El Tribunal Supremo aclara que un dato seudonimizado solo es dato personal para quien pueda razonablemente identificar al interesado

La Sala de lo Social del Tribunal Supremo ha dictado la sentencia 278/2026, el 12-3-2026, en la que recoge la doctrina del Tribunal de Justicia de la Unión Europea (TJUE) sobre el carácter relativo del concepto de dato personal en supuestos de seudonimización.

La sentencia se refiere a un conflicto laboral sobre la publicación de escalafones laborales en la intranet de una aerolínea. Un sindicato solicitaba la publicación íntegra del escalafón de tripulantes de cabina según el convenio colectivo aplicable, que exige incluir, entre otros datos, el nombre y apellidos de los trabajadores. La aerolínea había publicado el listado sustituyendo la identidad por un código numérico, alegando el principio de minimización de datos.

Resumimos a continuación los aspectos esenciales del pronunciamiento desde el punto de vista de la protección de datos.

Cuestiones principales de la sentencia

Doctrina sobre el concepto de dato personal

El Tribunal Supremo confirma que los datos seudonimizados no son datos personales en cualquier caso y respecto de cualquier persona, de acuerdo con el reglamento general de protección de datos¹ (RGPD).

La calificación depende de la posición de la persona que accede a ellos:

1. Para el responsable y para cualquier cesionario que conozca la clave de identificación o la información adicional que permite diferenciar a la persona a quien se refieren los datos, el dato seudonimizado sigue siendo dato personal.
2. Para un cesionario que no disponga de medios razonables para vincular el dato con una persona física, ese mismo dato puede no tener la condición de dato personal.

Por tanto, la Sala:

• afirma expresamente que unos mismos datos pueden ser personales para unos destinatarios y no serlos para otros, en función de los medios que cada destinatario tenga para realizar la atribución, y
• considera que, en cuanto existe información adicional que permite identificar al interesado, la seudonimización es solo una medida de seguridad que reduce riesgos, pero no convierte automáticamente el dato en anónimo, salvo para quienes no tienen acceso a la información adicional.

Criterios para valorar el riesgo de la identificación

La sentencia precisa que la identificabilidad debe analizarse atendiendo a factores objetivos, en línea con la jurisprudencia del TJUE; es decir:

• los medios técnicos y la información disponible para el destinatario,
• el coste y el tiempo necesarios para identificar al interesado,
• la tecnología disponible en el momento del tratamiento o los avances tecnológicos, y
• la posibilidad de combinar los datos con otras fuentes accesibles.

En consecuencia:

1. cuando la identificación resulte prácticamente imposible o exija un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, los datos no pueden considerarse personales para ese destinatario, y
2. por el contrario, si no puede excluirse razonablemente la identificación, los datos deben tratarse como personales.

Sobre los convenios colectivos y las excepciones en la protección de datos

Sobre la capacidad de los convenios colectivos para añadir excepciones a la protección de datos, el Alto Tribunal reitera la doctrina del TJUE, que puede resumirse del siguiente modo:

1. Las normas específicas para asegurar la protección de datos en el ámbito laboral, sean leyes o convenios colectivos, han de respetar todas las condiciones y límites del RGPD para el tratamiento de datos personales.
2. La sentencia determina que las partes de un convenio colectivo no tienen la facultad de introducir normas específicas para descartar ni aplicar de manera menos estricta los principios del RGPD (en concreto, el principio de necesidad del tratamiento).
3. Las normas colectivas no son autosuficientes ni hay que interpretarlas autónomamente; se trata de normas especiales que no permiten derogar ni excluir la aplicación de las disposiciones relevantes del RGPD.
4. El RGPD es una norma jurídica de aplicación directa que tiene primacía aplicativa sobre el Derecho nacional. Su contenido general debe seguir aplicándose aunque haya normas laborales específicas, que solo pueden desarrollar su contenido, pero no contradecirlo.

Valor de las guías y directrices

La sentencia también se pronuncia sobre el valor jurídico de las guías y directrices de la Agencia Española de Protección de Datos y del Comité Europeo de Protección de Datos:

• reconoce que esos documentos tienen un importante valor interpretativo del RGPD;
• no obstante, precisa que su contenido se limita a fijar criterios de naturaleza jurídica, interpretativa de las obligaciones del RGPD; es decir, solo aportan una interpretación del Derecho que no es vinculante para los órganos judiciales ni pueden sustituir la interpretación última del RGPD, que corresponde en último extremo al TJUE a través del mecanismo de la cuestión prejudicial.

Efectos prácticos para las entidades

La sentencia:

• es firme y tiene efectos inmediatos en la interpretación del concepto de dato personal en España;
• tiene efectos prácticos sobre las cesiones de datos, pues permite calificar como no personales determinados flujos de datos seudonimizados hacia cesionarios, siempre que se acredite la imposibilidad razonable de reidentificación por estos.