El TJUE define los efectos de la seudonimización y abre paso a la economía del dato

La Estrategia Europea para los Datos, impulsada por la Comisión Europea, expuso la necesidad de promover un mercado único europeo de datos que respete el equilibrio entre la protección de los datos, personales y no personales, y la plena disponibilidad de estos para que sirva de impulso a la investigación, al desarrollo y a la innovación.

La reutilización de los datos es la clave de esta iniciativa. Consiste en que los titulares de los datos, las entidades públicas o privadas que los generan y conservan como un activo, faciliten el acceso a los investigadores.

En el caso de los datos no personales, la reutilización encuentra su principal dificultad en la resistencia de sus titulares a compartirlos. Pero la dificultad es aún mayor en los datos personales, porque el reglamento general de protección de datos (RGPD) solo autoriza su uso cuando el interesado lo permite y, además, el principio de minimización obliga a eliminar todos los que no sean estrictamente necesarios para lograr la finalidad que se persigue.

El permiso del interesado puede ampararse en el interés legítimo, que obliga a comprobar que no se afectan intereses prevalentes del sujeto, a informarle acerca de las finalidades que se persiguen (aspecto que remarca el TJUE) y a atender las solicitudes de oposición.

El principio de minimización obliga a eliminar los datos innecesarios que, en los procesos de reutilización, siempre serán los identificativos y los complementarios que permitan asociar al interesado los datos relevantes. Este proceso se denomina seudonimización. Su finalidad es, conforme recoge el RGPD, impedir que los datos se atribuyan al interesado sin utilizar otros adicionales, que han de estar separados y protegidos.

El inicio del considerando 26 del RGPD es tajante cuando indica que «los datos seudonimizados deben considerarse información sobre una persona física identificable», es decir, continúan siendo datos personales. Esta previsión, que fue el origen del recurso de casación que resuelve el TJUE mediante esta sentencia, hace inviable cualquier proyecto de investigación que pretenda analizar los datos seudonimizados, pues obliga a quien acceda a los datos a cumplir las garantías de protección de datos (esencialmente, a informar al interesado y a atender sus derechos de protección de datos).

La sentencia matiza esta previsión y concreta los efectos de la seudonimización. Aunque se fundamenta en el Reglamento (UE) 2018/1725, sobre el tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, insiste en que ambas normas deben interpretarse de manera homogénea.

El TJUE recuerda que el RGPD solo regula los datos que se atribuyan a una persona física identificada o identificable, y que la seudonimización tiene por finalidad «evitar que el interesado pueda ser identificado solo con los datos seudonimizados».

En consecuencia, afirma que si las medidas adoptadas para impedir que los datos se atribuyan al interesado son efectivas, esos datos dejarían de considerarse personales para quienes no posean las claves de correspondencia.

Dice el TJUE que la seudonimización «no constituye un elemento de la definición de “datos personales”, sino que se refiere a la adopción de medidas técnicas y organizativas destinadas a reducir el riesgo de correlación de un conjunto de datos con la identidad de los interesados». En suma, es una situación circunstancial en que se encuentran los datos personales.

Y, concluye que «siempre que se adopten efectivamente tales medidas técnicas y organizativas y que estas puedan impedir que los datos de que se trate se atribuyan al interesado, de forma que este no sea identificable o deje de serlo, la seudonimización podrá afectar al carácter personal de esos datos».

Esta interpretación, añade la sentencia, la corrobora el considerando 16 del Reglamento 2018/1725 (de redacción idéntica al considerando 26 del RGPD), que, tras exponer que «los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable», precisa que «[p]ara determinar si una persona física es identificable, deben tenerse en cuenta todos los medios […] que razonablemente puedan utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física» y que, para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, «deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos».

Concluye el Tribunal que «no debe considerarse que los datos seudonimizados constituyen, de cualquier forma y para cualquier persona, datos personales […], en la medida en que la seudonimización puede, según las circunstancias del caso, impedir efectivamente que personas distintas del responsable del tratamiento identifiquen al interesado de tal manera que, para ellas, este no sea, o deje de ser, identificable».

En nuestra opinión, esta sentencia introduce un enfoque relativo y contextual del dato personal que resulta especialmente útil para los escenarios de reutilización de datos para la investigación o para el entrenamiento de modelos de inteligencia artificial, con diferentes niveles de acceso y conocimiento.

En definitiva, el TJUE consolida el modelo europeo de gobernanza del dato sobre el que se apoya el mercado único europeo de datos que facilita la libre circulación de datos entre distintos sectores y Estados miembros, bajo normas que equilibran los derechos y los intereses concurrentes. Para ello, la disociación y la seudonimización serán los mecanismos clave que harán posible el necesario equilibrio entre privacidad e innovación.

En conclusión, el dilema de Europa no será elegir entre regulación o innovación, sino demostrar que ambas pueden sostenerse sobre la misma arquitectura legal.