En Resumen
- La Junta Europea de Protección de Datos (EDPB) aprobó directrices para alinear el uso de blockchain con el GDPR, limitando el almacenamiento y acceso a datos personales.
- Las normas promueven la “privacidad por diseño” y desaconsejan almacenar datos personales directamente en la blockchain.
- Las organizaciones deberán hacer Evaluaciones de Impacto antes de procesar datos personales en blockchain y asegurar que no estén disponibles para un público indefinido.
La Junta Europea de Protección de Datos ha aprobado un borrador de normas que rigen cómo se almacenan y comparten los datos personales en blockchain, marcando otro paso hacia la alineación de la tecnología descentralizada con los estándares existentes.
Las nuevas directrices limitan el acceso a la información almacenada y cumplen con las protecciones del Reglamento General de Protección de Datos (GDPR), según la EDPB, que ratificó las normas este mes y abrió comentarios públicos hasta el 9 de junio.
"Las blockchains tienen ciertas propiedades que pueden generar desafíos al tratar con los requisitos del GDPR", dijo la EDPB en una versión de las directrices disponible en línea. "Las directrices destacan la necesidad de Protección de Datos por Diseño y por Defecto y medidas organizativas y técnicas adecuadas."
El documento añadió: "Como regla general, se debe evitar almacenar datos personales en una blockchain si esto entra en conflicto con los principios de protección de datos".
European Central Bank Takes Step Toward Blockchain-Based Payments System
The European Central Bank is expanding its efforts to establish a payments system built on blockchain technology, a move that could lead to Europe’s largest monetary policymaker issuing a central bank digital currency, or CBDC. The digital payments infrastructure initiative, announced Thursday by the ECB, will roll out in two phases. In the first stage, the eurozone’s monetary authority will develop and implement a payments platform for settlements in central bank money through an interoperabil...
Las directrices surgen en medio de preocupaciones continuas sobre la seguridad de la tecnología blockchain. El GDPR describe una lista de derechos para que las personas protejan su información personal.
Las directrices aconsejaron a las organizaciones implementar medidas técnicas y estructurales desde las primeras etapas de diseño del procesamiento de datos, y enfatizaron la importancia de la transparencia, rectificación y eliminación de datos personales.
Esto incluye considerar los diversos roles de los actores involucrados en las distintas etapas del procesamiento de datos personales en blockchain.
La EDPB dijo que las organizaciones deberían realizar Evaluaciones de Impacto de Protección de Datos (DPIAs) antes de procesar cualquier dato personal utilizando tecnología blockchain. Esto suponiendo que el procesamiento probablemente resultará en un alto riesgo para los derechos y libertades de las personas.
La junta instó a las organizaciones a centrarse en garantizar que los datos personales de las personas no estén disponibles para un "número indefinido de personas por defecto".
Los expertos en privacidad de datos tienen opiniones mixtas sobre el papel de blockchain en la privacidad de datos y las nuevas directrices.
Bryn Bennett, Senior BD en Hacken, una firma de seguridad Web3 ucraniana, dijo a Decrypt que "las directrices de la EDPB son un recordatorio oportuno de que la descentralización no significa desregulación".
"Vemos la privacidad como parte de la infraestructura central, no como un complemento posterior al lanzamiento", dijo Bennet. "Los proyectos que tratan los datos de los usuarios de manera casual arriesgan tanto repercusiones legales como brechas de seguridad. La privacidad por diseño, el almacenamiento off-chain y la gobernanza adecuada no son solo mejores prácticas, son herramientas de supervivencia".
Sin embargo, en una entrevista con Decrypt, Harry Halpin, fundador y CEO de la firma de privacidad descentralizada Nym Technologies, dijo que "es un error poner datos personales en la blockchain".
"Los casos de uso que he visto, como sistemas de identidad digital o, peor aún, pasaportes COVID, violan inherentemente la privacidad y conducen al autoritarismo", dijo Halpin. "Los datos personales deberían usar pruebas de conocimiento cero off-chain y tener privacidad de red a través de mixnets, como usamos con la información de pago en Nym".
Añadió que: "También es un error aplicar leyes de protección de datos a la información en la blockchain, ya que el 'derecho al olvido' requeriría efectivamente que las blockchain descentralizadas sean mutables y censuradas por los reguladores. Si este es el objetivo, entonces simplemente usen bases de datos centralizadas normales".
Editado por Sebastian Sinclair
