El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. Blog

La preventa de tokens

Con el auge de usuarios e inversores en criptoactivos en España hay un creciente emprendimiento en proyectosbasados en la blockchain, y especialmente, en criptoactivos o tokens, como nueva forma de financiación a través de las ICOs (Initial Coin Offering). Sus ventajas son de sobra conocidas: entre otras, rapidez de despliegue, creciente demanda, posible revalorización a efectos de inversión, y mucha mayor facilidad para captar fondos para desarrollar proyectos que a través de otras vías tradicionales. Sin embargo, cada vez nos encontramos con más proyectos que, antes de la creación de sus tokens y de su distribución pública mediante ICOs, se financian con las preventas de tokens o presales. De ahí que cada vez tengamos que responder con más frecuencia a una misma pregunta: ¿cómo abordar una preventa de tokens desde un punto de vista legal?

Para empezar, es importante entender que un token es algo mucho más amplio que una mera criptomoneda: cada vez es más común que vayan más allá de una unidad de valor emitida por una entidad privada, empleando la blockchain. A modo de resumen estamos hablando de un activo digital (tal y como reconoce el Banco Central Europeo), que puede tener tantos usos y finalidades como se desee. Podemos encontrar tokens intercambiables por bienes y servicios, o empleados como elementos de negociación, fórmulas de otorgamiento de derechos, o herramientas para el control o trazabilidad de bienes, activos, servicios… Y los encontramos en ámbitos tan dispares como las artes plásticas o audiovisuales, los videojuegos, los negocios digitales o tecnológicos… o incluso en sectores tan tradicionales como el inmobiliario, la logística, la formación, el ocio o el deporte.

Pues bien, las preventas de tokens son extraordinariamente útiles para captar fondos que permitan financiar un proyecto a cambio de derechos y una futura revalorización. Para entendernos, se trata de una suerte de crowdfunding basado en criptoactivos, que se realiza en un estadio previo a la creación misma del token, de los smart contracts, de la ICO, e incluso de la aplicación informática o ecosistema en la que se usarán los tokens como elemento canjeable o criptomoneda. Es decir, permiten al emisor la captación de fondos con los que desarrollar a corto plazo el proyecto a cambio de ciertos derechos extras para estos inversores iniciales, frente a los adquirentes del token en la oferta pública (como descuentos, beneficios o derechos especiales sobre el negocio, regalos…).

Desde luego suena bien. Pero ¿qué hay que tener en cuenta para lanzarse a esta criptopiscina? ¿Qué implicaciones legales conlleva? Como en casi todo, no hay una respuesta fácil y sencilla. Si tuviésemos que buscar una palabra que las resuma, y que no tiene nada que ver con mi origen gallego (faltaría más), esta es… ¡depende! Cada proyecto es un mundo, tan complejo o sencillo como se quiera desarrollar, lo que condicionará la estrategia a seguir.

De entrada, debemos aclarar que la creencia según la cual no hay normativa y regulación sobre las criptomonedas y los tokens es falsa. Pensar lo contrario suele llevar a puntos de conflicto de difícil solución. Sin embargo, sí es cierto que se echa en falta una normativa específica y clara sobre estos asuntos, mientras no se aprueba el Reglamento Europeo sobre Mercados de Criptoactivos (MiCA), que pondrá sobre la mesa un tablero de juego y unas reglas diferentes. Mientras tanto, España comienza a pisar el acelerador en materia normativa dotando a la Comisión Nacional del Mercado de Valores (CNMV) de más facultades para el control de ciertos aspectos relacionados con este sector.

La clave legal de todo proyecto de tokenización es tener tres aspectos concretos bien definidos: (1) de qué tipo de token que se trata, (2) la relación entre los inversores y compradores con el emisor y (3) cómo se va difundir y promocionar. Todos estos elementos deben ser definidos antes de la preventa, pues influirán en todo el proceso posterior.

En primer lugar, hay que tener muy claro el tipo de token que se va a crear. A grandes rasgos, se pueden definir dos tipos de tokens según su destino y su valor negociable. En el primer grupo encontramos el «utility token» que sería un activo digital cuyo destino sería servir, a modo de “ficha”, como elemento intercambiable por los derechos especificados por su emisor (bienes, servicios, regalos o premios); y por otro, el «security token» que sería un elemento puramente de inversión con la finalidad de participar en futuros beneficios (por ejemplo, de una empresa o de un proyecto).

Ya en el plano legal, cada uno de los tipos de token tiene aparejada una carga obligacional determinada, siendo más compleja la aplicable a los security. Por ahora, los proyectos basados en utility token se encuentran lejos de tener que cumplir con obligaciones estrictas, siempre que se encuadren en unos límites de capitalización y valor según una modificación de abril de 2021 de la Ley de Sociedades de Capital y otras normas financieras.

Sin embargo, las obligaciones legales, la carga administrativa, y el poder de supervisión de la CNMV se incrementan cuando esos tokens pueden son valores negociables. Cuando aquellos (utility o security) permiten establecer una correlación directa entre las expectativas de rentabilidad del propio token y la evolución del proyecto que se va a realizar, la CNMV entiende que estamos ante instrumentos financieros y sujetos a la Ley de Mercado de Valores, lo que en la práctica viene a engordar la lista de obligaciones a tener en cuenta.

En segundo lugar, hay que considerar también cómo será esa preventa: si se debe actuar por medio de una empresa o a título personal, qué derechos otorga el token al inversor, qué obligaciones asume el emisor en caso de que no se obtengan los resultados esperados en la preventa, qué medios existirán para regular esa relación… así como las cuestiones relacionadas con la protección de datos y los sistemas de KYC (Know Your Customer) derivados de la normativa de prevención de blanqueo de capitales (que puede ser aplicable o no, según los casos). En resumen, se debe de contar con una estrategia legal y contractual adecuada que ofrezca seguridad tanto al emisor y al inversor.

Y en tercer lugar, está el asunto de la publicidad del proyecto para poder alcanzar un mayor impacto y obtención de resultados. Reicientemente, la CNMV ha adquirido competencias en materia publicitaria, y en los anuncios publicados en los medios de comunicación ya se aprecia su intervención. Así, la política de comunicación debe estar alineada con los dos puntos anteriores para no acabar empantanado en más obligaciones de las necesarias, y para no ser incluido el la lista de “Chiringuitos financieros” de la CNMV. Ello supone cuidar mucho lo que se dice y cómo se dice en los famosos “white papers” o “investment road maps”, la actividad publicitaria y las comunicaciones internas con los inversores.

Con todo, en mi opinión, la clave de cualquier proyecto (basado en blockchain o no) radica principalmente en su modelo de negocio y en una buena estrategia inicial que incluya tres bloques básicos: negocio, marketing y legal. No olvidemos que las reglas de la oferta y la demanda son, en última instancia, las que mandan; y se aplican tanto a un nuevo criptoactivo como a un nuevo restaurante. Pero el modo de llevar el proyecto a cabo, evidentemente, influye; y aquí es donde la tecnología, el marketing y la parte jurídica deben coordinarse en una estrategia única que siente las bases del éxito el éxito. Al fin y al cabo ¿quién invertiría en un proyecto con carencias en el plano técnico, con una comunicación dudosa o sin un respaldo legal?

Los CVs, la transparencia y la AEPD

Si tiene usted un negocio y ha leído esta noticia de Xataka, lo más probable es que se debata entre la sorpresa y la indignación. Sorpresa, porque ni se le habría pasado por la cabeza que le pudiesen multar con 2.000€ por no responder a una persona que le envíe su CV por WhatsApp; e indignación, porque parece abrirse una nueva vía para multar a las empresas, con la que está cayendo. ¿Cómo evitar una sanción de estas características? Vamos a tratar de aclararlo.

De entrada, y para su tranquilidad, la noticia no es del todo precisa. Es cierto que la Agencia Española de Protección de Datos ha multado a un autónomo que nunca contestó a un aspirante de empleo que le envió su currículum, pero la multa no tiene que ver con esa falta de respuesta, sino con el incumplimiento de una de las exigencias más básicas de la normativa de privacidad: el deber de información.

Si acudimos al Reglamento General de Protección de Datos, veremos que la primera obligación fijada por esta norma es tratar los datos «de manera lícita, leal y transparente». Esa necesaria transparencia consiste en facilitar información sobre quién, cómo y para qué se tratan los datos personales; lo que debe concretarse, según la propia norma, «de forma concisa, transparente, inteligible y de fácil acceso», con un «lenguaje claro y sencillo».

Como decíamos, la multa que nos ocupa tiene que ver, precisamente, con el incumplimiento de este deber. Así lo recoge la resolución, en sus hechos probados, cuando afirma que «no se ha informado al reclamado (sic) sobre el tratamiento de sus datos personales ni de la posibilidad de ejercitar sus derechos». Ahora bien, existen muchas formas de satisfacer esta obligación sin necesidad de responder manualmente a todos los CVs que se reciban. Veámoslo:

  • La forma más común es incluir la información en la propia oferta de empleo o el formulario de recepción de CVs, mediante un párrafo específico que recoja la información mínima exigida por la normativa, y una referencia a la política de privacidad de la empresa. Es lo que llamamos «transparencia por capas«, y es el método que utilizamos en nuestra propia web;
  • Otra alternativa es emitir una respuesta automática cuando se reciba una candidatura, que además de agradecer el envío del CV, incluya esta importante información. Es algo relativamente sencillo de configurar en cualquier cuenta de correo electrónico, e incluso se puede implementar en WhatsApp y otras plataformas, mediante chatbots;
  • También se pueden utilizar los servicios de sitios web y empresas de selección externas, que den respuesta a esta obligación en nuestro nombre.

Con cualquiera de estas tres opciones se podría haber evitado la multa impuesta por la AEPD, incluso por un coste mínimo. De hecho, la propia Agencia ha publicado un ejemplo del texto informativo que se podría facilitar a los aspirantes a un puesto de trabajo:

«En [EMPRESA] tratamos la información que nos facilita con el fin de mantenerle informado de las distintas vacantes a un puesto de trabajo que se produzcan en nuestra organización. Los datos proporcionados se conservarán hasta la adjudicación de un puesto de trabajo o hasta que Ud. ejerza su derecho de supresión. Los datos no se cederán a terceros. Usted tiene derecho a obtener información sobre si en [EMPRESA] estamos tratando sus datos personales, por lo que puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de datos y oposición y limitación a su tratamiento ante [EMPRESA], [DIRECCIÓN] o en la dirección de correo electrónico [EMAIL], adjuntando copia de su DNI o documento equivalente. Asimismo, y especialmente si considera que no ha obtenido satisfacción plena en el ejercicio de sus derechos, podrá presentar una reclamación ante la autoridad nacional de control dirigiéndose a estos efectos a la Agencia Española de Protección de Datos, C/ Jorge Juan, 6 – 28001 Madrid.»

Evidentemente, con este sencillo procedimiento no se logra un pleno cumplimiento de la normativa de protección de datos, que exige que se definan otros muchos elementos (como las bases de legitimación o los períodos de conservación), que se gestionen adecuadamente los derechos de los afectados, que se implementen unas medidas de seguridad adecuadas… pero, sin duda, es un primer paso para evitar sanciones como la que hoy nos ocupa.

Si les interesa profundizar en el tema, les recomiendo la guía «La protección de datos en las relaciones laborales» publicada por la propia Agencia. Y por si les quedaba alguna duda, ninguna norma obliga a las empresas a responder a quien les envía su CV… más allá de la buena educación.

Unas cláusulas necesarias…

¿Un nuevo tiempo para la I.A.?

Cultura de privacidad