Directrices 1/2025 sobre seudonimización del EDPB
Las directrices 1/2025 sobre seudonimización del EDPB se publicaron, un poco por sorpresa, el ¡¡viernes!! de la semana pasada.
Dejemos claro ya en este punto que soltar un documento así de relevante un viernes es una putada imperdonable para el especialista en privacidad. O más bien para sus legítimas expectativas de disfrutar del fin de semana en paz y harmonía con el cosmos.
El documento se difunde a consulta por el EDPB veinte días antes del ya anunciado y muy relevante fallo definitivo del TJUE sobre el caso SRB-EDPS (también sobre datos seudónimos).
A nivel general, hay dos problemas con estas guidelines: dos elefantes (bien grandes) en la habitación que no se mencionan siquiera.
Indice
Elefante number one
Lo primero que hay que decir sobre el documento es que, increíblemente, no menciona ni ese caso (resuelto en el 2023 por el CJUE) ni las otras tres sentencias del TJUE (Scania, IAB Europe, OC vs European Comission) que han confirmado consistentemente la “interpretación subjetiva” del concepto de dato personal para un dataset seudonimizado.
Pero empecemos por el principio. Quien ya se sepa la jurisprudencia, que pase a ¿Qué es lo segundo que falta en las directrices 1/2025?
El asunto SRB EDPS que se decidirá en febrero
Recordemos rápidamente la cuestión debatida en el caso SRB EDPS (sin entrar en el tema general Banco Santander/Popular).
En septiembre de 2017, el SRB encargó a la consultora Deloitte la elaboración de un informe sobre los comentarios de un colectivo de afectados (accionistas y acreedores del Popular) por algo bastante parecido a una estafa, que no viene ahora a cuento.
Para ello, el SRB entregó a Deloitte una lista de comentarios seleccionados, que incluía un código alfanumérico para identificar al autor de cada uno, pero no la tabla de correlación.
En noviembre de 2019, se presentaron cinco denuncias ante la EDPS (de autores de aquellos comentarios), alegando que el SRB había incumplido su obligación de transparencia al no mencionar entre los destinatarios de sus datos y comentarios a Deloitte.
El EDPS investigó las denuncias y en junio de 2020 sancionó al SRB por transmitir los comentarios de los interesados a Deloitte, sin informarles debidamente. Es decir, da la razón a los interesados.
El precepto infringido es el artículo 15(1)(d) del Reglamento 2018/1725 (cuasi-equivalente al RGPD, pero aplicable a los tratamientos de datos realizados por las instituciones europeas).
El 15.1.d) equivale al 13.1.e) del Reglamento General de Protección de Datos.
La argumentación del EDPS es la siguiente:
Los datos seudonimizados son datos personales, pero sometidos a una transformación, en cuya virtud se amputa o se sustituye una parte, o se cifran de forma reversible, de modo que hace falta un pedazo de información adicional para revertir el proceso y vincular la información seudonimizada con su titular.
Pero como ese pedazo de información existe en alguna parte, aunque el tercero no lo tenga en su poder (en el asunto concreto Deloitte no lo tenía, porque el SRB no se lo había entregado), entiende el EDPS que no por ello el SRB se libra de las obligaciones inherentes a la protección de datos (RGPD o Reglamento 2018/1725: da igual), y por eso debería haber informado a los interesados de que Deloitte había sido uno de los “destinatarios” de sus datos, en concepto de encargado.
A esta interpretación (mayoritaria hasta esa fecha) de lo que es “dato personal” se le llama “objetiva”.
El CJUE, sin embargo, resuelve que el EDPS debería haber indagado la capacidad real de identificación de los interesados desde el punto de vista “subjetivo” de Deloitte.
Si Deloitte no podía reidentificar con los medios a su alcance a los interesados, el dataset no es personal para Deloitte.
El CJUE anula la sanción y devuelve las actuaciones al EDPS para que reinicie el sancionador a partir de esa investigación.
Esta nueva interpretación es subjetiva, porque reconoce que un mismo dato (seudonimizado) puede ser personal para el SRB, pero no para Deloitte, dependiendo de su capacidad para reidentificar a los interesados.
La sentencia Scania
La sentencia Scania verbaliza esta acongojante doctrina subjetiva en toda su crudeza refiriéndose al VIN (número de identificación de un vehículo, grabado en su bastidor):
- El VIN por sí mismo, carece de carácter “personal”;
- El VIN adquiere ese carácter para quien dispone razonablemente de medios que permiten asociarlo con una persona determinada. (apartado 46).
“Cuando terceros pueden disponer razonablemente de medios que permitan vincular un VIN a una persona física identificada o identificable, extremo que corresponde comprobar al órgano jurisdiccional remitente, dicho VIN constituye para ellos un dato personal.” (49)
“El concepto de “tratamiento” del 4.2 RGPD (…) comprende cualquier forma de habilitación de acceso de un VIN por el responsable de tratamiento cuando ese VIN permita identificar a una persona física.” (51).
Para entender bien esta última afirmación, hay que recordar que el concepto de “cesión de datos” es un invent celtibérico, que no está recogido en el RGPD. Fuera de España, no hay cesiones, hay tratamientos consistentes en accesos de terceros a tu dataset.
Uséase: lo que el TJUE dice en ese párrafo 51 es que si cedes datos seudonimizados que el cesionario no puede reidentificar, eso no es un tratamiento de datos personales (no es cesión).
Aún más claro: que a esa “cesión” no le aplica el RGPD.
En la práctica
¿Qué significa esto en la práctica?
Lo conté de forma visual con el ejemplo de los Reservoir Dogs en la charleta incrustada a continuación (desde el minuto 12:45)
La empresa Reservoir Dogs atraca bancos y lleva las ensangrentadas ropas de sus empleados atracadores a la tintorería, seudonimizando sus datos con los colores de cada uno (Sr. Naranja, Sr Rosa, etc).
Asumiendo que la tintorería no puede reidentificar al atracador detrás de cada colorido seudónimo (y lo normal es que no pueda porque… le da igual -salvo que ¡je! haya visto la película-)… la relación contractual Reservoir Dogs SL / Tintorería Juanito no será de encargado de tratamiento.
De hecho a esa relación no le aplicará la normativa de protección de datos personales, porque los datos entregados (traje de Sr. Naranja, traje del Sr. Rosa) no son datos personales para la tintorería: no aplica el RGPD a la cesión.
La oportunidad perdida
Bueno, la realidad es bastante más complicada que en en el ejemplo Reservoir, y en esto sí podrían haber echado una mano estas guidelines: en señalar los puntos importantes a regular, desde el punto de vista de la protección de datos personales, la relación entre un responsable de tratamiento y un no-encargado de tratamiento (que no recibe datos personales) y a la que por tanto, de entrada, no aplica la normativa de datos personales.
Pero ese punto tiene cien ramificaciones y este post ya va a ser largo.
Las guidelines sólo aportan tres ideas básicas de refilón en su apartado 114.
Gracias por tanto, EDPB.
¿Qué es lo segundo que falta en las directrices 1/2025?
Bien. Ahora ya podemos entender el segundo factor importante que falta en estas guidelines:
La valoración de los tratamientos de datasets seudonimizados desde el punto de vista de los terceros que los reciben o acceden a ellos.
Obvio que el EDPB no se mete directamente porque no está de acuerdo con la interpretación sentada por el TJUE.
Como dato adicional, el TJUE cita en sus polémicas sentencias el caso Breyer, de 2016.
Lo que el TJUE dijo en Scania y sigue diciendo es: “ustedes no se enteraron de lo que dijimos en Breyer, so canelos”. Canelos en esa afirmación semos todos: tú, yo y los miembros del EDPB.
El apartado 2.6 “Implicaciones para los derechos de los interesados”
Todo lo gordo que falta en este documento, se descubre fácilmente releyéndolo bajo la siguiente premisa: sustituyendo el sujeto “responsable de tratamiento” por “destinatario” o “tercero que accede a los datos seudonimizados”.
Por ejemplo, el apartado 2.6, dice que el responsable de tratamiento debe satisfacer los derechos de los interesados, incluso aunque haya destruido la información adicional necesaria para reidentificar el dataset que acaba de seudonimizar.
Esto parece excesivo y seguramente el EDPB está pensando en un caso de uso en concreto. Alguien podría pensar que Peter Craddock conoce ese caso, a la vista del cabreo que se ha agarrado.
También se dice que, en dicha situación, si el interesado conoce su seudónimo y le prueba fidedignamente al responsable su identidad y el vínculo entre esta y dicho seudónimo, el responsable de tratamiento tendrá, aquí sí, que satisfacer sus derechos.
Este parece un ejemplo de laboratorio pero no lo es: es lo que hizo NOYB en su famosa denuncia contra los 101 dálmatas por transferencia internacional ilícita de datos: presentó la denuncia vinculando una cuenta de correo electrónico con el dato seudónimo (el identificador seudónimo contenido en la cookie descargada en el equipo del denunciante al entrar en la web denunciada) aportando un archivo «Har» junto con su denuncia.
Sesgos, sesgos
A mi juicio, ese apartado es uno de los que evidencian el marcado sesgo de estas guidelines.
Si lo releemos en la clave propuesta, deducimos que el destinatario o tercero que accede a un dataset seudonimizado (como Dios manda, y que no tenga medios para reidentificar, bla-bla-bla) no tiene que atender derecho alguno de los interesados.
Es más, siguiendo la doctrina sentada en el caso SRB EDPS, el responsable que ha seudonimizado el dataset, ni siquiera tiene que informar a los interesados de esta “cesión” de datos. Así que mal se van a enterar los interesados del destinatario y mal van a poder siquiera en teoría ejercer ningún derecho contra él.
¿Por qué no se dice esto en unas guidelines llamadas a ser útiles en la práctica?
Valoración: Smells like Schrems II spirit
El EDPB no puede ignorar la doctrina Scania por más tiempo (la sentencia de febrero afectará al EDPS, hermano custodio del EDPB para la administración europea).
Así pues, el Comité Europeo ha optado por -al menos- dejar bien claro su (exigente) estándar para considerar un dataset seudonimizado, en el momento inicial y, asimismo, de forma dinámica durante su tratamiento.
Esto me recuerda lamentablemente a las tristemente famosas Recommendations 1/2020 en las que el EDPB hizo caso omiso de todo lo dicho previamente por la Comisión Europea, TJUE y demás y… bueno, ya saben ustedes lo que hizo ahí.
Muy buena semana.
Jorge García Herrero
Abogado y Delegado de protección de datos.