El Comité Europeo de Protección de Datos (CEPD) ha publicado las Directrices 02/2025 sobre el tratamiento de datos personales mediante tecnologías blockchain, actualmente en consulta pública hasta el 9 de junio de 2025. Estas directrices abordan los desafíos y riesgos específicos que plantea la naturaleza descentralizada e inmutable de la blockchain respecto al cumplimiento del Reglamento General de Protección de Datos (RGPD)[3][1].

Principales retos de la blockchain para la protección de datos

La blockchain, por su diseño, almacena la información de forma distribuida, transparente y resistente a manipulaciones. Esto supone ventajas en integridad y disponibilidad, pero también genera importantes desafíos para el cumplimiento de los principios del RGPD, especialmente en lo relativo a:

• Limitación del almacenamiento: los datos en blockchain no pueden eliminarse fácilmente, dificultando el ejercicio del derecho al olvido.
• Minimización de datos: la replicación y persistencia de la información aumentan el riesgo de tratar más datos de los necesarios.
• Gobernanza y responsabilidades: la multiplicidad de actores y la descentralización complican la identificación de responsables y encargados del tratamiento[1][3].
• Ejercicio de derechos: derechos como rectificación, supresión u oposición requieren soluciones técnicas y organizativas específicas.

Recomendaciones clave del CEPD

El CEPD ofrece un marco de actuación para organizaciones que planeen usar blockchain en el tratamiento de datos personales:

1. Evitar almacenar datos personales en la cadena

• Siempre que sea posible, los datos personales deben almacenarse fuera de la blockchain (off-chain), usando solo referencias, hashes o compromisos criptográficos en la cadena.
• Si se almacena información en la cadena, debe ser mediante técnicas avanzadas de cifrado, derivación de claves o anonimización fuerte[1][3].

2. Claridad en la gobernanza

• Es fundamental identificar quién actúa como responsable o corresponsable del tratamiento, especialmente en redes públicas o con múltiples nodos.
• En blockchains públicas, se recomienda crear una entidad jurídica que asuma la responsabilidad, cuando los nodos puedan influir en los fines y medios del tratamiento.

3. Protección de datos desde el diseño y por defecto

• Implementar medidas técnicas y organizativas que garanticen la privacidad y la protección de los derechos de los interesados desde la fase de diseño del sistema.

4. Evaluación de impacto en protección de datos (EIPD/DPIA)

• El uso de blockchain suele implicar altos riesgos para los derechos y libertades de los afectados, por lo que es obligatoria una evaluación de impacto que detalle operaciones, riesgos, medidas de mitigación y justificación de la necesidad de usar blockchain.

5. Ejercicio de derechos

• Deben habilitarse mecanismos para que los interesados puedan ejercer sus derechos de acceso, portabilidad, rectificación, supresión y oposición.
• En el caso de la supresión, se recomienda vincular los datos personales a referencias off-chain que sí puedan eliminarse, o emplear técnicas de seudonimización y desvinculación progresiva.

Riesgos y advertencias

El CEPD advierte que la imposibilidad técnica de borrar datos en blockchain no justifica el incumplimiento del RGPD. Si no es posible garantizar los derechos de los interesados, la organización debe reconsiderar el uso de blockchain para ese tratamiento de datos[1][6]. Además, la guía subraya la importancia de documentar todas las decisiones técnicas y organizativas, así como los criterios de necesidad y proporcionalidad.

El documento está abierto a comentarios hasta el 9 de junio de 2025, por lo que es crucial que empresas, desarrolladores y responsables políticos participen activamente en el proceso de consulta para asegurar una regulación equilibrada y realista.

https://www.edpb.europa.eu/system/files/2025-04/edpb_guidelines_202502_blockchain_en.pdf