El Comité Europeo de Protección de Datos aprueba las Directrices sobre el tratamiento de datos personales mediante blockchain
- La Agencia Española de Protección de Datos ha sido la ponente principal de las mismas en la fase previa a su lanzamiento
- Las Directrices ofrecen soluciones prácticas para que las organizaciones concilien el uso del blockchain con las exigencias del Reglamento General de Protección de Datos
- La consulta pública a la que se ha sometido el documento ha batido un récord de participación, convirtiéndose en el texto del Comité Europeo que más contribuciones ha recibido hasta la fecha
Foto de Shubham Dhage en Unsplash.
(9 de julio de 2026). El Comité Europeo de Protección de Datos (CEPD) ha adoptado en su reunión de julio las Directrices sobre el tratamiento de datos personales mediante tecnologías blockchain (Guidelines on the processing of personal data through blockchain technologies), en el que la Agencia Española de Protección de Datos (AEPD) ha sido la ponente principal en la fase previa a su lanzamiento.
Este documento tiene como objetivo ofrecer seguridad jurídica a un entorno tecnológico caracterizado por su alta complejidad y su naturaleza distribuida, elementos que hasta ahora generaban incertidumbre sobre cómo proteger la privacidad de las personas.
El gran interés que despierta este tema se ha reflejado en la fase de consulta pública de este texto, convirtiendo a estas directrices en el documento del CEPD que mayor número de contribuciones ha recibido por parte de personas expertas y organizaciones.
Con su aprobación, Europa afianza la idea de que el desarrollo tecnológico y la innovación no pueden rebajar los derechos de la ciudadanía, demostrando que la arquitectura blockchain puede ser compatible con la protección de las personas si se planifica bajo un modelo de gobernanza transparente, responsable y orientado a salvaguardar la privacidad. En este sentido, las Directrices referencian la Prueba de concepto sobre blockchain y el derecho de supresión publicada por la Agencia Española de Protección de Datos.
Criterios de las Directrices
La tecnología blockchain funciona como un libro de contabilidad digital replicado en múltiples ubicaciones donde los datos se enlazan de forma criptográfica, lo que impide que la información validada pueda alterarse o borrarse de forma sencilla. Esta inmutabilidad garantiza la integridad del sistema, pero puede entrar en colisión directa con elementos de la protección de datos como la limitación del plazo de conservación o el derecho al olvido.
Para resolver este conflicto, las Directrices aprobadas aportan, entre otros, los siguientes criterios:
- Evitar los datos personales directamente en la cadena: El Comité desaconseja almacenar datos personales en texto plano directamente dentro de la estructura de bloques. En su lugar, recomienda que los datos identificativos permanezcan guardados en los sistemas convencionales de las empresas (sistemas off-chain) y que en la blockchain solo se registren "pruebas criptográficas de existencia", como funciones hash con clave o compromisos criptográficos.
- Privacidad desde el diseño: Las organizaciones que implementen proyectos basados en esta tecnología no pueden improvisar la protección de datos. Las directrices exigen incorporar de forma obligatoria medidas técnicas avanzadas de minimización y cifrado desde la fase inicial de concepción del desarrollo técnico.
- Garantía de los derechos de la ciudadanía: El texto aclara que los derechos de acceso, rectificación, oposición y supresión son tecnológicamente neutros y se deben garantizar plenamente. Las directrices proponen fórmulas técnicas (como la destrucción de las claves de descifrado o el borrado de los datos almacenados fuera de la cadena) para lograr que un registro en la blockchain quede efectivamente anonimizado de forma irreversible a ojos de terceros.
- Evaluaciones de impacto obligatorias: Debido a los riesgos técnicos inherentes a la replicación masiva y las transferencias internacionales de datos asociadas a los nodos de red, el CEPD establece que las entidades deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) antes de poner en marcha cualquier tratamiento con esta tecnología.
Noticias relacionadas
La Red Iberoamericana aprueba un documento de referencia sobre las garantías reforzadas que exige el tratamiento de neurodatos en el ámbito no sanitario
Leer más
La AEPD y la Autoridad Belga impulsan buenas prácticas de protección de datos para el sector del videojuego
Leer más
La AEPD promueve el uso responsable de la IA con una iniciativa sobre deepfakes
Leer más