Este post proviene de esta fuente de noticias

Los Smart contracts o contratos inteligentes, son algoritmos almacenados en una red blockchain que ejecutan decisiones automatizadas. La AEPD ha analizado en su blog aquellas posibles situaciones en que los Smart contracts pudiesen afectar a las personas físicas o elaborar perfiles sobre ellas.

Los programas almacenados en los nodos de una blockchain

La AEPD remarca su entrada que, junto a las criptomonedas, los Smart contracts son la aplicación más utilizada de la red blockchain. Y puesto que su nombre puede inducir al error, se especifica que estos no son sino programas almacenados en los nodos de una blockchain que ejecutan decisiones automatizadas de diverso tipo. Por ejemplo, de carácter financiero, servicios automatizados de apuestas, notaría o certificación de documentos.

Es importante remarcar que, los Smart contracts son capaces de acceder a datos almacenados en el mundo exterior de la red blockchain. Para permitir la modificación de la blockchain a partir de información externa se utiliza un instrumento llamado “oráculo”.

Los Smart contracts se rigen por la máxima “CODE IS LAW” algo así como, el algoritmo es la ley; con lo que quiere decir que el código está por encima del factor humano a la hora de tomar decisiones. No obstante, el código sigue siendo desarrollado por personas, lo que implica la posibilidad de la existencia de errores en el programa y vulnerabilidades.

Errores en la aplicación de los Smart contracts

La posibilidad de que se produzcan errores en la aplicación de los Smart contracts es bastante más habitual de lo que se cree, lo que supone un problema para la red, pues esta no cuenta con modelos de gobernanza para gestionarlos. El ejemplo DAO Fork de Ethereum es esclarecedor en este sentido.

Seguidamente se afirma en el texto que los Smart contracts podrán producir decisiones automatizadas con efectos jurídicos en el interesado. En este contexto, cobra importancia el artículo 22 del RGPD; que contempla el derecho del interesado a no ser objeto de decisiones basadas únicamente en tratamiento automatizados, incluyendo la elaboración de perfiles.

Afirma la Agencia que no se podrá asegurar la validez inmediata de la celebración de un contrato entre responsable y el interesado, dada la complejidad que puede alcanzar un Smart contract, así como asegurar que siempre se puede materializar el consentimiento expreso, inequívoco, específico e informado del interesado cuando se lleva a cabo el tratamiento de sus datos, como una de las excepciones recogidas en el artículo 22 RGPD.

Por último, se recomienda la adopción de salvaguardas para aplicar alguna de las excepciones del artículo 22, por ejemplo, políticas de protección de datos, protección desde el diseño y por defecto, medidas de seguridad y gestión y la realización de evaluaciones de impacto y consulta a las autoridades de control cuando sea necesario.

Por tanto, se propone aplicar estas medidas desde el diseño del tratamiento y con anterioridad a su implementación y puesta en producción.

Puede acceder al texto completo, consultando la entrada del blog de la AEPD aquí