Hace un par de días, varios medios informaron que la Comisión de Protección de Información Personal de Corea del Sur (PIPC) multó al exchange de criptomonedas Bithumb por violaciones relacionadas con transferencias transfronterizas de datos personales.
En ese momento no presté mucha atención: me pareció una noticia rutinaria. Pero hoy revisé el comunicado de prensa de la Comisión y resultó que había algo bastante inusual. El comunicado está disponible aquí en coreano. Lo pasé por varias herramientas de IA y todas dieron la misma interpretación.
Uno de los puntos que se le imputaron a Bithumb fue esto: al transferir activos a 13 exchanges extranjeros, Bithumb compartía datos personales tanto del remitente como del destinatario —específicamente nombres, direcciones de cartera y, en un caso, una fecha de nacimiento. El exchange atribuyó esto a requisitos AML. Si la traducción de la IA es correcta, este intercambio de datos ocurrió como parte del propio proceso de transferencia de activos ("Bithumb transmitió datos al transferir activos").
Técnicamente, el único marco en el que puedo imaginar que esto encaja es la Travel Rule. Cuando Bithumb recibe una solicitud de retiro, pregunta al cliente quién es el dueño de la dirección de destino. Si el cliente nombra a otro exchange como propietario, Bithumb contacta a ese exchange y le transmite los datos del remitente. Esa es, realmente, la única forma de explicar cómo Bithumb podría siquiera tener el nombre del destinatario desde el principio.
Lo que plantea una pregunta obvia: ¿es realista que Bithumb haga esto mientras que otros exchanges no? Eso parece difícil de creer. Mi suposición es que este tipo de intercambio de datos solo funciona de forma recíproca: quiere decir que cuando entregas tu información a un exchange, podría acabar siendo accesible para al menos otros trece, si retiras fondos a direcciones que pertenecen a esos exchanges.
Bithumb fue multado específicamente porque no había obtenido el consentimiento del usuario para nada de esto. ¿Pero y otros exchanges? ¿Alguna vez has oído hablar de exchanges que compartan datos personales del remitente durante transferencias de cripto? Yo no —y la PIPC de Corea del Sur parece ser la primera autoridad en decirlo públicamente.
Un recordatorio: cuando intercambias cripto en rabbit.io, no recopilamos tus datos personales. Lo que significa que simplemente no tenemos nada que compartir con nadie. Vale la pena tenerlo en cuenta.
