Doctrina Scania: Sentencia EDPS vs SRB, Scania, IAB Europe, OC/Comisión (I y II)

 

 

El pasado 4 de septiembre el TJUE publicó su sentencia C‑413/23 P (SRB vs EDPS),  reconfirmando la doctrina Scania.

En ella, este tribunal declaró -de nuevo- que los datos seudonimizados (simplificación para entendernos: cadenas de datos personales a las que se les ha amputado/sustituido los identificadores directos del titular) pueden ser “datos no personales” para la parte que no tiene acceso a dichos identificadores.

Y declaró por primera vez (al parecer, media Europa contaba con que no lo hiciera) que si la otra parte no puede reidentificar directa o indirectamente a los interesados, a su tratamiento de estos datos no le aplica el RGPD.

Llamaré a esto “doctrina Scania” en referencia a la sentencia C‑319/22 Gesamtverband Scania y porque así vengo hablando de esto desde que la leí.

[Dejemos de lado por ahora, para no liarnos, otras modalidades como el cifrado, privacidad diferencial, etc…, que caben perfectamente bajo esta misma doctrina].

 

Se ve más claro con el ejemplo de los Reservoir Dogs

 

En la legendaria película Reservoir Dogs, Tarantino nos cuenta la historia de un atraco que terminal mal. Termina muy mal.

Lo que nos interesa aquí es que cada uno de los atracadores seudonimiza su identidad ante sus compañeros de fechorías sustituyendo su nombre real con un color: Señor Rosa, Señor Naranja, etc….

De este modo, si alguno es detenido por la policía, no pueda delatar a los demás aunque quiera.

[Como saben los Reservoir dogs y dice el RGPD, la seudonimización es una medida de seguridad eficaz incluso entre miembros o secciones de una misma organización.]

 

 

Seudonimización frente a terceros

 

Imaginemos ahora que después del atraco, deciden enviar sus trajes y camisas a la tintorería para que les laven las erm, manchas de sangre, identificando cada traje con el color seudónimo de cada atracador.

Y así, cada uno podría acercarse por su cuenta y llevarse su traje limpio pidiendo el del señor azul, el del señor rosa… el que fuera.

Bien.

Antes de las sentencias Breyer, Scania, IAB Europe y SRB / EDPS, el contrato de lavado de trajes sanguinolentos hubiera requerido un DPA de los de toda la vida: un contrato de acceso a datos por cuenta de tercero, o de “encargo de tratamiento”.

A pesar de que la tintorería no accede a nombres ni apellidos ni DNIs ni nada de esto.

Se entendía, interpretando literalmente el considerando 26 del RGPD que los datos personales no dejaban de serlo aunque se seudonimizaran, si en algún sitio del mundo, si en cualquier sitio del mundo, dentro o fuera del alcance de la tintorería, existía una “tabla de correlación” que permitiera vincular al señor rosa con Steve Buscemi y al Señor Blanco con Harvey Keitel.

La consecuencia de esta interpretación era que, aunque la tintorería no tuviera ni la intención ni los medios para reidentificar a nuestros protagonistas, a su tratamiento de datos le aplicaba el RGPD.

La novedad es que esto ya no es así en todos los casos.

 

 

¿El mismo dataset puede ser “personal” para el Sr. Rosa y “no personal” para la tintorería?

 

Claro que sí.

Según el TJUE, el mismo dataset seudonimizado será o no personal para cada parte dependiendo de todas las circunstancias, y muy especialmente de su capacidad para volver a vincular los datos seudonimizados con sus titulares.

Y si no tiene capacidad para hacerlo, el RGPD no aplicará a su tratamiento de dichos datos.

 

 

¿Cómo se valora esa capacidad de reidentificación?: el “Test de Identificabilidad”

 

El TJUE ya clarificó esto en otra sentencia publicada a la vez que Scania, el caso C‑479/22 OC/Comisión.

Se deben tener en cuenta todos los factores objetivos y, entre ellos:

• No sólo la capacidad del cesionario de combinar los datos en cuestión con información adicional a su alcance, sino también, de acuerdo con la sentencia Scania …

 

• El contenido, propósito y efecto del tratamiento proyectado por dicho cesionario, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.

 

Además, de forma negativa, el TJUE declaró que no se considera que un medio sea razonablemente utilizable para identificar a un interesado cuando dicha identificación:

 

• · Esté prohibida por la ley o

 

• · sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a (i) tiempo, (ii) costes y (iii) recursos humanos,

 

• · de modo que el riesgo de identificación sea en realidad insignificante.

 

Es muy importante que el TJUE no propone tres requisitos alternativos (de modo que uno cualquiera de ellos permita descartar un medio de reidentificación como practicable), sino que impone un resultado (tercer elemento: riesgo insignificante de identificación) derivado de los dos primeros.

Para evitar cualquier duda sobre este punto: párrafo 85 de la sentencia EDPS vs SRB de este Septiembre: “… siempre que no pueda excluirse que esos terceros podrían razonablemente atribuir, por medios como el cotejo con otros datos de que dispongan, los datos seudonimizados al interesado, este debe considerarse identificable tanto en lo que respecta a esa transmisión como a cualquier tratamiento posterior de esos datos por los referidos terceros«.

Y digo que es muy importante, porque se encontrarán por ahí a populares expertos diciendo que, si la reidentificación en el caso o la finalidad concreta está prohibida (i) por la ley o incluso (ii) por tu contrato con el cesionario, ancha es Castilla y no habrá más nada que evaluar: no aplica el RGPD a ningún efecto.

Esta es la típica interpretación jeta que abraza quien ya venía haciendo las cosas mal de antes, porque… bueno, porque considera -acertadamente- que un argumento cucú es mejor que ningún argumento.

Pero aquí hemos venido a jugar, y a imponer criterio y rigor en una cuestión que afecta a derechos fundamentales.

Y en la que vamos a ver hostias como roscas. Ya verán.

Baste por ahora decir que, si uno abraza esas interpretaciones, el dato personal (y con él el derecho del titular estarían más protegidos frente a la reidentificación legal de sus datos, que frente a la reidentificación ilegal de los mismos.

Lo cual sería absurdo. Y esta es una de las líneas jurisprudenciales más consolidadas del TJUE que ya ha sirvió para descabezar unas cuantas ideas delulu en los albores de la aplicación del RGPD.

Pero esto ya lo expliqué con calma aquí.

 

 

¿Entonces, qué pasa con el tratamiento de datos por parte de la tintorería?

 

Hagamos un test de identificabilidad de andar por casa:

Si la tintorería es una vulgar tintorería sin actividades paralelas detectivescas, de big data (o, ejem, cinematográficas) podríamos pensar que ni la finalidad y efecto del tratamiento, ni los medios usuales disponibles en este tipo de establecimientos permitiría reidentificar a nuestros ensangrentados atracadores.

Eso sí, si pagan en metálico, como cualquier malhechor con un mínimo respeto por sí mismo debe hacer.

El problema de la doctrina Scania es que, si los data sets anonimizados son susceptibles de ataques de reidentificación (como todos sabemos), por definición los datasets seudonimizados… mucho más.

Rizando el rizo, podríamos pensar que una cámara de seguridad que grabara al Señor Rosa pagando con su tarjeta de crédito permitiría al dependiente más tarde vincular los datos de pago con la persona. O a la policía con dichas imágenes.

Pensemos por un momento que el dependiente de la tintorería (que, para adornar la historia, ha perdido todos sus ahorros en el atraco y tiene enormes incentivos para conseguir que pesquen a los responsables).

Y que lo consigue.

Aquí radica la dificultad de la doctrina Scania.

 

Reidentificación del dataset seudonimizado: El RGPD no estaba muerto: estaba de parranda

 

El data set parecía no personal cuando llega a la tintorería, pero el avispado dependiente, bastante jefazo él, ha conseguido identificar indirectamente a los ladrones.

En términos jurídicos, cuando el dataset ha cambiado de manos no aplicaba el RGPD, pero horas, días, meses después o lo que sea, vuelve a ser aplicable.

Dramático ¿Eh?

Este hecho, esta “cualidad líquida” de los datos seudonimizados es la cuestión que hay que tratar: el dataset puede ser no personal el martes y personal el jueves.

Seudonimización vs anonimización

 

Por comparar, cuando anonimizamos un data set, hemos hecho un esfuerzo para que nadie pueda reidentificar a los titulares de los datos originales.

Todos sabemos que hoy en día ninguna anonimización se puede considerar inatacable (en especial si contiene datos de geolocalización fina).

Pero por definición, el riesgo de reidentificación en, en general y en abstracto, más bajo (y con él, normalmente también la utilidad del dataset) que en el caso de la seudonimización.

Porque en el caso de la seudonimización, en algún sitio existe una tabla de correlación u otro pedazo de información que sirve precisamente para reidentificar a todos los titulares del dataset.

Estas dos afirmaciones del EDPB, leídas en sus (polémicas) guidelines de 2024 sobre seudonimización sólo son ciertas con matices a la vista de la doctrina Scania.

Doctrina que voluntaria y conscientemente fue ignorada por el sumo sanedrín de la protección de datos europeo.

Las guidelines están pendientes de ser publicadas en su versión definitiva.

Por choques de egos previos entre EDPB y TJUE (véase Schrems II), este calvo no espera cambios sustanciales: esto es Europa, amigo!!

En este sentido, procede recordar que la AEPD (que tampoco parece muy contenta con Scania) se debe a la interpretación que el EDPB haga del RGPD (aunque en ciertos temas haga de su capa un sayo con toda naturalidad), pero la Audiencia Nacional, que revisa (y anula) las sanciones de la AEPD, se debe al TJUE.

Blanco.

En botella.

Leche.

Si buscan un delegado de protección de datos que lleva años ya con este tema y con ganas de marcha, reach out!!

 

Si concluímos que el destinatario no tiene capacidad para reidentificar el dataset… ¿Es obligatorio siquiera firmar un DPA o incluir regulación sobre protección de datos en el contrato principal?

 

Esta pregunta ha merecido mil respuestas, a cual más delulu.

Esta es la mía:

El responsable de tratamiento tiene una obligación general de cumplir y acreditar dicho cumplimiento del RGPD (accountability). Y muchas otras singulares (licitud, seguridad, etc…).

Pues bien, no hace falta hilar muy fino para concluir que la aplicación de la doctrina Scania debe hacerse de forma cuidadosa.

El TJUE ha abierto estupendísimas vías de cumplimiento para situaciones que se habían tornado (o siempre habían sido, depende como se mire) innecesariamente complicadas.

Ahora bien, es plena responsabilidad del Responsable de tratamiento evaluar y verificar en la medida de sus posibilidades, las circunstancias del tratamiento proyectado y las capacidades de reidentificación del destinatario, antes de brindarle libre y desregulado acceso a su seudonimizado dataset.

· Que el test de identificabilidad del dataset en manos del destinatario tiene que quedar documentado, no hace falta preguntárselo al TJUE.

· Que la “cesión de datos seudonimizados” debe documentarse por escrito, tampoco.

· Que a poco que ustedes lo piensen, se les van a ocurrir un montón de obligaciones como “contenido básico” para incluir en esa cesión, lo doy por hecho.

A mí se me han ocurrido unas cuantas (y unos cuentos medios para mitigar eficazmente el riesgo de reidentificación), no en vano llevo años pegándome con compañeros y empresas por este tema.

Pero hay dos claves que comparto aquí porque se trata de conseguir que entre todos hagamos las cosas lo mejor posible… “La privacidad es un deporte de equipo” que decía la Dra Cavoukian.

1. Las medidas de seudonimización deberían ser las más eficaces en cada caso para evitar la reidentificación del dataset por el tercer destinatario. Porque también hasta ahí llega la accountability del Responsable. Una cosa es aprovechar las oportunidades que te da la vida y otra muy distinta es pasar olímpicamente de todo.

2. Aquello que se firme debe tener en cuenta que lo que hoy no es dato personal, mañana puede serlo.

De nuevo: para saber más, pásense por mi formación.

 

¿La doctrina Scania se aplica de forma distinta a quienes serían encargados y quienes serían responsables en caso de haber sido el data set personal en vez de seudonimizado?

 

En mi opinión, sí.

El rol que desempeñe el tercero (encargado si actúa por cuenta del responsable o responsable si actúa para sus propios fines, o incluso corresponsable) si le dataset “deviene personal” determina lo que se debe firmar.

Me parece absurdo defender que si el tercero es encargado no hay que firmar nada y en cualquier otro caso, sí.

 

 

La famosa obligación de transparencia

 

Mucho se ha comentado la declaración del TJUE de la obligación de informar a los interesados de los futuros cesionarios de sus datos, antes de la transmisión (párrafo 112).

Sin extenderme mucho:

Como bien han señalado Robert Bateman y Darth Craddock, toda esa parte se ve “contaminada” por las alusiones a un “consentimiento de los interesados” que nadie ve por ninguna parte.

Porque nadie pide consent al interesado para dar acceso a sus datos a un encargado de tratamiento (Deloitte: y si es responsable, lo es por razones regulatorias, no porque no esté prestando un servicio).

Pero creo que no se ha pillado la esencia de este tema:

El tribunal puntea esas declaraciones con alusiones a “en el presente asunto”.

Creo que el párrafo capital es el 100, que entronca con Breyer:

“Según … Breyer (C‑582/14, EU:C:2016:779), … la perspectiva pertinente para apreciar el carácter identificable del interesado depende esencialmente de las circunstancias que caracterizan el tratamiento de datos en cada caso concreto.”

Me duele la boca de decir que la privacidad (y la doctrina Scania, también) son rabiosamente contextuales.

Se ve mejor comparando dos ejemplos distintos:

 

Caso 1

 

Si mi organización hubiera brindado acceso EN JULIO DE 2025 a un dataset seudonimizado a un tercero que razonablemente no pudiera reidentificar a los interesados… ¿Debería yo HOY, a la vista de esta doctrina, informar a posteriori a dichos interesados de esta “cesión”?.

Mi opinión: no, porque a esta “cesión” no le aplica el RGPD.

Y eso además estaba claro, antes de que el TJUE lo re-ratificara.

 

Caso 2

 

Estoy pensando en hacer MAÑANA una seudonimización currada de mis datasets para aplicar Scania y, quizá, dar acceso a terceros cuidadosamente seleccionados, para finalidades estrechas y con cero posibilidades de reidentificar a mis usuarios.

¿Debo informar HOY, que ni siquiera sé quiénes serán los cesionarios ni las circunstancias finales de esta movida a mis usuarios?

No.

Lo que planeamos es un tratamiento “en sí mismo considerado”: cuando lleguemos a ese río, cruzaremos ese puente, informaremos del tratamiento de seudonimización para Scania, brindaremos derecho de oposición…

¿Tendré que informar de cada “cesionario” a medida que vaya dando acceso?

No.

Si alguien cree que sí, soy todo oídos.

Pero con buenos argumentos, y aviso que no será buen argumento repetir el párrafo 112 de SRB vs EDPS, una declaración del TJUE hecha para un caso que no tiene nada que ver con el que aquí presento.

Muy buena semana.
 

 

Jorge García Herrero

Delegado de Protección de Datos externo de Freepik