Skip to content
Recursos

Seguridad de los datos

Transparencia de la blockchain

Por qué una dirección de blockchain expone más que un número de cuenta y convierte la recopilación masiva en algo desproporcionado.

Actualizado el

Respuesta breve

Una dirección de blockchain no es un número de cuenta bancaria: es una llave de acceso a toda una vida financiera, pública y permanente. Al vincular una identidad civil a un registro público e infinito, DAC8 expone mucho más que un simple hecho imponible. La transparencia nativa de las cadenas públicas convierte la recopilación masiva en algo estructuralmente desproporcionado.

Datos clave

CaracterísticaCuenta bancaria (DAC2)Dirección de blockchain (DAC8)
Información enviada a la administración tributariaSaldos anuales, interesesIdentidad (incl. domicilio) + operaciones y transferencias cripto, incluidas operaciones sin relevancia fiscal
Deducible en caso de filtraciónSaldo en una fecha determinadaTitulares identificados (nombre, domicilio), cotejables con el historial público on-chain
Visible para tercerosNinguno (salvo a través del banco)Todo, accesible libre y permanentemente
ContrapartesImposible sin una solicitud legalIdentificables mediante análisis on-chain
Datos históricosLimitados a las normas de conservaciónDesde el origen de la cartera, sin límite
Datos futuros (tras la filtración)No afectadosVisibles en tiempo real para el atacante

Una dirección de blockchain no es un número de cuenta bancaria

Los diseñadores de la directiva razonaron por analogía con DAC2 (el intercambio de información sobre cuentas bancarias). Esa analogía es engañosa: una cuenta bancaria y una dirección de blockchain no son objetos de la misma naturaleza.

En Bitcoin, Ethereum o casi todas las cadenas públicas, cada transacción es pública, verificable y permanente. Cualquier persona, en cualquier lugar, puede consultar el historial completo vinculado a una dirección (importes, fechas, contrapartes) desde su origen hasta el fin de los tiempos. Sin autorización, sin trámite: basta un navegador web.

Los datos bancarios se almacenan en sistemas institucionales cerrados. Los datos de una blockchain pública son visibles por diseño: es el vínculo con una identidad lo que cambia el perfil de riesgo.

Una dirección de blockchain no es un número de cuenta bancaria. Es toda una vida financiera expuesta.

Un historial público y explotable

Los importes, las fechas, las contrapartes y los movimientos pueden ser analizados por cualquier observador. Cuando una dirección se vincula a una identidad civil, la información cambia de naturaleza: se convierte en un perfil financiero explotable. Un observador puede entonces deducir la actividad pasada, la actividad futura, las contrapartes y señales de patrimonio. Esto es precisamente lo que hace especialmente sensible la recopilación masiva de datos cripto vinculados a una identidad.

La recopilación lo captura todo, incluso lo que no es fiscal

Una vez que una identidad civil se vincula a la actividad cripto en un registro público, se convierte en una llave de acceso a toda la vida financiera del titular. Más allá de las cesiones imponibles, la declaración captura:

  • transferencias entre carteras propias (no imponibles);
  • donaciones a familiares (no imponibles por debajo de los umbrales de exención);
  • donativos a asociaciones (deducibles fiscalmente);
  • pagos a comerciantes (no imponibles para el titular);
  • transacciones extrabursátiles entre particulares (P2P);
  • operaciones de canje técnico (atomic swaps, conversiones);
  • retiros procedentes de minería o staking personal;
  • toda contraparte identificable mediante análisis on-chain.

Datos futuros, no solo datos pasados

Una filtración bancaria suele exponer datos referidos a una fecha determinada. Una filtración de una dirección de blockchain, en cambio, puede seguir generando información mientras la dirección siga en uso o vinculada a otras direcciones. La exposición puede así prolongarse más allá del período de declaración original. El usuario queda entonces obligado a gestionar un riesgo operativo complejo para recuperar la confidencialidad.

Las tres consecuencias

  1. Riesgo para el contribuyente. Una filtración de DAC8 no expone un “saldo” congelado, sino un libro abierto que se actualiza perpetuamente: mientras el titular use las direcciones conocidas, el atacante ve cada operación en directo, sin que la víctima pueda revertirlo.
  2. Ninguna justificación fiscal. El objetivo declarado (luchar contra el fraude) solo requiere las operaciones imponibles. DAC8 lo recopila todo, cuando necesitaría muy poco.
  3. Vulneración de la proporcionalidad. El artículo 52 de la Carta de los Derechos Fundamentales exige que toda limitación de un derecho sea necesaria y proporcionada. El TJUE lo recordó en su jurisprudencia sobre FATCA y el RGPD.

Una desproporción estructural

Para calcular el impuesto, la administración no necesita una exposición ilimitada de la vida on-chain de un contribuyente. Necesita información pertinente, específica y proporcionada. La verdadera cuestión de proporcionalidad no es solo cuántos campos se recopilan: es lo que esos campos permiten desvelar una vez combinados con registros públicos y herramientas de análisis de blockchain. DAC8 tiende a recopilar más de lo estrictamente necesario para el objetivo fiscal.

Páginas relacionadas