizado:

• una descripción del sistema de gobernanza del CASP;
• una prueba de que quien participe en el órgano de dirección del CASP posee colectivamente los conocimientos, las aptitudes y la experiencia suficientes para la gestión del proveedor;
• una descripción del mecanismo de control interno, el procedimiento de evaluación de riesgos y la estrategia de continuidad de la actividad;
• descripción de procedimientos para tramitar las reclamaciones de clientes;
• descripción del procedimiento y del sistema para detectar el abuso de mercado
• y por último, pero dependiendo del tipo de servicio se vaya a prestar descripción políticas y procedimientos clave en relación con el tipo de servicio que se presta.

Por otro lado, y una de las cuestiones más importantes en relación con la autorización ¿en cuánto tiempo se puede obtener una autorización? Pues bien, sin tener en cuenta el tiempo de preparación de la solicitud, así como de los documentos necesarios que deben acompañarla, y reunir los requisitos que sirven de base fáctica a los mismos, nos dice el reglamento que la autoridad deberá de contestar en 25 días naturales. Sin embargo, ha de tenerse en cuenta que la obtención de la autorización puede demorarse si a juicio de la autoridad la autorización no cumple con los requisitos o adolece de errores, u omisiones en fondo y forma.

Por último, ¿puede ser objeto de revocación la autorización? Por supuesto, y para ello se han predispuesto una serie de situaciones en las que las autoridades pueden revocar la autorización, decisión que puede estar sujeta a moderación, pues se puede revocar la autorización para un estado miembro o para un servicio concreto, cuando el proveedor la haya obtenido no solo para un estado o servicio.

En conclusión, por fin hemos obtenido certeza respecto a la necesidad de operar o no, y finalmente podremos saber, después de un análisis de aplicabilidad de normativa a según que token se vaya a emitir o sobre que token se prestará servicios, si debemos o no registrarnos. Sin embargo, como últimas notas antes de cerrar esta primera publicación, y a modo de opinión, y aunque es cierto que finalmente obtenemos la tan anhelada certeza parece que el regulador reflejando ciertas cuestiones propias de la regulación sobre los mercados financieros parece haberse olvidado de que a salvo de los ya consolidados prestadores, gran parte de la oleada de proveedores de servicios serán emprendedores, pequeñas empresas o startups con pocos y escasos recursos para poder construir los organigramas profesionales o contar con los equipos experimentados que pueden ser necesarios para acreditar la idoneidad del prestador ante la autoridad competente, algo que de no remediarse, podría frenar la innovación que se supone este reglamento debería de propulsar.

Esperamos este post os haya sido de interés y utilidad, y también os dé algo más en lo que pensar sobre la política legislativa de la Unión ¡Nos vemos en el post de la siguiente semana!

Introducción 

MICA es el marco regulatorio por el que la Unión lleva apostando estos últimos años y que tanto ha dado que hablar. Se trata de un reglamento (con plena eficacia directa en los estados miembros, es decir, sin necesidad de que el regulador nacional -CNMV, BdE, etc.- adapte o trasponga nada) que pretende aportar seguridad y certeza jurídicas a los operadores crypto, y por supuesto, protección a los consumidores; y todo ello, no lo olvidemos, “sin dejar de promocionar la innovación en el sector crypto”. 

¿A qué afecta? 

¿Cuál es el ámbito de MICA? Es decir, ¿qué regula? 

• Transparencia y obligaciones de información en relación con la emisión de criptoactivos. 
• Previa autorización y continua supervisión de los proveedores de servicios y emisores de criptoactivos. 
• La vida y actividad de los emisores de asset referenced tokens. 
• Protección de los consumidores. 
• Prevención del abuso de mercado, así como integridad del mismo.

Novedades relevantes y a tener en cuenta

¿Y qué es lo que nos espera? En un ejercicio de resumen, estos son algunos de los puntos mas relevantes: 

• IMPORTANTE: no aplica a otros criptoactivos que por su naturaleza deban estar sujetos a otro tipo de normas, como son los securities (que se regularán a través de MiFID, MiFIR, y similares). 
• Los servicios de custodia ¡a regulación! Los cuales hasta ahora en el caso de España, estaban solo sujetos a reserva de actividad por parte del Banco de España; entre otras cosas introduce novedades sobre aplicación de medidas de seguridad para salvaguardar los intereses de los consumidores. 
• Derechos de reembolso de los usuarios contra los emisores de asset referenced tokens. 
• Obligación de autorización para los proveedores de servicios o emisores relacionados con criptoactivos. 
• ESMA establecerá un registro de todos los proveedores de servicios y emisores de criptoactivos con información sobre ellos y en su caso enlace a los white paper. 
• Evitará que se realice evasión de la normativa aplicable usando los NFTs cuando su naturaleza sea por ejemplo de activo financiero. 
• Asimismo incluye novedades en materia de prevención de blanqueo de capitales y financiación del terrorismo, hasta ahora regulado de forma vaga o imprecisa. 

Conclusiones 

Queda mucho por hacer, sin embargo, y especialmente para las empresas y consumidores, MiCA supone un gran avance en cuanto a certeza y seguridad jurídica, aunque no en los mercados financieros donde actualmente se ha causado un gran revuelo por la publicación de la reciente y reformada LMV. 

En cualquier caso, algo debe quedar claro, la aprobación de este reglamento supone un gran hito en el mercado que vendrá seguido desarrollos europeos y nacionales posteriores, a los que estaremos atentos. 

Introducción

Para entender a que nos referimos cuando hablamos de crypto-obras y por tanto, de cryptoarte hay que tener en la mente varios conceptos, que constituyen su base, y en puridad sus fundamentos: 

Para ello, puedes consultar nuestra entrada Términos esenciales del mundo Blockchain y las Criptomonedas. 

Históricamente, los tokens eran fichas, pseudomonedas o vales que se utilizaban como reemplazo del dinero fiduciario (como, por ejemplo, el dinero del juego League of Legends). No obstante, estos eran fácilmente falsificables y controlados por una entidad que podía emitir tantos como quisiera.  

El cambio se originó cuando la blockchain de Ethereum, diseñó dos estándares para solucionar esos problemas: el ERC20 y ERC721. Ambos permiten la creación rápida de tokens asociando smart contracts. 

Los tokens que implementan el estándar ERC20, son los que conocemos como cryptocurrencies (Ethereum, Dai, Bitcoin, etc.). Estos, al estar asociados a un smart contract, ya aplican funcionalidades que resultaron interesantes para aplicarlas al arte pues son comerciables (se pueden comprar y vender por un determinado precio), y son trazables (puedes obtener un seguimiento de los mismos). Sin embargo, dicho estándar no conseguía asegurar que la obra en cuestión fuera única, que el artista figurase como autor y que pudiera ser parte en un contrato de venta y compra de arte como en el mercado de arte tradicional. Tampoco garantizaba algo muy important: el ‘Droit de Suite’.  

Según lo dispuesto en el Convenio de Berna, además de los derechos patrimoniales y morales sobre la obra, el autor tiene reconocido el ‘droit de suite’ o el derecho de seguimiento de la obra de forma que ‘a las obras de arte originales y a los manuscritos originales de escritores y compositores, el autor –o, después de su muerte, las personas o instituciones a las que la legislación nacional confiera derechos– gozarán del derecho inalienable a obtener una participación en las ventas de la obra posteriores a la primera cesión operada por el autor’ (Art. 14 ter). 

Todo ello se consigue con la creación de los NFT que implementan el estándar ERC-721. 

Precursores del Cryptoarte

Como indicábamos, los NFT, al ser tokens que por fin, implementan el estándar ERC721, pudiendo identificar algo o a alguien de una manera única a través de un ID único y que permiten ser trazados, resultaron perfectos para ser usados en plataformas online, los denominados marketplace que ofrecen artículos coleccionables que dependiendo de ciertos valores de rareza tienen más o menos valor. Esta rareza o exclusividad se calculaba aleatoriamente en el código del smart contrat. 

Una de las aplicaciones de coleccionables más famosa es Cryptokitties. Esta intercambia alrededor de 500.000 NFTs (kitties) al mes. Cada uno de ellos tiene un valor medio de 0,04ETH, aproximadamente unos 100$. 

Asimos, Bored Ape Yacht Club ha conseguido convertirse en la cuarta colección de NFTs más grande del mundo por volumen de transacciones. El precio de cada uno de ellos no baja de los 170.000 USD. 

Sujetos implicados en el mercado del Cryptoarte

Como consecuencia de boom de los coleccionables muchos artistas han encontrado en los NFT la oportunidad de dar a conocer y comercializar sus obras de arte en los diferentes Marketplace.  

Cada Marketplace (Opensea, Foundation, etc…) tiene sus propias condiciones y diferentes cadenas de blockchain en las que el artista puede elegir operar. Esto, en el arte convencional sería análogo a cuando el artista elige en qué galería de arte quiere exponer o en qué casa de subastas quiere poner a la venta su obra. 

Específicamente en el cryptoarte se detectan como compradores, coleccionistas con idea de inversión a largo plazo. Pero en vista de la gran demanda y oferta existente así como la facilidad y rapidez en las transacciones, los compradores más comunes son aquellos que quieren realizar una inversión a corto plazo: desean revender rápido, fácil y a ser posible, caro.  

El avance del cryptoarte es tal, que ya los Marketplace se han empezado a dividir por estilo o corriente artística como si fueran museos o exposiciones convencionales.  

Aspectos legales de la contratación

Como en cualquier Marketplace independientemente de lo que se comercialice en él, se establecen una serie de términos y condiciones en línea con entre otros, presupuestos establecidos en legislación en materia de Propiedad Intelectual (y el citado Convenio de Berna) a los que tanto vendedor como consumidor han de adherirse si quieren participar en él. Pero en el caso de los Marketplace de NFTs y concretamente, de crypto-obras, ¿qué se cede y que se obtiene?  

• El artista usuario del Marketplace y vendedor de su crypto-obra transmite la propiedad de la misma al comprador, y este último tiene derecho a vender, intercambiar, transferir o utilizar la crypto-obra pero no puede hacer un «uso comercial» de las mismas en su beneficio o la de un tercero. 

• El comprador tampoco puede, por ejemplo: crear un token criptográfico adicional que represente la misma crypto-obra, intentar registrar marcas, derechos de autor o adquirir de cualquier otro modo derechos sobre la crypto-obra o modificar o realizar cualquier otra modificación perjudicial para el honor o la reputación del Autor. 

• El autor conservará todos los derechos morales y patrimonales sobre la obra. El autor lo único que cede al comprador es un token criptográfico que representa la obra de arte digital como una pieza de propiedad, pero esto no significa que sea dueño de la obra en sí. 

• Se concede una licencia limitada, mundial, no sublicenciable y libre de royalties al comprador, que incluye entre otras cosas el derecho a mostrar la crypto-obra de forma privada o pública con el fin de comprarla, comentarle, etc. dentro de entornos virtuales descentralizados como podría ser el Metaverso, galerías virtuales, museos virtuales u otros entornos virtuales navegables y perceptibles. 

• Pero también se concede una licencia al marketplace para por ejemplo crear, enviar, promocionar, exhibir, la crypto-obra en la Plataforma, en una plataforma de terceros, en publicaciones en medios sociales, blogs, editoriales, publicidad, informes de mercado, galerías virtuales, museos, entornos virtuales, editoriales o al público. La publicación o la exhibición de este contenido no significa en ningún caso que el Marketplace sea propietario. 

¿Qué precios, comisiones y tasas existen?

Pues bien, la operación de compra y venta se realizará en la cryptomoneda con la que se opere en la blockchain a través de la cual se comercialice la crypto-obra. Asimismo, el Marketplace se llevará un porcentaje respecto de la primera venta autor-comprador. 

En ejecución del ‘Droit de Suite’ anteriormente mencionado, el comprador deberá abonar royalties tanto al autor como al Marketplace sobre las ganancias obtenidas en ulteriores ventas por parte del comprador. Esto quizás es la parte más interesante desde el punto de vista de la Propiedad Intelectual pues este derecho de seguimiento queda plenamente garantizado sin necesidad de que el artista tenga que estar activamente pendiente de cobrar los royalties que le corresponderían por las reventas de su obra como pasaría en el arte convencional, donde el artista queda sujeto a la buena fe y a la voluntad de cumplimiento contractual del comprador. Por el contrario, en los Smart contracts ya se ha previsto y por tanto, programado que dicho evento pueda surgir e incluso, que puedan existir ulteriores adquisiciones en blockchains diferentes a las originarias, produciéndose por tanto, un crosschain, siendo del mismo modo perfectamente trazables gracias a la tecnología que lo soporta. 

Por último, se deberá abonar el coste por gas, la unidad utilizada para medir el trabajo realizado para realizar transacciones o cualquier interacción dentro de la red. Este gas nunca tiene un valor fijo pues está sujeto a la saturación de la red. 

Ya en la actualidad, existen casos de incumplimiento contractual en los tribunales, sin embargo, estos incumplimientos no han sido por fallos en los Smart contracts sino, como consecuencia de acuerdos privados de comercialización entre empresas y artistas como es el caso de DigiArt y Danny Casale, más conocido como Coolman Coffeedan. La empresa acusa a Danny Casale de haber producido supuestamente más de 10.000 NFTs incumpliendo su contrato pues según lo declarado por DigiArt, aquel le otorgaba expresamente a el derecho exclusivo a comercializar y poner a la venta todos los NFTs de manera que se repartirían las ganancias a partes iguales.  

Estos NFT se vendieron supuestamente por 3,6 millones USD en la plataforma Metalink. Y posteriormente, las obras de Coolman Universe fueron trasladadas aparentemente a la plataforma OpenSea, llegando a ganar más de 20.900 ETH (unos 50 millones de USD). 

Sin embargo, tendrán que ser los Tribunales competentes de Florida quienes resuelvan lo que estimen procedente sobre el caso DigiART, LLC v. Casale. 

Marina Nogales (IP & IT Lawyer)

He aquí unos consejos para implementar la privacidad desde el diseño:

Asegurar la privacidad por defecto desde la fase en la que estemos, es decir, la fase seed o fase de diseño del producto o servicio:

Y os preguntaréis ¿Qué significa esto de la privacidad por defecto?

Asegurar la privacidad por defecto supone que la configuración predeterminada de nuestra web/app donde vayamos a ofrecer nuestros productos y/o servicios debe quedar establecida de manera que resulte lo más respetuosa en términos de privacidad.

¿Y esto en qué se traduce?

Pues bien, en términos prácticos esto se traduciría en una minimización de datos necesarios para llevar a cabo las finalidades determinadas, reducir la cantidad de participantes con acceso a dichos datos y la imposición de unos plazos de conservación lo más reducidos posibles.

Mentalidad “win-win”:

Debemos mantener una mentalidad abierta y buscar un balance óptimo entre nuestros intereses como emprendedores y los de los usuarios como clientes. Es decir, que un aumento de la privacidad no conlleve una pérdida de mis funcionalidades (como la eficiencia y el beneficio empresarial) y viceversa.

Para poder alcanzar dicho equilibrio, desde las primeras etapas del desarrollo de nuestros productos y servicios, deberemos llevar a cabo medidas como la evaluación y balance de los diferentes intereses legítimos; y el establecimiento de canales de comunicación con los usuarios.

Documentación de las decisiones:

La privacidad debe ser intrínseca a los sistemas, aplicaciones, productos y servicios, así como a las prácticas de negocio y procesos de la organización, desde el momento en el que se conciben y diseñan.

Es probable que, a la hora de determinar ciertas estrategias comerciales que queramos llevar a cabo cuando lancemos nuestro proyecto al mercado, tengamos que realizar un análisis previo sobre los riesgos para los derechos y libertades de las personas que pueden conllevar dichas prácticas. De esta forma, todas las decisiones tomadas en base a dichos análisis de riesgos y de posibles evaluaciones de impacto sobre la protección de datos, deberán ser documentadas en aras de demostrar la diligencia adoptada por nuestra parte ante la Autoridad de Control correspondiente.

Visibilidad y transparencia para garantizar la privacidad:

La transparencia en el tratamiento de datos es básica como medida de confianza ante nuestros futuros clientes, cuyos datos serán tratados. De acuerdo con las exigencias del RGPD, los usuarios de nuestra web/ app deberán tener totalmente claro que en la misma se recogen, utilizan, consultan o tratan de cualquier otro modo datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.

¿Qué medidas puedo llevar a cabo para fomentar esta transparencia?

A modo ejemplificativo, podríamos mencionar: la publicación de nuestras políticas de privacidad; difusión de la identidad del responsable de los tratamientos; revisar y asegurar el cumplimiento del contenido de los artículos 13 y 14 RGPD; así como determinar con un especialista en privacidad qué información hay que incluir por cada uno de los apartados a los que se refieren estos dos preceptos.

Atención a la hora de contratar servicios o con proveedores:

Cuando seleccionemos proveedores o servicios, nos fijaremos además de en el precio, en la confianza y en la seguridad de los datos o si hay transferencias internacionales o no.

Estas comprobaciones resultarán especialmente relevantes en los casos en los que seamos corresponsables del tratamiento de los datos llevado a cabo por dichos proveedores.

Si quieres saber más DESCARGA AQUÍ NUESTRO EBOOK GRATIS

Área Tech & Privacy 

SÍ. El viernes pasado el Ministerio de Sanidad publicó en el BOE la Orden SND/297/2020 por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, el desarrollo de aplicaciones móvil con la intención de realizar detección preventiva de contagios y descongestionar los centros de salud públicos; así como la realización de un estudio de movilidad basado en el historial de localización de los dispositivos móviles. Sin embargo, esto no es una gran novedad ya que, como muchos habrán leído estos días, se lleva algunos días barajando la posibilidad de que se lance una aplicación de cobertura nacional cuyas primeras versiones regionales han aparecido en Cataluña y la Comunidad de Madrid -18 y 23 de marzo respectivamente-, las cuales han nacido con el objetivo de mejorar la eficiencia operativa de los servicios sanitarios, así como conseguir la mejor atención y accesibilidad por parte de los ciudadanos.

¿Podríamos entonces decir que el Gobierno podría geolocalizarnos con el fin de estudiar la evolución del contagio del COVID19?

La respuesta es que SÍ. La Orden del pasado viernes hace referencia a la realización de un estudio sobre la movilidad de los ciudadanos de forma previa y durante el confinamiento con el fin de conocer la evolución del contagio. No obstante, tengamos en cuenta que no se va hacer de una forma tan invasiva como los casos de China y Corea del Sur, ya que por ejemplo en el caso de este último la app diseñada alertaba sobre la aproximación a menos de 100 metros a un lugar donde había estado un caso positivo en COVID-19, indicando al receptor de la alarma datos sobre el infectado como su información demográfica, y su historial de localización reciente.

Pero en los casos de Corea del Sur o China, ha sido muy efectivo, ¿Por qué aquí no podemos hacer lo mismo?

Porque al contrario que en otros países, en Europa el derecho a la privacidad o protección de datos es un derecho fundamental que debe observarse tanto por el sector público como el privado. Sin embargo, ha de tenerse en cuenta que no se trata de un derecho absoluto, ya que cuando entra en liza con otros derechos fundamentales -como el derecho a la vida- se necesita realizar un juicio de ponderación para determinar cuál prevalece.

Además, no es aconsejable reproducir casos como el de Corea del Sur, por ejemplo, porque de forma masiva se está informando a los ciudadanos de qué personas se encuentran contagiadas, y qué recorrido han seguido. Así las cosas, no es necesario analizar porqué y como de peligroso puede ser este tipo de medidas en situaciones de “histeria” o “miedo” colectivo; máxime cuando vivimos en una época en la que las fake news son más rápidas y se perciben más reales que las publicadas por medios acreditados o gobiernos.

No obstante, nada de lo anterior impide que se pueda utilizar la tecnología, la geolocalización por ejemplo, y la inteligencia artificial para estudiar la movilidad de la población, entender cómo se produjo el contagio o evitar -claro está, con intervención humana-, aglomeraciones o desplazamientos no permitidos o peligrosos para la salud pública.

¿Y entonces, por qué no utilizamos tecnología o soluciones similares?

La estamos utilizando, sólo que aún no se ha publicado una app oficial con cobertura nacional. Actualmente, y como se decía al principio han nacido proyectos en Madrid y Cataluña que además de informar de forma oficial sobre el COVID-19, comunican, a quien rellene el formulario la probabilidad de estar contagiado y las medidas recomendadas -sin querer en ningún momento emitir diagnósticos, o prescripción de tratamientos (así lo advierte la política de privacidad de la app “CoronaMadrid”). Asimismo también recaban datos de geolocalización.

¿Pueden las autoridades tratar mis datos de salud y geolocalización sin límites?

NO. Pero antes de dar el porqué, primero conviene comentar que la localización de los individuos o el histórico de movilidad es información de carácter personal, ya que se encuentra dentro de la definición de dato personal que arroja el artículo 4 del Reglamento General de Protección de Datos, Reg. 679/2016, de 25 de marzo, por su utilidad en la identificación de personas; pues aunque para un usuario común no sea fácil la identificación directa de la persona detrás de ese geoposicionamiento, para un gobierno, empresa o gran tecnológica como Google o Apple, sí. ¿Por qué? Porque cruzando bases de datos como titulares de dispositivos, identificados por el número de IMEI (identificador único internacional de nuestro terminal móvil), contratos con compañías telefónicas, asociación entre ese IMEI y la tarjeta SIM, por ejemplo, se hace relativamente sencillo el identificar a personas. Igual de fácil es identificar a una persona y conocer sus gustos, preferencias e incluso creencias, basado en su historial de localización -por ejemplo, se puede determinar la creencia religiosa de una persona cuyo histórico muestra una visita semanal a un centro religioso-.

Determinado esto, y adentrándonos en los límites, el que procese datos de carácter personal, independientemente de que estos sean de geolocalización o no, deberá de cumplir con una serie de requisitos de transparencia, legitimidad, licitud, exactitud de la finalidad, minimización, integridad y confidencialidad. Por lo que el tratamiento sin límites no es posible.

Como decíamos, por un lado, sí hay límites, pero ello no significa prohibición. Las autoridades, como cualquier otro responsable del tratamiento, deberá de observar, como decíamos, ciertos principios, obligaciones y normas, pero en ningún caso deben suponer trabas o barreras imposibles de sortear para realizar tratamientos de datos en beneficio de la salud y seguridad pública como es el extraer conclusiones sobre el contagio del COVID-19 a partir de un estudio de movilidad -en el mismo sentido, se pronunciado la Agencia Española de Protección de Datos en su comunicado sobre apps y webs de autoevaluación del Coronavirus de 26 de marzo-. En definitiva, las autoridades, sí pueden tratar nuestros datos sin pedirnos el consentimiento, pero no pueden hacerlo olvidando nuestro derecho a la privacidad o alentando el desarrollo de apps como la surcoreana antes mencionada.

¿Cómo lo van a hacer?

Pues atendiendo al contenido de la Orden que comentábamos antes, hay dos vías por las que las autoridades van a poder hacer un seguimiento de los posibles casos de infectados y estudiar la propagación del COVID-19.

La primera vía será el desarrollo de aplicaciones como las de Madrid o Cataluña, las cuales, además de proveer información y consejos de prevención, también proveerá de un servicio de autoevaluación del estado de salud del usuario para detectar posible contagio por Coronavirus y recibir instrucciones y recomendaciones para su tratamiento o para prevenir su propagación. Asimismo ambas aplicaciones tienen por objetivo principal -uno de los perseguidos por la Orden- aliviar la saturación de los centros de salud públicos, mediante la derivación sólo de aquellos casos más graves.

Es de destacar que ambas aplicaciones, previo consentimiento del usuario, tratan datos de geolocalización con la finalidad de controlar que la persona que accede pertenece al territorio donde se aplica, y localizar al usuario cuando realice sus autoevaluaciones. Asimismo, se procesarán los datos de forma anonimizada y agregada con el fin de controlar el contagio del COVID-19 y estudiar la propagación del mismo.

La segunda vía que se ha planteado es realizar un estudio de movilidad analizando el historial de localización de los usuarios, solicitando dichos datos a los operadores de teléfono.

¿Por qué a las operadoras y no a compañías como Google o Apple?

La razón reside en que las compañías telefónicas están obligadas a la conservación y cesión (segura) de los datos asociados a las comunicaciones electrónicas móviles, en concreto la etiqueta de localización (identificador de celda) y los datos que permiten fijar la localización geográfica de dicha celda, es decir, el área de cobertura estipulada para receptores que pertenecen a la misma estación base (o estación transmisión y recepción de comunicaciones) -artículo 3.f apartados 1º y 2º de la Ley 25/2007, de 18 de octubre-.

¿Es esto seguro? ¿No utilizará el Gobierno estos datos para controlarnos o seguir nuestra actividad?

Si bien es cierto que la Orden hace referencia a un estudio de la movilidad previa y durante el estado de alarma de las personas, también menciona que dicho tratamiento sólo podrá realizarse de forma agregada y anonimizada, tal y como prevé el Instituto Nacional de Estadística en su estadística piloto sobre movilidad a partir de posicionamiento de teléfonos móviles. Así se asegura que no habrá identificación de las personas detrás de los dispositivos y se cumplirá con los principios aplicable al tratamiento de datos personales, especialmente el principio de minimización de los datos.

En conclusión, en España ya tenemos iniciativa tecnológica para la detección de infecciones por COVID-19 y la mejora del triaje en los centros de salud pública, la cual además se complementará con un estudio sobre la movilidad de las personas; todo ello sin que se infrinja derecho fundamental alguno. Esperemos así mismo, que estas iniciativas y excepcional situación nos de una razón para emplear más medios en la sanidad pública y el desarrollo e investigación de modelos de gestión alternativos.

Pablo Viedma

Abogado. Director Área Tech & Privacy.

En primerísimo lugar tenemos que tener en cuenta que los resultados sobre test de detección de #COVID19 son datos que se refieren a la salud de las personas y por lo tanto datos de categorías especiales de los que se recogen en el artículo 9 del Reglamento General de Protección de Datos –Reg. UE 2016/679– (en adelante, “RGPD”).

Lo primero ¿Qué son datos de categorías especiales?

La definición que nos ofrece el RGPD de datos categorías especiales es la siguiente: “datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.

Hasta aquí parece que las cosas están claras, pero profundicemos un poco más para no caer en confusiones al señalar qué son y qué no son datos de categorías especiales:

Datos genéticos: “datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona”

  Datos biométricos: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”

Datos relativos a la salud: “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Los que ahora nos interesan para este post son sobre todo los datos relativos a la salud, con los que hay que extremar las precauciones en el tratamiento, y por supuesto reforzar la base de legitimación en la que nos fundemos para tratarlos, ya que una mala elección de la base de legitimación puede suponer que tras la tormenta, no venga la calma, si no una tormenta en forma de reclamación por uno de nuestros trabajadores o colaboradores ante la Agencia Española de Protección de Datos (en adelante, “AEPD”).

¿Qué tenemos que tener en cuenta cuando tratamos datos relativos a la salud, o datos referentes al #COVID19?

Una vez que sabemos lo que son los datos relativos a la salud, ahora pasamos a exponer qué debemos de tener en cuenta si en nuestra startup, proyecto o empresa vamos a proceder a tratar datos relativos al coronavirus:

En primer lugar, deberemos de concebir los datos relativos a la salud en su concepto más amplio, tal y como hace la AEPD en su Informe 0337/2008 que, en línea con el TJUE, concibe que cualquier dato referido a la salud de un trabajador, incluido un diagnostico o las fechas de alta o baja asociadas a un código constituyen datos de categorías especiales. Por lo que, cualquier dato que identifique o permita identificar datos sobre la salud de un trabajador o colaborador, ya sea por métodos directos o más indirectos como es el caso de los códigos de enfermedades que se utilizan en los partes de baja, será dato relativo a la salud sobre el que deberemos de aplicar medidas más restrictivas y garantistas.

Por otro lado, el que un emprendedor o compañía procese información relativa no es algo sólo propio de esta situación de seudo histeria y pandemia que estamos viviendo a causa del #COVID19. En toda empresa, de nueva creación o ya con recorrido, en algún punto de la actividad se tratan datos relativos a la salud.

Algunos, incluso pueden preguntarse ¿Ah sí? Sí, cuando se transmite a la Seguridad Social o al asesor laboral un parte de baja, en una gran parte de los casos estamos tratando datos relativos a la salud sobre el trabajador o colaborador en cuestión.

El tratamiento de los datos relativos a la salud está de primeras prohibido, salvo que se apliquen alguna de las bases de legitimación que se encuentran en el apartado 9.2. del RGPD y que ya de entrada os decimos que no son exactamente iguales a las del artículo 6. En este sentido las bases que podríamos utilizar en una situación como la que vivimos son:

el interesado proporcione su consentimiento explícito, con uno o más de los fines especificados -por supuesto observando las condiciones para el consentimiento que se recogen en el artículo 7.

el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social; pero ¡ACHTUNG! (o en español ¡CUIDADO!), aplicará esta base en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo.

Por suerte, o por desgracia -no se sabe-, en España tenemos la Ley de Prevención de Riesgos Laborales (en adelante, “LPRL”) que establece que la vigilancia de la salud es un deber del empresario ya que es éste el responsable de garantizar la vigilancia de su estado de salud en el trabajo.

Sin embargo, no podemos, ni debemos, tratar los datos relativos a la salud o al #COVID19 basándonos en:

proteger intereses vitales del interesado o de otra persona física (art. 9.2.c). Porque para ello es necesario que el interesado no pueda prestar directamente su consentimiento -situación de inconsciencia o incapacidad-;

es necesario por razones de un interés público esencial (art. 9.2.g), ya que no hay una base en Derecho nacional o de la UE que permita el tratamiento de estos datos sin consentimiento para la situación por el #COVID19.

el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, puesto que también tiene que ser sobre la base de una norma nacional o europea.

En definitiva, tanto a la hora de tratar los datos relativos al coronavirus, como a la hora de tratar datos relativos a la salud en general deberíamos contar, en los casos comunes, con el consentimiento del interesado; al que si bien es cierto que podemos solicitarle los datos sobre la presencia de #COVID19 en base a la LPRL y el art. 9.2.h RGPD, no podemos sancionar o “castigar” si se niega a facilitarnos dicha información si no es para el cumplimiento de las obligaciones inherentes a la prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.

Hasta aquí hemos tratado cuestiones relacionadas con el artículo 5 RGDP -principios básicos y fundamentales en el tratamiento de los datos de carácter personal-, pero…

¿Y ahora qué?

Hemos hablado de legitimidad, sin embargo, sigo sin saber cuáles son mis obligaciones.

Tiempo al tiempo, en este apartado final vamos a tratar cuáles son esas obligaciones inherentes al responsable en caso de tratar datos relativos a la salud.

A muchos se os vendrá a la cabeza automáticamente las obligaciones de: (i) llevar un registro de actividades de tratamiento; (ii) realizar una evaluación de impacto de protección de datos (en adelante, “EIPD”); y (iii) nombrar un delegado de protección de datos (en adelante e indistintamente, “DPD” o “DPO”).

Sin embargo, debemos de preguntarnos:

¿Realmente son exigibles estas obligaciones aunque el tratamiento de datos relativos a la salud o de categorías especiales no sea mi actividad?

En respuesta, el artículo 35 y 37 del RGPD nos dice que deberemos cumplir sí o sí con estas dos obligaciones cuando:

se realice un tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1 […] (art. 35.3.b)

las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 […] (art. 37.1.c)

Por lo que, de no encontrarnos en una de estas situaciones no deberemos de cumplir con estas obligaciones, lo que no quita que sea recomendable si se tiene la capacidad. En el mismo sentido se pronuncia el considerando 97 y el antiguo Grupo de Trabajo del Artículo 29 (Guidelines on Data Protection Officers (‘DPOs’) – WP 243) al definir lo que implican actividades principales, de donde se excluyen actividades auxiliares que no son esenciales para la consecución de los fines y objetivos del responsable, dentro de las cuales entrarían las actividades relacionadas con la prevención y control de la salud laboral y la gestión de los servicios sociales y sanitarios, que recordemos, vienen impuestos por la LPRL.

Y hasta aquí nuestra publicación sobre cuestiones básicas a tener en cuenta en el tratamiento de datos relativos a la salud y el #COVID19 ¡No dudéis en contactar si necesitáis algo” ¡STAY SAFE!

Pablo Viedma

Tech & Privacy

]]>