El Supervisor Europeo de Protección de Datos se pronuncia sobre la propuesta de reglamento sobre los mercados de criptoactivos

30-06-2021 — AR/2021/091

En esta opinión, que se suma a la de otros organismos, el supervisor europeo promueve recomendaciones para el legislador a fin de que los datos personales manejados en estos sistemas sigan con el nivel de protección requerido.

El Supervisor Europeo de Protección de Datos (SEPD) ha emitido, el 24-6-2021 su Opinión 9/2021 sobre la propuesta de reglamento de los mercados de criptoactivos (conocidos como MiCA, de markets in crypto-assets), del 24-9-2020.

Esta opinión la emite de acuerdo con el artículo 42 del Reglamento (UE) 2018/1725.

El objetivo del futuro reglamento es homogeneizar el marco europeo para la emisión y el comercio de diversos tipos de criptodivisas como parte de la Estrategia Europea de Finanzas Digitales.

Observaciones relevantes de la opinión del SEPD

La opinión del supervisor europeo incluye algunas observaciones relevantes para entender el funcionamiento de los criptoactivos desde el punto de vista de la protección de datos:

  1. Las categorías de datos almacenados en los sistemas de tecnología de libro mayor distribuido (en adelante, DLT, de distributed ledger technology) pueden variar mucho según las medidas técnicas tomadas, o si se trata de una red pública o privada.
  2. Los datos transaccionales pueden considerarse datos personales si se refieren a personas identificadas o identificables, dependiendo de su configuración.
  3. Algunos sistemas basados en esta tecnología pueden almacenar los datos fuera de la cadena.

Principales conclusiones del supervisor de datos

Con esas observaciones, el SEPD refleja sus conclusiones sobre el texto de la propuesta de reglamento sobre los MiCA, de las que resaltamos las siguientes.

Configuración de los sistemas basados en DLT

Los emisores de criptoactivos deben:

  • analizar y documentar cuidadosamente la configuración de la DLT desde la perspectiva de la protección de datos, y
  • evaluar las categorías de datos personales almacenados y las modalidades de dicho almacenamiento.

Por ello, reitera la necesidad de una profunda reflexión acerca de cómo asegurar el respeto a las normas y principios de la protección de datos, antes de que la propuesta entre en vigor.

Mecanismos de gobernanza de los tratamientos de datos

Los emisores de criptoactivos y los proveedores de servicios de criptoactivos deben integrar en su marco de gestión de riesgos un mecanismo sólido de gobernanza, que:

  • identifique claramente las actividades de tratamiento que ejecutarán y los respectivos riesgos,
  • defina las funciones y las responsabilidades,
  • garantice una documentación adecuada, y
  • tome todas las demás medidas exigidas por el RGPD.

Responsables del tratamiento

En la medida en que el proyecto del emisor de criptoactivos implique el tratamiento de datos personales, este se  considera responsable del tratamiento bajo el RGPD, dado su papel de arquitecto general de la oferta de criptoactivos.

En este sentido, invita al legislador a designarlo explícitamente y así evitar cualquier problema de interpretación al evaluar dicho papel. Asimismo, pide que considere la complejidad del objeto de la propuesta y las relaciones entre los distintos actores.

Evaluación de impacto

Estos tratamientos de datos personales con DLT pueden generar un riesgo elevado.

En consecuencia, el emisor de criptoactivos ha de realizar una evaluación de impacto previo al inicio del tratamiento previsto, de conformidad con el artículo 35 del RGPD..

Información para inversores

Como parte de la documentación para los inversores, recogida en los artículos 5, 17 y 46 de la propuesta, debe incluirse información sobre el tratamiento de los datos personales, y de los principales riesgos sobre la protección de datos y estrategias previstas para mitigarlos.

Por ejemplo, la política de privacidad en caso de que los datos se recaben del interesado (artículo 13).

Esto mejoraría la protección de los consumidores como compradores de criptoactivos (inversores) y, al mismo tiempo, la protección de sus datos, con la finalidad de proteger mejor a los interesados.

Conservación de los datos

Los datos personales no deben conservarse más tiempo del necesario teniendo en cuenta los fines para los que fueron recogidos.

Por ello, propone fijar un período de conservación máximo en lugar de un plazo mínimo como recoge la propuesta.

1 Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.° 45/2001 y la Decisión n.° 1247/2002/CE.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información