El EDPB finaliza las directrices sobre GDPR y blockchain el 8 de julio de 2026

El Consejo Europeo de Protección de Datos (EDPB) finalizó nuevas directrices el 8 de julio de 2026, aclarando cómo se aplica el Reglamento General de Protección de Datos (RGPD) a las tecnologías blockchain. La orientación aborda la incertidumbre regulatoria de larga data para las organizaciones que procesan datos personales de residentes de la Unión Europea. El EDPB confirmó que los operadores de blockchain no pueden evitar las obligaciones del RGPD simplemente porque los registros en blockchain sean inmutables o porque los datos personales hayan sido encriptados o hasheados en la cadena, estableciendo que las organizaciones siguen siendo responsables de proteger los derechos de los titulares de los datos independientemente de la arquitectura técnica. Las directrices se publicaron junto con estándares actualizados de anonimización, redefiniendo colectivamente las expectativas de cumplimiento para los operadores de blockchain en el marco de privacidad de la UE que ha estado en vigor desde 2018.

El EDPB confirma que las obligaciones del RGPD se aplican a pesar de la inmutabilidad de blockchain

El EDPB confirmó que los operadores de blockchain no pueden evitar las obligaciones del RGPD simplemente porque los registros en blockchain sean inmutables o porque los datos personales hayan sido encriptados o hasheados en la cadena. Según el regulador, las organizaciones siguen siendo responsables de proteger los derechos de los titulares de los datos independientemente de la arquitectura técnica que elijan. La junta afirmó que los datos personales encriptados o hasheados generalmente siguen sujetos al RGPD porque potencialmente pueden vincularse a un individuo identificable mediante direcciones de billetera, bases de datos externas, claves de desencriptación o avances futuros en análisis criptográficos. La guía de anonimización acompañante establece que los datos solo pueden considerarse anónimos si no pueden aislarse, vincularse o usarse para inferir la identidad de una persona.

El EDPB aborda tres modelos principales de blockchain para el cumplimiento del RGPD

Las directrices abordan tres modelos principales de blockchain: redes públicas sin permisos, blockchains privadas con permisos y cadenas de consorcio. El EDPB afirmó que las blockchains privadas y de consorcio son generalmente más adecuadas para el cumplimiento del RGPD porque permiten que organizaciones claramente identificables actúen como responsables del tratamiento y controladores de datos. En contraste, el regulador señaló que asignar estas responsabilidades en redes públicas sin permisos sigue siendo extremadamente difícil debido a la naturaleza descentralizada de sus participantes.

El EDPB afirma que el derecho a la supresión se aplica a pesar de las limitaciones técnicas

La junta enfatizó que el derecho a la supresión del RGPD continúa aplicándose incluso cuando la tecnología blockchain hace que eliminar registros sea técnicamente desafiante. Según la orientación, las limitaciones técnicas no eximen a las organizaciones de las obligaciones de cumplimiento. El EDPB aconsejó a las empresas determinar si la tecnología blockchain es necesaria antes de implementarla y, cuando sea posible, evitar almacenar datos personales directamente en la cadena. El regulador reconoció los riesgos a largo plazo asociados con la encriptación, señalando que los avances tecnológicos, incluido la computación cuántica, podrían eventualmente hacer legibles los registros en blockchain actualmente encriptados. Se espera que las organizaciones consideren los riesgos futuros de reidentificación al diseñar sistemas blockchain que retengan información de forma permanente.

El EDPB recomienda almacenamiento fuera de la cadena para datos personales

La orientación recomienda que las organizaciones mantengan los datos personales fuera de la cadena siempre que sea posible, usando blockchain principalmente para almacenar referencias criptográficas mientras mantienen la información personal eliminable en bases de datos convencionales. Según el EDPB, esta arquitectura ofrece el método más práctico para cumplir con los requisitos de eliminación del RGPD sin perder la funcionalidad de blockchain. Cuando no sea posible evitar almacenar datos personales en la cadena, el regulador describió alternativas limitadas. Estas incluyen encriptar los datos en blockchain con claves de encriptación gestionadas de forma segura fuera de la cadena que puedan destruirse posteriormente cuando se reciba una solicitud de eliminación, o usar datos hasheados protegidos con sales confidenciales fuera de la cadena que también puedan destruirse. La junta indicó que, aunque estos métodos pueden servir como sustitutos prácticos de la eliminación, no convierten los datos personales en información anónima.

El EDPB destaca los desafíos en transferencias internacionales y los requisitos de contratos inteligentes

Las directrices resaltan los desafíos asociados con las transferencias internacionales de datos en blockchains públicas. Debido a que las transacciones se replican automáticamente en nodos ubicados en múltiples países, las organizaciones pueden transferir involuntariamente datos personales fuera de la Unión Europea sin las salvaguardas requeridas por el RGPD. El EDPB advirtió que cumplir con los requisitos de transferencia internacional en redes blockchain sin permisos puede resultar especialmente difícil debido a la imposibilidad de identificar o contratar con operadores de nodos anónimos. El regulador también abordó los contratos inteligentes, explicando que la toma de decisiones automatizada basada en blockchain puede activar el Artículo 22 del RGPD cuando las decisiones produzcan efectos legales o de importancia similar para las personas. Las organizaciones que implementen contratos inteligentes para servicios financieros, verificación de identidad, préstamos, seguros o gestión de accesos pueden necesitar proporcionar transparencia respecto al procesamiento automatizado, asegurando que las personas afectadas tengan oportunidades de solicitar revisión humana.

La orientación del EDPB afecta a instituciones financieras y proveedores de salud

La orientación afecta a una amplia gama de sectores que utilizan tecnología blockchain, incluyendo instituciones financieras, proveedores de salud, plataformas de cadena de suministro, custodios de activos digitales, mercados de NFT y proveedores de activos tokenizados. Los despliegues existentes de blockchain que contienen datos personales pueden requerir modificaciones técnicas, rediseños arquitectónicos o migraciones hacia almacenamiento fuera de la cadena para mejorar el cumplimiento. El EDPB enfatizó que la orientación no introduce nuevas obligaciones legales, sino que aclara los requisitos del RGPD que han estado en vigor desde 2018, por lo que las organizaciones que procesan datos personales en redes blockchain deben revisar sus sistemas existentes sin demora. Aunque el regulador incorporó comentarios de las partes interesadas durante las consultas públicas, rechazó solicitudes de eximir a las blockchains públicas de las obligaciones del responsable del tratamiento o de relajar los estándares de anonimización, reforzando un marco de cumplimiento más estricto para el tratamiento de datos basado en blockchain en toda la Unión Europea.

Preguntas frecuentes

¿Qué finalizó el EDPB el 8 de julio de 2026?

El EDPB finalizó nuevas directrices que aclaran cómo se aplica el Reglamento General de Protección de Datos (RGPD) a las tecnologías blockchain. La orientación se publicó junto con estándares actualizados de anonimización y aborda cómo las organizaciones que procesan datos personales de residentes de la Unión Europea deben cumplir con las normas de privacidad de la UE.

¿Por qué afirma el EDPB que la inmutabilidad de blockchain no exime de las obligaciones del RGPD?

El EDPB confirmó que los operadores de blockchain no pueden evitar las obligaciones del RGPD simplemente porque los registros en blockchain sean inmutables o porque los datos personales hayan sido encriptados o hasheados en la cadena. Según el regulador, las organizaciones siguen siendo responsables de proteger los derechos de los titulares de los datos independientemente de la arquitectura técnica que elijan.

¿Cómo recomienda el EDPB que las organizaciones manejen los datos personales en blockchain?

La orientación recomienda que las organizaciones mantengan los datos personales fuera de la cadena siempre que sea posible, usando blockchain principalmente para almacenar referencias criptográficas mientras mantienen en bases de datos convencionales la información personal que pueda eliminarse. Según el EDPB, esta arquitectura ofrece el método más práctico para cumplir con los requisitos de eliminación del RGPD sin perder la funcionalidad de blockchain.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios