El Comité y el Supervisor europeos de protección de datos dictaminan sobre la propuesta de reglamento del euro digital

14-12-2023 — AR/2023/140

Estos dos supervisores reflejan, en un informe conjunto, las cuestiones que, a su juicio, deberían especificarse más en la propuesta de reglamento sobre el euro digital, la especial preocupación de los efectos para la privacidad y la protección de los datos personales, y las medidas que recomiendan incluir en la norma.

La Comisión Europea solicitó, el 29-6-2023, al Comité Europeo de Protección de Datos (CEPD) y al Supervisor Europeo de Protección de Datos (SEPD) un dictamen conjunto sobre la propuesta de reglamento del euro digital.1

Esta petición se basa en la especial importancia de los efectos que el euro digital tiene para los derechos fundamentales a la privacidad y a la protección de los datos personales.

El dictamen conjunto elaborado por estos dos organismos:

  1. pone de manifiesto la importancia de la confidencialidad del euro digital en un panorama de pagos altamente competitivo;
  2. acoge con satisfacción:
    • que el euro digital no sea «dinero programable»,
    • que el reglamento busque proporcionar un alto nivel de protección de la privacidad y de los datos personales, en particular al introducir una «modalidad fuera de línea», para reducir el tratamiento de esos datos personales, e integrar la protección desde el diseño y por defecto.

No obstante, estos dos organismos detectan cuestiones sobre la protección de datos que deberían mejorarse para que los ciudadanos no duden de la fiabilidad del euro digital.

Resumimos las más relevantes.

Cuestiones mejorables

Distribución

Aunque consideran correcta la distribución del euro digital de manera descentralizada —es decir, por intermediarios financieros regulados en lugar de directamente por el Banco Central Europeo (BCE) y los bancos centrales nacionales—, como contempla la propuesta de reglamento, deberían aclararse más las modalidades de distribución posibles.

Tipos de datos

Recomiendan definir con precisión:

  • qué tipo de datos entraría en la categoría de «datos de transacción» o
  • términos como «dispositivos de almacenamiento local», «identificador de usuario», «número único de cuenta de pago en euro digital»…

Tratamiento de los datos

Consideran necesario también:

  1. Aclarar el tratamiento previsto en la distribución del euro digital a personas físicas o jurídicas que no residan o no están establecidas en Estados miembros cuya moneda es el euro.
  2. Aportar más precisiones sobre los fines y las bases jurídicas aplicables a los tratamientos, a la atribución de responsabilidades y a los tipos de datos personales que deben tratar cada uno de los actores.

Riesgo para la privacidad

El mantenimiento de la privacidad es la característica más relevante del euro digital y, por eso, subrayan la importancia de aplicar tecnologías que la protejan al diseñarlo.

Deberían proporcionarse más aclaraciones sobre:

  • la necesidad y proporcionalidad del punto de acceso único de los identificadores del euro digital, y
  • el modo en que debe aplicarse la protección de datos desde el diseño y por defecto.

En este apartado, los supervisores:

  • lamentan que, en la propuesta de reglamento, se haya descartado un enfoque de «privacidad selectiva» para los pagos en línea de escaso valor, y
  • recomiendan que se amplíe el régimen específico aplicable a la modalidad fuera de línea a la modalidad en línea para las transacciones de escaso valor, con un umbral por debajo del cual no habría rastreo de las transacciones a efectos de la prevención del blanqueo de capitales y de la financiación del terrorismo.

Infraestructura de liquidación

Los dos organismos opinan que la parte dispositiva del reglamento debería incluir una obligación vinculante que garantice la seudonimización de todos los datos de las transacciones en la infraestructura de liquidación del BCE y los bancos centrales nacionales.

Prevención del fraude

El mecanismo general que el BCE puede elegir para que los proveedores de servicios de pago detecten y prevengan el fraude carece de previsibilidad.

Esto socava la seguridad jurídica, por lo que sugieren evaluar la necesidad de fijar dicho mecanismo.

Si no se demuestra esa necesidad, recomiendan introducir medidas menos intrusivas para la protección de datos y aplicar las salvaguardias adecuadas.

Ciberseguridad

Los riesgos potenciales tecnológicos y de ciberseguridad son evidentes. Por ello, recomiendan incluir una referencia explícita al marco jurídico aplicable a la ciberseguridad en un considerando del reglamento.

Recomendación final

El CEPD y el SEPD recuerdan la obligación de que todos los responsables y corresponsables del tratamiento del euro digital realicen una evaluación de impacto sobre la protección de datos, acorde con los requisitos de los artículos 35 y 39 del reglamento general de protección de datos,2  y que, a ser posible, la publiquen.

Mientras, continúa el proceso legislativo y el Consejo de Gobierno del BCE revisa el resultado de la fase de investigación. Sobre esta base, decidirá si inicia una fase más experimental del euro digital, con la intención de emitir el euro digital en dos o tres años.

1 En las alertas asociadas al margen se puede ver más detalle sobre el trámite legislativo de este reglamento.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información