Criptomonedas como Datos Personales
Una dirección de billetera de Bitcoin es una cadena de 26–35 caracteres alfanuméricos en codificación Base58Check, que comienza con "1", "3" o "bc1". Una dirección de Ethereum es "0x" seguida de 40 caracteres hexadecimales. Estas direcciones son seudónimas: no identifican directamente a individuos, pero bajo el GDPR, los datos seudónimos que pueden vincularse a un individuo mediante un procesamiento adicional son datos personales.
Un intercambio de criptomonedas que posee datos KYC (vinculando direcciones de billeteras a identidades de clientes verificadas) tiene datos personales dentro del alcance del GDPR: la dirección de la billetera, en combinación con el registro KYC, identifica a una persona natural. La dirección de la billetera por sí sola es datos personales dentro del entorno de datos del intercambio, porque el intercambio puede vincularla a un individuo.
La regulación de la UE MiCA (Mercados en Criptoactivos), que entrará en vigor en diciembre de 2024, añade una capa regulatoria financiera: los proveedores de servicios de activos de criptomonedas (CASPs) deben implementar controles apropiados para la protección de datos de los clientes. La intersección de MiCA y GDPR significa que un intercambio de criptomonedas europeo enfrenta tanto la regulación financiera (los requisitos de protección de datos de MiCA para CASPs) como la ley general de protección de datos (GDPR) para los mismos datos de direcciones de billeteras.
La Brecha de Detección
Las herramientas estándar de detección de PII fueron diseñadas para identificadores financieros tradicionales: IBAN, número de cuenta, número de ruta, SWIFT/BIC. Estas herramientas no tienen conocimiento de los formatos de direcciones de criptomonedas. Un documento que contenga una dirección de billetera de Bitcoin, una dirección de Ethereum y un código SWIFT tendrá el código SWIFT detectado y las dos direcciones de criptomonedas no serán detectadas por ninguna herramienta que no incluya tipos de entidad de dirección cripto.
Para un intercambio de criptomonedas europeo que procesa documentos KYC: los IBANs de cuentas bancarias de los clientes son detectados por herramientas estándar. La dirección de la billetera de Bitcoin del cliente utilizada para la financiación inicial no es detectada. El código SWIFT para la transferencia bancaria desde su banco es detectado. La dirección de Ethereum utilizada para compras de tokens no es detectada.
La detección faltante no es una brecha menor: las direcciones de billetera son identificadores financieros centrales en contextos cripto, tan sensibles como los números de cuenta en contextos bancarios tradicionales.
El Artículo 32(1)(a) del GDPR requiere seudonimización y encriptación como medidas técnicas básicas. El 56% de las multas del GDPR citan una encriptación inadecuada como un factor contribuyente. Una organización que encripta todos los PII detectados pero no logra detectar direcciones de billeteras de criptomonedas no ha encriptado nada relevante para sus operaciones comerciales centrales.
Fuentes: