El Supervisor Europeo de Protección de Datos se pronuncia sobre la propuesta de reglamento sobre los mercados de criptoactivos
30-06-2021 — AR/2021/091
En esta opinión, que se suma a la de otros organismos, el supervisor europeo promueve recomendaciones para el legislador a fin de que los datos personales manejados en estos sistemas sigan con el nivel de protección requerido.
- Compartir
- Correo electrónico
El Supervisor Europeo de Protección de Datos (SEPD) ha emitido, el 24-6-2021 su Opinión 9/2021 sobre la propuesta de reglamento de los mercados de criptoactivos (conocidos como MiCA, de markets in crypto-assets), del 24-9-2020.
Esta opinión la emite de acuerdo con el artículo 42 del Reglamento (UE) 2018/1725.1
El objetivo del futuro reglamento es homogeneizar el marco europeo para la emisión y el comercio de diversos tipos de criptodivisas como parte de la Estrategia Europea de Finanzas Digitales.
Observaciones relevantes de la opinión del SEPD
La opinión del supervisor europeo incluye algunas observaciones relevantes para entender el funcionamiento de los criptoactivos desde el punto de vista de la protección de datos:
- Las categorías de datos almacenados en los sistemas de tecnología de libro mayor distribuido (en adelante, DLT, de distributed ledger technology) pueden variar mucho según las medidas técnicas tomadas, o si se trata de una red pública o privada.
- Los datos transaccionales pueden considerarse datos personales si se refieren a personas identificadas o identificables, dependiendo de su configuración.
- Algunos sistemas basados en esta tecnología pueden almacenar los datos fuera de la cadena.
Principales conclusiones del supervisor de datos
Con esas observaciones, el SEPD refleja sus conclusiones sobre el texto de la propuesta de reglamento sobre los MiCA, de las que resaltamos las siguientes.
Configuración de los sistemas basados en DLT
Los emisores de criptoactivos deben:
- analizar y documentar cuidadosamente la configuración de la DLT desde la perspectiva de la protección de datos, y
- evaluar las categorías de datos personales almacenados y las modalidades de dicho almacenamiento.
Por ello, reitera la necesidad de una profunda reflexión acerca de cómo asegurar el respeto a las normas y principios de la protección de datos, antes de que la propuesta entre en vigor.
Mecanismos de gobernanza de los tratamientos de datos
Los emisores de criptoactivos y los proveedores de servicios de criptoactivos deben integrar en su marco de gestión de riesgos un mecanismo sólido de gobernanza, que:
- identifique claramente las actividades de tratamiento que ejecutarán y los respectivos riesgos,
- defina las funciones y las responsabilidades,
- garantice una documentación adecuada, y
- tome todas las demás medidas exigidas por el RGPD.
Responsables del tratamiento
En la medida en que el proyecto del emisor de criptoactivos implique el tratamiento de datos personales, este se considera responsable del tratamiento bajo el RGPD, dado su papel de arquitecto general de la oferta de criptoactivos.
En este sentido, invita al legislador a designarlo explícitamente y así evitar cualquier problema de interpretación al evaluar dicho papel. Asimismo, pide que considere la complejidad del objeto de la propuesta y las relaciones entre los distintos actores.
Evaluación de impacto
Estos tratamientos de datos personales con DLT pueden generar un riesgo elevado.
En consecuencia, el emisor de criptoactivos ha de realizar una evaluación de impacto previo al inicio del tratamiento previsto, de conformidad con el artículo 35 del RGPD..
Información para inversores
Como parte de la documentación para los inversores, recogida en los artículos 5, 17 y 46 de la propuesta, debe incluirse información sobre el tratamiento de los datos personales, y de los principales riesgos sobre la protección de datos y estrategias previstas para mitigarlos.
Por ejemplo, la política de privacidad en caso de que los datos se recaben del interesado (artículo 13).
Esto mejoraría la protección de los consumidores como compradores de criptoactivos (inversores) y, al mismo tiempo, la protección de sus datos, con la finalidad de proteger mejor a los interesados.
Conservación de los datos
Los datos personales no deben conservarse más tiempo del necesario teniendo en cuenta los fines para los que fueron recogidos.
Por ello, propone fijar un período de conservación máximo en lugar de un plazo mínimo como recoge la propuesta.
Iniciativas relacionadas
Alertas Relacionadas
-
El BCE emite su opinión sobre el reglamento de MiCA
01-03-2021—AR/2021/028