El Comité Europeo de Protección de Datos pone a consulta una guía sobre el tratamiento de datos personales mediante tecnologías blockchain

El Comité Europeo de Protección de Datos (CEPD) ha puesto a consulta pública, el 14-4-2025, y hasta el 9-6-2025, la Guía 02/2025¹ sobre el tratamiento de datos personales mediante tecnologías de cadena de bloques (blockchain).

Tras recopilar las características principales de estas tecnologías, el CEPD observa que:

• una infraestructura de cadena de bloques permite aplicar determinados tratamientos de datos en ella, y, por ello, no existe una única base jurídica para todos los tratamientos con ella, y
• para cada tratamiento de datos personales, debe determinarse la base jurídica específica más adecuada.

Resumimos los aspectos principales de esta guía.

Riesgos para los tratamientos de datos

Los tratamientos basados en tecnologías de cadena de bloques presentan riesgos específicos, algunos de los cuales resalta el Comité:

• el propio almacenamiento de los datos en la cadena, que los deja visibles,
• la comunicación de transacciones y bloques entre las partes interesadas,
• la recopilación y almacenamiento de transacciones pendientes de validación para crear los bloques y la propia gestión de estos,
• el almacenamiento fuera de la cadena de datos personales relacionados con identificadores o hashes dentro de la cadena,
• la generación y almacenamiento de metadatos de comunicación, o
• la gestión de información criptográfica, como claves o frases semilla.

Aspectos afectados de la protección de datos

Los riesgos descritos afectan a aspectos básicos de la protección de datos, recogidos en el Reglamento (UE) 2016/679,² el reglamento general de protección de datos (RGPD), como son:

1. Limitación de la finalidad:
   • Sin una arquitectura técnica adecuada, los datos pueden quedar disponibles para usos no previstos en el fin específico.
2. Minimización de datos:
   • Por su diseño, la cadena de bloques puede fomentar el registro excesivo o permanente de datos y no solo los estrictamente necesarios.
3. Limitación del plazo de conservación:
   • En estas tecnologías, los datos registrados son técnicamente permanentes, pero no deben conservarse más tiempo del necesario.
   • Por ello, el CEPD considera que:
     • si los datos se deben conservar en un período menor que la vida útil de la cadena de bloques, se deben escribir fuera de la cadena, salvo que se pueda impedir eficazmente la identificación de los interesados, y
     • si se conservan un período igual a la vida útil de la cadena de bloques, el responsable del tratamiento tendría que justificar que ese período de conservación es necesario y proporcional con la finalidad.
4. Integridad y confidencialidad:
   • La visibilidad pública de la cadena puede comprometer la confidencialidad de los datos personales.
5. Responsabilidad proactiva:
   • El responsable debe poder demostrar que cumple con el RGPD, y eso implica un diseño técnico y organizativo adecuado.

Recomendaciones del CEPD

Para reducir estos riesgos, el CEPD recomienda lo siguiente.

Evitar el almacenamiento de datos personales en la cadena

Recomienda almacenar los datos:

• fuera de la cadena,
• con un enlace o referencia a los datos almacenados en la carga útil de la transacción,
• con medidas de seguridad, como cifrado, derivación de claves, códigos de autenticación de mensajes basados en hashes, compromisos criptográficos u otros esquemas.

Basan la recomendación en que las cadenas de bloques almacenan información adicional sobre una transacción (metadatos) o datos asociados (carga útil) que necesitan para que funcionen los contratos inteligentes, o para la trazabilidad de activos.

Clarificar la gobernanza

Es decir, determinar quién actúa como responsable o corresponsable del tratamiento, especialmente en redes públicas o con múltiples nodos. En este sentido:

1. Cuando las responsabilidades no estén determinadas por la ley, es necesario evaluar ciertos elementos para asignar las responsabilidades según el RGPD, como:
   • la naturaleza del servicio prestado,
   • el mecanismo de gobernanza de la cadena de bloques,
   • las características técnicas y organizativas de estas.
2. Cuando los nodos sean responsables o corresponsables del tratamiento o ejerzan una influencia decisiva en los fines y los medios esenciales del tratamiento, recomienda crear una entidad entre los nodos que sea la responsable del tratamiento.

Diseñar los sistemas enfocados en la privacidad

Pueden combinarse varias tecnologías para proporcionar niveles suficientes de protección de datos a los interesados.

Evaluar el impacto en la protección de los datos

En la mayoría de los casos, el uso de estas tecnologías requerirá esta evaluación por el alto riesgo para los derechos y libertades de las personas afectadas, que debe contener:

1. La descripción de las operaciones de tratamiento de la cadena de bloques, que incluya:
   • los fines del tratamiento, con el caso de uso específico,
   • la identificación del modelo y de la infraestructura de la cadena de bloques,
   • la definición de funciones y responsabilidades, sin olvidar el modelo de gobernanza,
   • las categorías de los destinatarios de los datos y otros posibles intervinientes,
   • el tipo de operaciones realizadas en el tratamiento, y si se producen transferencias internacionales de datos,
   • la existencia de contratos inteligentes y medios de inferencia automática de datos personales, y
   • el ejercicio de los derechos y cualquier medida de protección de datos.
2. La evaluación de la necesidad y proporcionalidad que valore:
   • si estas tecnologías se consideran necesarias, y
   • por qué el objetivo no puede alcanzarse razonablemente de forma menos invasiva de la privacidad y con menos riesgos para los derechos y libertades de las personas físicas.
3. La evaluación de los riesgos para los derechos y libertades de los interesados:
   • del tratamiento en su conjunto, y
   • los específicos del uso de la cadena de bloques.
4. La identificación y evaluación precisas de las medidas para abordar los riesgos derivados del uso de estas tecnologías, que podrían referirse a:
   • la rendición de cuentas,
   • la protección de datos desde el diseño y por defecto,
   • estrategias de minimización de datos o de gestión de la violación de datos personales.

Ejercicio de derechos

La guía destaca la importancia de los derechos de los interesados en estos casos:

Derecho de acceso y portabilidad

Según el CEPD, es necesario disponer de mecanismos que permitan al interesado acceder de forma comprensible a la información que lo afecta, aunque la cadena permita visualizar los datos registrados.

Derecho de supresión

El CEPD recomienda, dado que los datos de la cadena de bloques no pueden eliminarse sin romper la integridad del sistema:

• evitar almacenar datos personales en la cadena,
• utilizar enlaces a datos fuera de la cadena que sí puedan eliminarse, y
• emplear técnicas de seudonimización fuertes o de desvinculación progresiva.

Derecho de rectificación

Aunque en algunos casos este derecho podría cumplirse con una transacción que anule otra, aunque esta siga apareciendo en la cadena, en otros, cuando este derecho exija la supresión de los datos, podrían aplicarse las mismas medidas que para el derecho de supresión.

Derecho de oposición

Los interesados puedan oponerse al tratamiento o solicitar su limitación, que implica prever técnicamente que no se acceda a sus datos o no se procesen, incluso si siguen en la cadena.

Listado de recomendaciones

La guía contiene un anexo con el listado de las recomendaciones para los responsables y encargados del tratamiento en el uso de estas tecnologías.