| Informe | 2025-0065 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre el Proyecto de Real Decreto (2025-0065)
El Proyecto de Real Decreto analizado por la Agencia Española de Protección de Datos (AEPD) busca completar la transposición de la Directiva (UE) 2023/2226 (DAC 8), que amplía la cooperación administrativa en materia fiscal para incluir criptoactivos, dinero electrónico y monedas digitales de bancos centrales. Su objetivo es reforzar la transparencia fiscal y la trazabilidad de estos activos, introduciendo nuevas obligaciones de información, diligencia debida y registro para proveedores y operadores de criptoactivos.
Principales Aspectos del Proyecto
Marco Legal y Objetivos
La DAC 8 modifica la Directiva 2011/16/UE y requiere ajustes en normativas nacionales, como la Ley General Tributaria (LGT), para incorporar obligaciones fiscales específicas sobre criptoactivos.
El proyecto desarrolla aspectos técnicos de la LGT, incluyendo la creación de un Registro de Operadores de Criptoactivos, procedimientos de embargo de estos activos y mecanismos de intercambio automático de información con otros Estados.
Tratamientos de Datos Personales
Los proveedores y operadores de criptoactivos deberán recopilar y comunicar datos identificativos (nombre, DNI, residencia fiscal) y datos económicos/transaccionales (operaciones, saldos, valores de mercado).
La normativa exige verificación continua de la información y conservación de registros, lo que implica un tratamiento intensivo, sistemático y prolongado de datos personales.
Se incluyen obligaciones como:
Declaración anual de usuarios sujetos a comunicación.
Requisito de residencia fiscal para titulares de criptoactivos.
Comunicación de saldos y titulares reales, incluso para activos en el extranjero.
Riesgos para la Protección de Datos
El volumen y sensibilidad de los datos tratados (información financiera, patrimonial y fiscal) generan altos riesgos para los derechos y libertades de los ciudadanos.
Existe la posibilidad de perfilado financiero y acceso a información altamente sensible (ej.: autocustodia de activos, movimientos transfronterizos).
Las transferencias internacionales de datos (a otros Estados UE o terceros países) requieren garantías adicionales de protección conforme al RGPD.
Cumplimiento del RGPD
La base legal para el tratamiento de datos sería el artículo 6.1.c) (cumplimiento de una obligación legal) y 6.1.e) (misión de interés público).
La AEPD subraya la necesidad de aplicar los principios del RGPD (minimización, limitación de finalidad, exactitud, confidencialidad) y adoptar medidas técnicas y organizativas para garantizar la seguridad (artículo 32 RGPD).
Sin embargo, el proyecto no incluye una evaluación de impacto en protección de datos (EIPD), pese a su obligatoriedad (artículo 35 RGPD), dado el alto riesgo que conllevan los tratamientos previstos.
Recomendaciones de la AEPD
Elaborar una Evaluación de Impacto (EIPD): La AEPD insiste en que, por la naturaleza masiva y sensible de los datos tratados, es indispensable realizar un análisis riguroso de riesgos antes de aprobar la norma.
Incorporar una disposición explícita que garantice el cumplimiento del RGPD y la LOPDGDD, incluyendo los principios de protección de datos y las medidas de seguridad requeridas.
Definir plazos claros de conservación de datos, alineados con la normativa fiscal y de prevención del blanqueo.
Garantizar la proporcionalidad en los tratamientos, asegurando que los datos solicitados sean estrictamente necesarios para los fines tributarios y no deriven en usos excesivos o desproporcionados.
Conclusión
La AEPD reconoce la importancia de la DAC 8 para la transparencia fiscal pero advierte de los riesgos significativos que el tratamiento de datos en este contexto entraña. Recomienda subsanar la ausencia de una EIPD y reforzar las garantías para proteger los derechos fundamentales de los ciudadanos, especialmente en lo relativo a la privacidad, minimización de datos y seguridad de la información.
En resumen, aunque el proyecto persigue un objetivo legítimo, su implementación debe ir acompañada de safeguards adicionales para garantizar el respeto al derecho a la protección de datos consagrado en el RGPD y la Carta de Derechos Fundamentales de la UE.