MiCA, RGPD y direcciones de carteras cripto
Una dirección Bitcoin tiene entre 26 y 35 caracteres en codificación Base58Check. Empieza por «1», «3» o «bc1». Una dirección Ethereum empieza por «0x» y contiene 40 caracteres hexadecimales. Ambas son seudónimas. Ninguna identifica a una persona directamente.
La ley se aplica de todos modos.
Cuándo una dirección se convierte en dato personal
Los registros seudónimos son datos personales si pueden vincularse a una persona real. Un exchange de criptomonedas conserva ficheros KYC. Esos ficheros asocian direcciones a identidades verificadas. La dirección sola no identifica a nadie fuera del exchange. Dentro de sus sistemas, identifica a un cliente. Eso la convierte en dato personal.
El reglamento la abarca por completo.
MiCA añade una segunda capa
El Reglamento MiCA (Markets in Crypto-Assets) entró en vigor en diciembre de 2024. Obliga a los proveedores de servicios de criptoactivos — los CASPs — a proteger los datos de clientes. Un exchange europeo ahora enfrenta dos normas a la vez. MiCA fija controles financieros. El RGPD fija reglas de protección de datos. Ambas se aplican al mismo identificador.
La brecha de detección en las herramientas estándar
Las herramientas PII estándar se diseñaron para las finanzas tradicionales. Conocen el IBAN. Conocen el SWIFT/BIC. Conocen los números de ruta. No conocen los formatos de direcciones cripto.
Envíe un documento con una dirección Bitcoin, una dirección Ethereum y un código SWIFT a una herramienta estándar. Encuentra el código SWIFT. No detecta ninguna de las dos direcciones on-chain.
Para un CASP que procesa ficheros KYC, esta brecha es grave. Estos identificadores son tan sensibles como los números de cuenta. No detectarlos implica ausencia de cifrado, enmascaramiento y pista de auditoría.
El artículo 32 y la brecha de cifrado
El artículo 32(1)(a) del RGPD exige seudónimización y cifrado como medidas técnicas básicas. El 56 % de las multas del RGPD citan un cifrado inadecuado como factor. Un exchange que cifra todos los PII detectados pero omite las direcciones de carteras no ha protegido nada central de su actividad.
La detección debe cubrir el conjunto completo de identificadores. Para un CASP, ese conjunto incluye estos formatos de dirección.
Cómo es un pipeline conforme
Un exchange conforme añade estos tipos de entidades a su paso de detección. Los formatos Bitcoin y Ethereum están incluidos. Las direcciones se marcan, cifran y registran en el ROPA junto a IBANs y números de cuenta. El DPIA nombra cada tipo de identificador cubierto. Las pistas de auditoría MiCA coinciden con los registros de tratamiento.
No se necesita ninguna política nueva. La brecha es técnica. Añadir los tipos de entidades correctos al paso de detección la cierra.
Para las medidas técnicas del artículo 32, véase RGPD artículo 32 y herramientas de IA para supervisar PII. Para la seudónimización en la práctica, véase Directrices EDPB 2025 sobre seudónimización.