RESUMEN DEL DICTAMEN DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS SOBRE LA PROPUESTA DE UN REGLAMENTO RELATIVO A LOS MERCADOS DE CRIPTOACTIVOS.

  Por: Carlos A. FERREYROS SOTO

        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen

        cferreyros@hotmail.com

CONCLUSIONES

Entre las Conclusiones del Dictamen, el Supervisor Europeo de Protección de Datos:

—    recuerda la necesidad de una reflexión y un debate más amplios, sobre los criptoactivos;  acerca de cómo garantizar que la tecnología subyacente de los criptoactivos: cadena de bloques y registros distribuidos, respeten las normas y los principios de protección de datos de la manera más eficaz posible y que dicho debate tenga lugar antes de que la propuesta pertinente entre en vigor;

—    recomienda que se designe explícitamente a los emisores como responsables del tratamiento;

—    recomienda incluir en los artículos 5, 17 y 46 de la propuesta, como parte de la información que debe facilitarse a modo de contenido del Libro blanco de los criptoactivos;

—    respecto de la publicación de sanciones administrativas, el SEPD recomienda incluir, entre los criterios sometidos a la consideración de la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas, y sustituir el período mínimo de conservación de datos de «durante cinco años, como mínimo» por un período máximo determinado de conservación de datos;

—    sobre la cooperación administrativa entre las autoridades competentes, así como con la cooperación con las autoridades de supervisión de terceros países, el SEPD recomienda que se considere la supresión de la referencia al RPDUE[1] con arreglo al artículo 108, apartado 3, habida cuenta de la referencia «horizontal» a la aplicabilidad del RPDUE realizada en el artículo 88, apartado 2, de la propuesta.

 (El texto completo de este dictamen puede consultarse en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)

---

[1] Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de instituciones, organismos y organizaciones de la Unión y a la libre circulación de dichos datos

 

_____________________________________________________________________

Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de un Reglamento relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937

(El texto completo de este dictamen puede consultarse en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)

(2021/C 337/03)

El 24 de septiembre de 2020, la Comisión Europea adoptó una propuesta de Reglamento relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937 (en lo sucesivo, «la propuesta»). La propuesta establece requisitos de transparencia e información en relación con la emisión y la admisión a negociación de criptoactivos; normas relativas a la autorización y supervisión de los proveedores de servicios de criptoactivos y los emisores de fichas referenciadas a activos y los emisores de fichas de dinero electrónico; regula el funcionamiento, la organización y la gobernanza de los emisores de fichas referenciadas a activos, los emisores de fichas de dinero electrónico y los proveedores de servicios de criptoactivos; y proporciona normas de protección de los consumidores en relación con la emisión, la negociación, el canje y la custodia de criptoactivos; así como medidas dirigidas a prevenir el abuso de mercado, con el fin de garantizar la integridad de los mercados de criptoactivos.

El SEPD recuerda la necesidad de efectuar una reflexión más amplia sobre cómo garantizar mejor que la tecnología subyacente de los criptoactivos, a saber, la cadena de bloques y los registros descentralizados, respeten las normas y los principios de protección de datos, y se remite, a este respecto, a las observaciones generales formuladas en su dictamen sobre la propuesta de un régimen piloto sobre infraestructuras del mercado basadas en la tecnología de registro descentralizado (TRD) y reitera la necesidad de que dicho debate tenga lugar antes de que entre(n) en vigor la(s) propuesta(s) pertinente(s).

Al mismo tiempo, el SEPD destaca la responsabilidad del legislador de la UE de garantizar que el tratamiento implícito en la propuesta pueda llevarse a cabo de tal forma que se respete la protección de datos, así como la responsabilidad de los responsables del tratamiento de garantizar el cumplimiento de conformidad con el principio de rendición de cuentas.

El SEPD considera que los emisores de criptoactivos serían normalmente responsables del tratamiento con arreglo al RGPD, teniendo en cuenta el proyecto de los emisores y en la medida en que este último implique el tratamiento de datos personales. Para aumentar la seguridad jurídica, el SEPD invita al legislador a designar explícitamente a los emisores responsables del tratamiento en la propuesta. Además, el tratamiento de datos personales puede cumplir dos o más de los criterios que indican que es probable que el tratamiento entrañe un alto riesgo en el sentido de la legislación sobre protección de datos. En consecuencia, el emisor de criptoactivos puede estar sujeto a la obligación, de conformidad con el artículo 35 del RGPD, de realizar una evaluación de impacto relativa a la protección de datos (EIPD), antes del tratamiento previsto de los datos personales.

El SEPD acoge con satisfacción el objetivo de la propuesta de mejorar la protección de los consumidores como compradores de criptoactivos (inversores). Al mismo tiempo, el SEPD considera que la propuesta también debería incluir la obligación de los emisores de destacar especialmente algunas garantías en relación con la protección de datos, a fin de proteger mejor a los interesados. El SEPD recomienda incluir en la propuesta, como parte de la información que debe facilitarse a modo de contenido del Libro blanco de los criptoactivos, información relativa a las operaciones de tratamiento previstas en las que se tratan datos personales, así como los principales riesgos previstos y las estrategias de mitigación en lo que se refiere a la protección de datos.

En cuanto a la publicación de sanciones administrativas, el SEPD recomienda incluir, entre los criterios sometidos a la consideración de la autoridad competente, el impacto en la protección de los datos personales de las personas físicas. Por otra parte, el SEPD recuerda que el principio de limitación del almacenamiento exige que los datos personales se almacenen durante un período no superior al necesario para los fines para los que se tratan los datos personales, y recomienda que se establezca un período máximo en lugar de un período mínimo de conservación de datos con arreglo al artículo 95, apartado 4, de la propuesta.

1.   Antecedentes

   1.      El 24 de septiembre de 2020, la Comisión Europea adoptó una propuesta de Reglamento relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937 (en lo sucesivo, «la propuesta») (¹). La propuesta es un marco reglamentario desarrollado para regular los criptoactivos que actualmente están fuera del ámbito de aplicación y sus proveedores de servicios en la UE, así como para establecer un régimen único de concesión de licencias en todos los Estados miembros de aquí a 2024. La propuesta tiene por objeto armonizar el marco europeo para la emisión y la negociación de diversos tipos de criptomonedas como parte de la Estrategia de Finanzas Digitales para la Unión Europea.

 

   2.      La propuesta se integra en el paquete de finanzas digitales, un paquete de medidas dirigidas a explotar en mayor grado y apoyar el potencial de las finanzas digitales en términos de innovación y competencia, reduciendo al mismo tiempo los riesgos. El paquete de finanzas digitales incluye una nueva Estrategia de Finanzas Digitales para el sector financiero de la UE (²) cuyo objetivo es garantizar que la UE ponga los beneficios de las finanzas digitales al alcance de los consumidores y las empresas de Europa. Además de esta propuesta, el paquete también incluye una propuesta de un régimen piloto sobre infraestructuras del mercado basadas en la tecnología de registro descentralizado (TRD) (la «propuesta de un régimen piloto») (³), una propuesta sobre resiliencia operativa digital («DORA», por sus siglas en inglés) (⁴), y una propuesta para aclarar o modificar algunas normas relacionadas con los servicios financieros de la UE (⁵).

 

   3.      El SEPD fue consultado acerca de la propuesta del régimen piloto y emitió su dictamen el 23 de abril de 2021 (⁶). Fue consultado asimismo en relación con la propuesta de resiliencia operativa digital el 29 de abril de 2021 y emitió su dictamen el 10 de mayo de 2021 (⁷).

 

   4.      El 29 de abril de 2021, la Comisión Europea pidió al SEPD que emitiese un dictamen sobre la propuesta, con arreglo a lo previsto en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725. Estas observaciones se ciñen a las disposiciones de la propuesta que son relevantes desde la perspectiva de la protección de datos.

4.   Conclusiones

En vista de lo anteriormente expuesto, el SEPD:

—        recuerda la necesidad de una reflexión y un debate más amplios, no solo en relación con los criptoactivos, sobre cómo garantizar que la tecnología subyacente de los criptoactivos, a saber, la cadena de bloques y los registros distribuidos, respeten las normas y los principios de protección de datos de la manera más eficaz posible y reitera la necesidad de que dicho debate tenga lugar antes de que la(s) propuesta(s) pertinente(s) entre(n) en vigor;

 

—        recomienda que se designe explícitamente a los emisores como responsables del tratamiento, a fin de evitar cualquier posible problema de interpretación a la hora de evaluar el papel, en particular teniendo en cuenta la complejidad del objeto de la propuesta y las relaciones entre los agentes pertinentes;

 

—        recomienda incluir en los artículos 5, 17 y 46 de la propuesta, como parte de la información que debe facilitarse a modo de contenido del Libro blanco de los criptoactivos, lo siguiente: «cuando proceda, la lista de las operaciones de tratamiento previstas en las que se tratan datos personales, así como los principales riesgos previstos y las estrategias de mitigación en lo que se refiere a la protección de datos»;

 

—        por lo que respecta a la publicación de sanciones administrativas, el SEPD recomienda incluir, entre los criterios sometidos a la consideración de la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas, y sustituir el período mínimo de conservación de datos con arreglo al artículo 95, apartado 4, de «durante cinco años, como mínimo» por un período máximo determinado de conservación de datos;

 

—        en relación con la cooperación administrativa entre las autoridades competentes, la ABE y la AEVM, así como con la cooperación con las autoridades de supervisión de terceros países, el SEPD recomienda que se considere la supresión de la referencia al RPDUE con arreglo al artículo 108, apartado 3, habida cuenta de la referencia «horizontal» a la aplicabilidad del RPDUE realizada en el artículo 88, apartado 2, de la propuesta.

 

Bruselas, 24 de junio de 2021.

Wojciech Rafał WIEWIÓROWSKI

---

(1)  Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937, 24 de septiembre de 2020, 2020/0265 (COD).

(2)  Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Banco Central Europeo, al Banco Central Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre una Estrategia de Finanzas Digitales para la UE, 24 de septiembre de 2020, COM(2020) 591.

(3)  Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado, COM(2020) 594.

(4)  Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, COM(2020) 595.

(5)  Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341, COM(2020) 596.

(6)  Dictamen 6/2021 sobre la propuesta de un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado, disponible en https://edps.europa.eu/system/files/2021-06/2021-0219_d0912_opinion_on_pilot_regime_for_market_infrastructures_en.pdf.

(7)  Dictamen 7/2021 sobre la propuesta de un Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014 y (UE) 909/2014, disponible enhttps://edps.europa.eu/system/files/2021-05/2021-0203_d0943_opinion_digital_operational_resilience_for_the_financial_sector_en.pdf