El Consejo Europeo de Protección de Datos (EDPB) finalizó nuevas directrices el 8 de julio de 2026, aclarando cómo se aplica el Reglamento General de Protección de Datos (RGPD) a las tecnologías blockchain. La orientación aborda la incertidumbre regulatoria de larga data para las organizaciones que procesan datos personales de residentes de la Unión Europea. El EDPB confirmó que los operadores de blockchain no pueden evitar las obligaciones del RGPD simplemente porque los registros en blockchain sean inmutables o porque los datos personales hayan sido encriptados o hasheados en la cadena, estableciendo que las organizaciones siguen siendo responsables de proteger los derechos de los titulares de los datos independientemente de la arquitectura técnica. Las directrices se publicaron junto con estándares actualizados de anonimización, redefiniendo colectivamente las expectativas de cumplimiento para los operadores de blockchain en el marco de privacidad de la UE que ha estado en vigor desde 2018.
El EDPB confirmó que los operadores de blockchain no pueden evitar las obligaciones del RGPD simplemente porque los registros en blockchain sean inmutables o porque los datos personales hayan sido encriptados o hasheados en la cadena. Según el regulador, las organizaciones siguen siendo responsables de proteger los derechos de los titulares de los datos independientemente de la arquitectura técnica que elijan. La junta afirmó que los datos personales encriptados o hasheados generalmente siguen sujetos al RGPD porque potencialmente pueden vincularse a un individuo identificable mediante direcciones de billetera, bases de datos externas, claves de desencriptación o avances futuros en análisis criptográficos. La guía de anonimización acompañante establece que los datos solo pueden considerarse anónimos si no pueden aislarse, vincularse o usarse para inferir la identidad de una persona.
Las directrices abordan tres modelos principales de blockchain: redes públicas sin permisos, blockchains privadas con permisos y cadenas de consorcio. El EDPB afirmó que las blockchains privadas y de consorcio son generalmente más adecuadas para el cumplimiento del RGPD porque permiten que organizaciones claramente identificables actúen como responsables del tratamiento y controladores de datos. En contraste, el regulador señaló que asignar estas responsabilidades en redes públicas sin permisos sigue siendo extremadamente difícil debido a la naturaleza descentralizada de sus participantes.
La junta enfatizó que el derecho a la supresión del RGPD continúa aplicándose incluso cuando la tecnología blockchain hace que eliminar registros sea técnicamente desafiante. Según la orientación, las limitaciones técnicas no eximen a las organizaciones de las obligaciones de cumplimiento. El EDPB aconsejó a las empresas determinar si la tecnología blockchain es necesaria antes de implementarla y, cuando sea posible, evitar almacenar datos personales directamente en la cadena. El regulador reconoció los riesgos a largo plazo asociados con la encriptación, señalando que los avances tecnológicos, incluido la computación cuántica, podrían eventualmente hacer legibles los registros en blockchain actualmente encriptados. Se espera que las organizaciones consideren los riesgos futuros de reidentificación al diseñar sistemas blockchain que retengan información de forma permanente.
La orientación recomienda que las organizaciones mantengan los datos personales fuera de la cadena siempre que sea posible, usando blockchain principalmente para almacenar referencias criptográficas mientras mantienen la información personal eliminable en bases de datos convencionales. Según el EDPB, esta arquitectura ofrece el método más práctico para cumplir con los requisitos de eliminación del RGPD sin perder la funcionalidad de blockchain. Cuando no sea posible evitar almacenar datos personales en la cadena, el regulador describió alternativas limitadas. Estas incluyen encriptar los datos en blockchain con claves de encriptación gestionadas de forma segura fuera de la cadena que puedan destruirse posteriormente cuando se reciba una solicitud de eliminación, o usar datos hasheados protegidos con sales confidenciales fuera de la cadena que también puedan destruirse. La junta indicó que, aunque estos métodos pueden servir como sustitutos prácticos de la eliminación, no convierten los datos personales en información anónima.
Las directrices resaltan los desafíos asociados con las transferencias internacionales de datos en blockchains públicas. Debido a que las transacciones se replican automáticamente en nodos ubicados en múltiples países, las organizaciones pueden transferir involuntariamente datos personales fuera de la Unión Europea sin las salvaguardas requeridas por el RGPD. El EDPB advirtió que cumplir con los requisitos de transferencia internacional en redes blockchain sin permisos puede resultar especialmente difícil debido a la imposibilidad de identificar o contratar con operadores de nodos anónimos. El regulador también abordó los contratos inteligentes, explicando que la toma de decisiones automatizada basada en blockchain puede activar el Artículo 22 del RGPD cuando las decisiones produzcan efectos legales o de importancia similar para las personas. Las organizaciones que implementen contratos inteligentes para servicios financieros, verificación de identidad, préstamos, seguros o gestión de accesos pueden necesitar proporcionar transparencia respecto al procesamiento automatizado, asegurando que las personas afectadas tengan oportunidades de solicitar revisión humana.
La orientación afecta a una amplia gama de sectores que utilizan tecnología blockchain, incluyendo instituciones financieras, proveedores de salud, plataformas de cadena de suministro, custodios de activos digitales, mercados de NFT y proveedores de activos tokenizados. Los despliegues existentes de blockchain que contienen datos personales pueden requerir modificaciones técnicas, rediseños arquitectónicos o migraciones hacia almacenamiento fuera de la cadena para mejorar el cumplimiento. El EDPB enfatizó que la orientación no introduce nuevas obligaciones legales, sino que aclara los requisitos del RGPD que han estado en vigor desde 2018, por lo que las organizaciones que procesan datos personales en redes blockchain deben revisar sus sistemas existentes sin demora. Aunque el regulador incorporó comentarios de las partes interesadas durante las consultas públicas, rechazó solicitudes de eximir a las blockchains públicas de las obligaciones del responsable del tratamiento o de relajar los estándares de anonimización, reforzando un marco de cumplimiento más estricto para el tratamiento de datos basado en blockchain en toda la Unión Europea.
¿Qué finalizó el EDPB el 8 de julio de 2026?
El EDPB finalizó nuevas directrices que aclaran cómo se aplica el Reglamento General de Protección de Datos (RGPD) a las tecnologías blockchain. La orientación se publicó junto con estándares actualizados de anonimización y aborda cómo las organizaciones que procesan datos personales de residentes de la Unión Europea deben cumplir con las normas de privacidad de la UE.
¿Por qué afirma el EDPB que la inmutabilidad de blockchain no exime de las obligaciones del RGPD?
El EDPB confirmó que los operadores de blockchain no pueden evitar las obligaciones del RGPD simplemente porque los registros en blockchain sean inmutables o porque los datos personales hayan sido encriptados o hasheados en la cadena. Según el regulador, las organizaciones siguen siendo responsables de proteger los derechos de los titulares de los datos independientemente de la arquitectura técnica que elijan.
¿Cómo recomienda el EDPB que las organizaciones manejen los datos personales en blockchain?
La orientación recomienda que las organizaciones mantengan los datos personales fuera de la cadena siempre que sea posible, usando blockchain principalmente para almacenar referencias criptográficas mientras mantienen en bases de datos convencionales la información personal que pueda eliminarse. Según el EDPB, esta arquitectura ofrece el método más práctico para cumplir con los requisitos de eliminación del RGPD sin perder la funcionalidad de blockchain.
Noticias relacionadas
La UE reabrirá el reglamento MiCA en 2027 para regular a los emisores de stablecoins no pertenecientes a la UE
La Comisión Europea busca comentarios sobre las revisiones de MiCA para abarcar la tokenización
Canadá refuerza la supervisión de las criptomonedas mediante el marco federal para stablecoins y la presentación de informes CARF
SEC Anuncia Propuesta de Puerto Seguro para Cripto Esperada para Julio de 2026
SEC añade tres proyectos de elaboración de normas cripto a la agenda regulatoria de 2026