Hemos hablado en muchas ocasiones sobre la seudonimización, siempre generando dudas de lo que realmente es. ¿son realmente datos personales? Se les debe aplicar la normativa? ¿simplemente es una técnica? ¿Y qué valor tiene a ojos de la justicia europea?
En una sentencia reciente, el Tribunal de Justicia de la Unión Europea (TJUE) ha resuelto una cuestión clave: los datos seudonimizados no son automáticamente datos personales en todos los casos.
El caso: la JUR, Deloitte y el SEPD
Todo parte de la Junta Única de Resolución (JUR), que en un procedimiento transmitió a Deloitte unas observaciones en forma de datos seudonimizados. El Supervisor Europeo de Protección de Datos (SEPD) consideró que, por el mero hecho de existir información adicional que permitía identificar a los interesados, esos datos debían considerarse personales siempre.
El TJUE no estuvo de acuerdo:
- Para la JUR, que sí conservaba la información adicional, los datos seguían siendo personales.
- Pero para Deloitte, que no tenía acceso a esa clave, la situación era distinta: si no había medios razonables para volver a identificar a las personas, esos datos podían dejar de ser personales desde su punto de vista.
Lo que dice el TJUE
El Tribunal recordó algo fundamental:
- Lo importante no es la etiqueta (“seudonimizado” o “anónimo”), sino la capacidad real de identificar a una persona.
- La seudonimización reduce riesgos, pero no equivale a anonimización.
- No obstante, tampoco puede afirmarse que cualquier dato seudonimizado sea siempre personal: depende del contexto, las medidas técnicas y organizativas y de quién reciba los datos.
📊 Seudonimización vs. Anonimización
| Criterio | Seudonimización | Anonimización |
|---|---|---|
| Qué es | Los datos se sustituyen por códigos o claves. Para volver a identificar a la persona hace falta información adicional, que se guarda aparte y bajo medidas de seguridad. | Los datos se transforman de forma irreversible: ya no pueden vincularse a ninguna persona. |
| Efecto legal | Para el responsable que tiene la clave, siguen siendo datos personales. Para un tercero, pueden no serlo si no puede reidentificarlos. | Dejan de ser datos personales y salen del ámbito del RGPD y de la normativa europea. |
| Identificabilidad | Depende de los medios razonablemente probables de identificación disponibles. | La persona no puede ser identificada ni directa ni indirectamente. |
| Qué dice el TJUE | No son personales “en todos los casos y para todos”. Depende de quién los trate y con qué medios. | Siempre fuera del concepto de dato personal, porque la identificación es imposible. |
Por qué importa esta sentencia
Esta decisión del TJUE tiene consecuencias prácticas claras:
- Para los responsables: la seudonimización no les libera de sus obligaciones, porque ellos suelen conservar la clave que permite identificar.
- Para los terceros receptores: recibir datos seudonimizados no implica necesariamente tratar datos personales, si no disponen de medios reales para identificar a las personas.
En definitiva, el TJUE nos recuerda que en protección de datos no basta con aplicar etiquetas, lo relevante es preguntarse: ¿realmente alguien puede identificar a la persona?