datos seudonimos

¿Los datos seudónimos son datos personales? It depends

Hola, soy Troy McClure es posible que me recuerden de la película «los datos disociados no son personales»… Pues vuelve a sus pantallas.

Dice Taleb que cuanta más información consumimos, mayor es el riesgo de que no apreciemos las «señales» (las gemas escondidas, los game changers) entre el «ruido». Y no me negarán ustedes que últimamente estamos inundados de información.

En los últimos doces meses, en mi humildísimo punto de vista, hemos visto dos terremotos jurisprudenciales de unos 9 grados en la escala Buttarelli.

La última de las dos, dando la razón a Taleb, no ha levantado ni el 10% de polvareda que merece. Me refiero al caso CJUE T-557/20 (Single Resolution Board vs EDPS) sobre datos seudónimos.

 

 

CJUE T-557/20 (Single Resolution Board vs EDPS): Los hechos

La Corte General (algo así como la sala de lo contencioso administrativo del TJUE) resuelve una disputa entre el Single Resolution Board (SRB) y el European Data Protection Supervisor (EDPS) relacionada con la protección de los datos personales de los accionistas y acreedores de Banco Popular.

En junio de 2017, se inició un proceso de audiencia en el que los accionistas y los acreedores podían presentar sus comentarios sobre las medidas adoptadas por el SRB.

En septiembre de 2017, el SRB encargó a la consultora Deloitte la elaboración de un informe. Para ello, el SRB entregó a Deloitte una lista de comentarios seleccionados, que incluía un código alfanumérico para identificar al autor de cada uno, pero no la tabla de correlación.

En noviembre de 2019, se presentaron cinco denuncias ante el EDPS, alegando que el SRB había incumplido su obligación de transparencia al no mencionar entre los destinatarios de los datos personales a Deloitte.

El EDPS investigó las denuncias y en junio de 2020 emitió una resolución en la que concluyó que el SRB había infringido el artículo 15(1)(d) del Reglamento 2018/1725 (cuasi-equivalente al RGPD, pero aplicable a los tratamientos de datos realizados por las instituciones europeas) al transmitir los comentarios de los accionistas y los acreedores a Deloitte, y sancionó al SRB con una amonestación.

 

Posición del EDPS (doctrina dominante anterior)

El EDPS sostiene que la diferencia entre datos anónimos y seudonomizados es que, en el primer caso no existe ninguna “información adicional” que permita atribuir una información específica a una persona en particular. Cero sorpresas hasta aquí.

Por ello razona que, aunque Deloitte no tenga acceso a esa info adicional, los datos siguen siendo seudónimos y, por tanto, personales (y también de facto, porque a Deloitte se le transmitieron los identificadores de cada comentario).

 

La booomba: la identificabilidad (y con ella la anonimidad) es contextual

El TJUE reconoce que la información transmitida a Deloitte no hace referencia a personas identificadas. Pero, ¿son identificables?.

Citando el caso Breyer (45, 46) el TJUE declara que los datos serán personales o no para cada una de las partes entre las que se encuentre repartida la información, dependiendo de su capacidad efectiva para identificar a los interesados.

Así, la identificabilidad requiere ser valorada caso por caso, y eso explica que los datos seudónimos no puedan ser a priori calificados como anónimos cuando no se transmite la “información adicional” que permite identificar a sus titulares.

Por la misma razón, ese “juicio de identificabilidad”, debe ser realizado desde la perspectiva de cada una de las partes implicadas, para determinar si, para ella, los datos son personales o anónimos.

Así que el mismo data set seudonomizado puede ser anónimo para una parte y dato personal para otras, (y anónimo un jueves, y personal el domingo, si por cualquier razón cambia la capacidad del Responsable para reidentificar a los interesados).

 

El test de identificabilidad del considerando 26 (memoricen):

Los datos serán anónimos cuando una parte

  1. Tenga prohibido por ley o
  2. Le sea imposible en la práctica reidentificar a los interesados (por requerir esfuerzos desproporcionados en términos de tiempo, coste o recursos humanos)
  3. De modo que el riesgo de reidentificación aparezca como insignificante.

 

En el caso concreto, ni el identificador alfanumérico permitía la identificación de los autores de los comentarios, ni Deloitte tenía acceso a la tabla de correlación.

EL EDPS no hizo esta valoración, porque consideró que el hecho de que los datos fueran seudónimos para SRB era suficiente.

El TJUE no concluye que los datos fueran anónimos para Deloitte (pero nos deja la pelota botando), lo que hace es clarificar que esa valoración tendría que haber sido realizada por el EDPS en su resolución, cosa que no hizo. Y anula su resolución por ese motivo.

 

¿Habrá segunda temporada?

La sentencia es recurrible ante el TJUE. El EDPS tiene su corazoncito y probablemente recurrirá.

Pero la sentencia se basa en la literalidad del caso “Breyer” y es poco probable que esta interpretación se revierta.

Además, tenemos otro punto para trazar una de nuestras queridas líneas rectas:

 

Asunto C319/22 (conclusiones del AG Campos Sanchez Bordona, 4-5-2023 en la misma línea)

En este asunto se discute si la matrícula de los vehículos de motor es, en todo caso, un dato personal.

Desde el punto de vista fáctico se analizan distintas situaciones en las que un vehículo no es conducido siempre por la misma persona (en la línea de las IPs dinámicas).

Lo interesante está en los párrafos 39 a 42, es el mismo principio de antes, formulado a la inversa: “Un dato que, en principio, carece de carácter «personal» (pues por sí solo y sin la intermediación de otros datos, no contiene información referida a una persona física identificada o identificable) adquiere ese carácter para quien dispone razonablemente de medios que permiten asociarlo con una persona determinada.”.

42.- “En definitiva, la matrícula constituye un dato personal, en el sentido del 4.1 RGPD, en la medida en que quien tenga acceso a él pueda disponer de medios que le permitan razonablemente utilizarlo para identificar al propietario del vehículo al que corresponde. Compete al órgano jurisdiccional local verificar si así sucede en cada caso.”

 

Eficacia práctica

Está por ver.

Hay aplicaciones sensatas y evidentes.

Como ocurrió con la corresponsabilidad, esta nueva perspectiva revela nuevas oportunidades y riesgos, pero llevará tiempo convencer al contrario de las bondades (y seguridad) de determinadas ideacas. Por aquí ya tenemos unas cuantas.

Es mucho más fácil descartar de plano algún  truco chusco que ya se comenta por ahí.

Pero por hoy ya está bien.

 

Jorge García Herrero

Abogado y Delegado de protección de datos