Por: Carlos A. FERREYROS SOTO
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen
El 24 de septiembre de 2020, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado, TRD [COM(2020)594 final].
El Supervisor Europeo de Protección de Datos, SEPD, observa que, en función de cómo se configure la TRD, los metadatos o los datos de operaciones almacenados en esta pueden considerarse datos personales si están relacionados con una persona física identificada o identificable. En consecuencia, los responsables del tratamiento deben analizar y documentar minuciosamente la configuración de la TRD con el objeto de determinar si en esta se tratan datos personales y, por tanto, si las correspondientes operaciones se encuentran sujetas a las obligaciones en materia de protección de datos.
La propuesta de TRD, se integra en un paquete que incluye una propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta relativa a la resiliencia operativa digital (el «Reglamento DORA») y una propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. El SEPD espera que también se le consulte en relación con los demás Reglamentos del paquete, en consonancia con lo estipulado en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.4
El SEPD pone de relieve que la tecnología en que se
basan algunos registros descentralizados, en particular los públicos y aquellos
que no requieren permisos, plantea una serie de cuestiones conceptuales
cruciales relativas a los requisitos en materia de protección de datos; y
recomienda, por tanto, que el debate sobre el modo de garantizar la
compatibilidad de los sistemas de TRD con el marco de protección de datos tenga
lugar antes de la entrada en vigor de la propuesta.
_____________________________________________________
Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado
(El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: www.edps.europa.eu)
(2021/C 229/04)
El 24 de septiembre de 2020, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado [COM(2020)594 final]. La propuesta establece unos requisitos armonizados para determinados participantes del mercado que deseen solicitar y obtener autorizaciones para gestionar infraestructuras del mercado basadas en la tecnología de registro descentralizado (TRD).
El SEPD subraya que la protección de los datos personales no supone un obstáculo a la innovación y, en concreto, al desarrollo de nuevas tecnologías en el sector financiero. Al mismo tiempo, recuerda que las medidas adoptadas a nivel de la UE en relación con las tecnologías innovadoras que impliquen el tratamiento de datos personales deben respetar los principios generales de necesidad y proporcionalidad. Además de ello, dada la falta de una perspectiva completa sobre los efectos de estas nuevas tecnologías en la sociedad, considera necesario actuar conforme al principio de precaución.
El SEPD observa que, en función de cómo se configure la TRD, los metadatos o los datos de operaciones almacenados en esta pueden considerarse datos personales si están relacionados con una persona física identificada o identificable. En consecuencia, los responsables del tratamiento deben analizar y documentar minuciosamente la configuración de la TRD con el objeto de determinar si en esta se tratan datos personales y, por tanto, si las correspondientes operaciones se encuentran sujetas a las obligaciones en materia de protección de datos.
El SEPD pone de relieve que la tecnología en que se basan algunos registros descentralizados, en particular los públicos y aquellos que no requieren permisos, plantea una serie de cuestiones cruciales relativas a su compatibilidad con los requisitos en materia de protección de datos.
En opinión del SEPD, antes de que entre en vigor la propuesta, debería entablarse un debate sobre la compatibilidad general de los sistemas de TRD con el marco de protección de datos.
En las TRD que contienen datos personales en cadena, el SEPD considera que las operaciones de tratamiento relacionadas con estos probablemente cumplan los criterios para su clasificación como operaciones de alto riesgo. Por tanto, el responsable del tratamiento deberá realizar una evaluación de impacto relativa a la protección de datos con carácter previo a las operaciones de tratamiento de datos personales previstas. Además, es posible que resulte necesaria la autorización previa de la autoridad de protección de datos competente.
El SEPD recomienda que, cuando resulte pertinente y como parte de la solicitud destinada a gestionar información relacionada con infraestructuras del mercado basadas en la TRD, la propuesta exija que se proporcione la información esencial relacionada con las operaciones de tratamiento previstas. Recomienda también que los organismos rectores de infraestructuras del mercado basadas en la TRD deban publicar la declaración de confidencialidad en el mismo lugar que la información sobre su gestión, según lo requiera la propuesta.
El SEPD destaca que las disposiciones en materia informática y cibernética previstas en la propuesta para gestionar infraestructuras del mercado basadas en la TRD deben ser acordes también con las obligaciones recogidas en los artículos 22 y 32 del RGPD. (1)
Por último, en el contexto de la comunicación de cuestiones relacionadas con la gestión por los organismos rectores de infraestructuras del mercado basadas en la TRD, el SEPD recomienda recordar en un considerando que, en caso de violación de la seguridad de los datos personales, el organismo rector también deberá notificar este hecho a la autoridad de protección de datos competente, conforme a lo dispuesto en el artículo 33 del RGPD, y, cuando proceda, a los interesados, con arreglo a lo dispuesto en el artículo 34 del RGPD.
3. ANTECEDENTES
1. | El 24 de septiembre de 2020, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado [COM(2020)594 final] (la «propuesta»). La propuesta establece unos requisitos armonizados para determinados participantes del mercado —empresas de servicios de inversión, organismos rectores del mercado o depositarios centrales de valores— que deseen solicitar y obtener autorizaciones para gestionar infraestructuras del mercado basadas en la tecnología de registro descentralizado («infraestructuras del mercado basadas en la TRD») en un entorno supervisado donde se apliquen ciertas exenciones al cumplimiento de la normativa financiera. En particular, la propuesta tiene cuatro objetivos: ofrecer seguridad jurídica para los criptoactivos, garantizar la estabilidad financiera, proteger a los consumidores y los inversores y permitir la innovación en el uso de la cadena de bloques, la tecnología de registro descentralizado y los criptoactivos. |
2. | Esta propuesta se integra en un paquete que incluye una propuesta de Reglamento relativo a los mercados de criptoactivos (2) (el «Reglamento MiCA»), una propuesta relativa a la resiliencia operativa digital (3) (el «Reglamento DORA») y una propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros (4). El SEPD espera que también se le consulte en relación con los demás Reglamentos del paquete, en consonancia con lo estipulado en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725. |
3. | El 26 de febrero de 2021, la Comisión Europea solicitó un Dictamen sobre la propuesta al Supervisor Europeo de Protección de Datos (el «SEPD»), con arreglo a lo previsto en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725. Estas observaciones se ciñen a las disposiciones de la propuesta relevantes desde la perspectiva de la protección de datos. |
5. CONCLUSIONES
En vista de lo anteriormente expuesto, el SEPD:
— | recuerda que la protección de los datos personales no supone un obstáculo a la innovación y, en concreto, al desarrollo de nuevas tecnologías, en especial, en el sector financiero. |
— | pone de relieve que la tecnología en que se basan algunos registros descentralizados, en particular los públicos y aquellos que no requieren permisos, plantea una serie de cuestiones conceptuales cruciales relativas a los requisitos en materia de protección de datos; y recomienda, por tanto, que el debate sobre el modo de garantizar la compatibilidad de los sistemas de TRD con el marco de protección de datos tenga lugar antes de la entrada en vigor de la propuesta. |
— | insiste en que los criptoactivos negociados en las infraestructuras del mercado basadas en la TRD cubiertas por la propuesta sean exclusivamente aquellos que empleen una configuración de TRD que se ajuste al marco de protección de datos. |
— | sugiere que, cuando proceda, también se incluyan, como parte de la información exigida al organismo rector en el contexto de su solicitud para gestionar una infraestructura del mercado basada en la TRD, la lista de las operaciones de tratamiento de datos personales previstas, la asignación de las funciones y las responsabilidades de cada organismo rector dentro de la infraestructura del mercado basada en la TRD con arreglo al RGPD, y los principales riesgos previstos y las estrategias de mitigación en relación con la protección de datos. |
— | destaca que las disposiciones en materia informática y cibernética previstas en la propuesta con el fin de gestionar infraestructuras del mercado basadas en la TRD deben ser acordes también con las obligaciones estipuladas en los artículos 22 y 32 del RGPD. |
— | recomienda recordar en un considerando, en el contexto de la comunicación de cuestiones relacionadas con la gestión por los organismos rectores de infraestructuras del mercado basadas en la TRD, que, en caso de violación de la seguridad de los datos personales, el organismo rector también deberá notificarla a la autoridad de control competente en materia de protección de datos, conforme a lo dispuesto en el artículo 33 del RGPD, y, cuando proceda, a los interesados, con arreglo a lo dispuesto en el artículo 34 del RGPD. |
Bruselas, 23 de abril de 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(2) Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937 [COM(2020)593 final]. Disponible en EUR-Lex - 52020PC0593 - EN - EUR-Lex (europa.eu).
(3) Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 [COM(2020)595 final]. Disponible en EUR-Lex - 52020PC0595 - EN - EUR-Lex (europa.eu).
(4) Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 [COM(2020)596 final]. Disponible en EUR-Lex - 52020PC0596 - EN - EUR-Lex (europa.eu).
No hay comentarios:
Publicar un comentario