Doctrina Scania del TJUE: Calificación subjetiva de los datos seudónimos como datos personales (… o no)
Doctrina Scania del TJUE
Hasta mayo del 2023, era un tópico de la protección de datos que los datos seudónimos[1] seguían siendo considerados datos personales[2] en la medida en que existiera en algún lugar -bajo el control del mismo responsable de tratamiento o de un tercero-, una “tabla de correlación” o simplemente, datos adicionales –aun no estructurados- que permitieran identificar a los Interesados.
Durante el año 2023, el CJUE[3] primero, y el TJUE[4] después han reventado este tópico.
Han declarado que la identificabilidad de los datos incluidos en un data set (y por tanto, OJO: que su tratamiento esté o no sujeto al Reglamento General de Protección de Datos) requiere ser valorada caso por caso y subjetivamente: desde el punto de vista de cada organización con acceso al mismo.
En otras palabras: hay que valorar la capacidad de cada parte para reidentificar a los Interesados, antes de considerarle “responsable de tratamiento” por defecto.
Pero esto… ¿De dónde demonios sale?
2023: El caso “Scania” o “VIN”
En la sentencia Scania [5], el TJUE declaró que el “VIN” o número de bastidor de los automóviles sólo será un dato personal para las entidades que tengan la capacidad de vincularlo con el propietario del vehículo, o con su conductor (como la empresa que vendió o alquiló el vehículo).
Pero no para otras (como talleres de reparación y otros “agentes independientes”) que tienen, en Alemania, derecho legal a acceder a los datos de reparación y mantenimiento de cada vehículo identificado por ese número de bastidor.
“Esta definición (la de dato personal del RGPD) es aplicable cuando, debido a su contenido, finalidad y efectos, la información de que se trate esté relacionada con una persona física determinada” considerando “el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento, en el sentido del artículo 4.7 RGPD, o por cualquier otro sujeto para identificar a dicha persona, sin que se exija, no obstante, que toda la información que permita identificar al interesado se encuentre en poder de una sola entidad.”
“El código alfanumérico asignado a un vehículo por el fabricante para garantizar la identificación adecuada de cualquier vehículo y que, como tal, carece de carácter «personal»— adquiere ese carácter para quien dispone razonablemente de medios que permiten asociarlo con una persona determinada” (Apartado 46)
“En estas circunstancias, el VIN constituye un dato personal, en el sentido del artículo 4, punto 1, del RGPD, de la persona física mencionada en el propio permiso, en la medida en que quien tiene acceso a él podría disponer de medios que le permitan utilizarlo para identificar al propietario del vehículo al que se refiere o a la persona que pueda disponer de dicho vehículo con un carácter jurídico distinto del de propietario.” (Apartado 48)
“El concepto de «tratamiento» (…) comprende cualquier forma de habilitación de acceso de un VIN por parte del «responsable del tratamiento», en el sentido del artículo 4, punto 7, de dicho Reglamento, cuando ese VIN permita identificar a una persona física.” (Apartado 51)
2024: (C-341/22) IAB Europe
El “TC String” es una cadena de texto paquetizada que generan algunos “banners de cookies” –“CMPs” o “Consent Management Platforms”- en las webs. Cuando el interesado presta su consentimiento al uso de cookies a través de uno de estos CMPs, generan una cadena o “hilo cifrado” de consentimiento –que incluye las preferencias conocidas del interesado-.
IAB creó este marco de funcionamiento –declarado ilegal- en el que se pretendía que de este consentimiento cifrado podían beneficiarse (legitimando sus correspondientes tratamientos de datos) todos los actores del ecosistema publicitario online.
Una de las cuestiones era si el “TC String” era dato personal para IAB Europe, que ha creado el marco TCF para los actores de la publicidad digital online europea, pero alega no poder identificar a los interesados.
El TJUE recuerda que “No es necesario que toda la información que permita identificar al interesado se encuentre en poder de una sola persona” (párrafo 40).
Es decir, como todos sabíamos, puede estar diseminada entre varias y siguen siendo datos personales:
Pero en el caso en cuestión, el TJUE considera que el data set es personal aunque “la propia IAB Europe no pueda combinar la TC String con la dirección IP del dispositivo de un usuario y no tenga la posibilidad de acceder directamente a los datos tratados por sus miembros en el marco del TCF” (párrafo 46) pero sólo porque –esto es lo relevante- “los miembros de IAB Europe están obligados a comunicarle, a petición de esta, toda la información que le permita identificar a los usuarios cuyos datos son objeto de una TC String”. (párrafo 48).
Es decir, IAB no puede identificar por sí a los interesados, pero el marco jurídico que ha creado obliga al resto de players a comunicarle la información adicional necesaria a su solicitud. Y por eso se considera que el TC String es dato personal para IAB.
Aquí hay aún espacio para la incertidumbre, porque IAB dice que ese marco jurídico se ha interpretado de forma incorrecta y podemos ver chorprechas en la sentencia final belga. Que en absoluto cuestionarán el a estas alturas prístino criterio establecido por el TJUE.
Sin esta facultad regulada, el TC String no hubiera sido “dato personal” para IAB Europe, ni ésta habría sido declarada “corresponsable” de los tratamientos sancionados.
2024: TJUE Asunto C‑479/22 OC/Comisión
Esta sentencia clarifica los elementos interpretativos aplicables para determinar la razonabilidad de si una organización puede o no reidentificar datos disociados:
No aplica el RGPD sino su reglamento gemelo aplicable al tratamiento de datos personales por parte de las instituciones y órganos de la UE, que responde a los mismos principios y parámetros que el RGPD en cuanto a los conceptos de “dato personal” y “tratamiento”.
Por eso en lugar de la cita original al considerando 16, voy a meter directamente la del considerando 26, pero lo dejo aquí dicho porsiaca.
“Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.”
Párrafo 50 “…es preciso además que la posibilidad de combinar los datos en cuestión con información adicional constituya un medio que pueda utilizarse razonablemente para identificar al interesado. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta, según el considerando 16 del Reglamento 2018/1725, todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.”
Párrafo 51.-“A este respecto, el Tribunal de Justicia ya ha declarado que un medio no puede utilizarse razonablemente para identificar al interesado cuando la identificación de esa persona está prohibida por la ley o es prácticamente irrealizable, por ejemplo porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante (véase, por analogía, la sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 46).”
Por analogía no, Jose Luis: es que la sentencia Breyer decía lo mismo con las mismas palabras.
Uno vuelve a leer Breyer hoy y se mesa sus (inexistentes) cabellos: Breyer es perfectamente compatible con todo lo que aquí se dice.
Simplemente el TJUE, siguiendo el criterio del Abogado General, eligió sus batallas e hizo lo que cualquiera debería hacer con su suegra: contestar exclusivamente a lo que se le pregunta.
Así que sí: el TJUE nos está diciendo con estos fallos: «capullos, que sois unos capullos y no sus habeis enterado de la tostada en 7 años».
Hasta aquí lo que dice el TJUE. Por supuesto, lo potito viene ahora:
Vale y ahora… ¿Cómo se aterriza esto?
Hace diez días di una charleta proponiendo la aplicación de Scania a la cosa de la IA. No se sorprendan si les digo que cité al Señor Lobo en Pulp Fiction:
“No nos chupemos los tokens todavía”.
Un dataset que puede ser no personal un miércoles y personal un jueves si algo en el contexto o en los medios disponibles para un tercero cesionario le permiten reidentificar lo que ayer no podía es un bicho difícil de cabalgar.
Y la accountability del responsable que puede, de pronto, brindar acceso a un dataset bajo su responsabilidad a un tercero, sin aplicar el RGPD a la cesión y a su tratamiento y bajo la idea de que no será capaz de reidentificarlo, no es ni mucho menos el cheque en blanco que parece.
De este tema llevamos un año hablando en mis formaciones “Aplicando el RGPD a la IA hoy”.
Y lo que nos queda.
Continuará
Jorge García Herrero
Abogado y Delegado de protección de datos
[1] Un data set en el que se hubiera sustituido los identificadores directos de los Interesados por una clave alfanumérica u otro código.
[2] Considerando 26 Reglamento General de Protección de Datos
[3] La “Sala de lo contencioso del TJUE” en el Asunto T‑557/20 (ECLI:EU:T:2023:219), a la que no nos referimos en el texto por no haber sido emitida por la “Gran sala” del TJUE y haber sido reiterada ya en varias ocasiones en sentencias emitidas por ésta. Este tema llegará de nuevo a la Gran sala. Vereis.
[4] Asunto C‑319/22 Gesamtverband Scania (ECLI:EU:C:2023:837)
[5] Scania restringía la información compartida “por protección de datos”, alegando que el VIN es un dato personal.
La cuestión prejudicial al TJUE planteaba si el VIN es dato personal en todo caso, y si su “cesión” por parte de Scania quedaría amparada bajo la base de legitimación del 6.1.c) RGPD “obligación legal”.