Racionalizando la doctrina Scania: el argumento de la prohibición
10/02/2025 En LOPD, PRIVACIDAD

Racionalizando la doctrina Scania: el argumento de la prohibición

El caso EDPS-SRB es uno de los focos de atención del mundillo datero, porque podría dar el espaldarazo definitivo a lo que se denomina doctrina Scania o “doctrina subjetiva” del concepto de dato personal.

 

La semana pasada se publicó la opinión del Abogado General Spielmann. El texto es un poco trambólico y no me voy a detener demasiado.

 

Llevo tiempo escribiendo sobre aplicaciones prácticas de Scania.

 

La doctrina y el caso original se explicaron de forma sencilla pero en detalle aquí.

Insights:

 

En lo mollar, y para sorpresa de nadie, el AG ratifica la doctrina subjetiva.

 

Lo hace en la segunda parte del documento. Sin embargo, en la primera y tercera se enreda enigmáticamente en (i) el concepto de opinión como dato (primera parte) y en (ii) el ¿¿consentimiento?? de los interesados, cosa que ni estaba ni se esperaba en la anterior instancia. En fin.

 

Pero insisto, en lo mollar el AG ratifica la doctrina subjetiva (Scania, para los amigos), que a la sazón ya ha sido aplicada en al menos dos ocasiones por el TJUE.

 

Pero yo venía a hablar de algo más interesante:

 

Raconalizando la doctrina Scania: ¿Por qué levanta tantas ampollas?

 

Soy hincha de esta doctrina subjetiva desde el primer día: de hecho cuando leí la sentencia del CJUE en 2023, pensé: ¡Claro! Esto es lo que tiene más sentido.

 

Recordemos que, según esta doctrina, un dato puede ser personal para SRB y no personal para Deloitte, si SRB lo seudonimiza antes de entregarlo a Deloitte y el riesgo de que Deloitte lo reidentifique sea insignificante porque:

 

· Lo tenga prohibido por Ley

 

· Necesite incurrir en esfuerzos desproporcionados de tiempo, coste o recursos humanos.

 

La consecuencia es que, si el dato no es personal para Deloitte, a esa cesión (y a Deloitte) no le aplica el RGPD.

 

No es el “si”, es el “cómo”

 

En mi opinión deberíamos estar hablando mucho menos de si nos gusta o no, y más de cómo gestionar esta doctrina: no en vano el TJUE ya la ha aplicado tres veces: Breyer, IAB Europe y Scania.

 

Gran parte del mundo datero se rasga las vestiduras porque la aplicación de esta doctrina liberaría un número importante de tratamientos masivos de datos de la aplicación del RGPD.

 

¡Ojo! De la aplicación inmediata, no de la protección (su aplicación potencial: aquí está el mojo).

 

Lo que hace interesante (y escurridiza al aplicarla) esta doctrina es que un dataset puede ferpestamente ser no personal para tu suegra y personal para Hacienda. No personal un martes y personal el jueves.

 

Interpreten desde esa perspectiva lo que dice el AG en su escrito:

 

el hecho de que las normas contenidas en el Reglamento 2018/1725 -el RGPD aplicable a las autoridades UE- no se apliquen a los datos sobre personas no identificables no impide que se genere, en su caso, la responsabilidad jurídica de las entidades que incurren en comportamientos censurables, por ejemplo, en caso de divulgación de datos que ocasione un perjuicio.” (párrafo 58).

Sh*t happens

 

El problema con los abogados aficionados a defender interpretaciones innovadoras (entre los que me cuento) es la tentación el riesgo constante de acabar fumándonos nuestros propios porros.

 

La manía de pasar con cierta facilidad del paso 1: “esto es extraño, pero me cuadra: vamo a vé cómo funciona en la práctica” al paso 2: “sujétame el cubata”.

 

Y como todo riesgo… hay que gestionarlo.

 

Porque si no, acabas volando a la arboleda.

 

Sujétame el cubata belga

 

Hay un extendido y problemático “Sujétame el cubata” de origen belga en este tema: se afirma la aplicación indiscriminada del criterio de la “prohibición legal”, para extender el concepto de dato seudónimo hasta el infinito y más allá.

 

Este compañero belga interpreta la sentencia Breyer, por ejemplo, del siguiente modo:

 

Una dirección IP en Alemania es un dato seudónimo (personal para una teleco, que tiene los datos del abonado que lo utiliza, personal para las administraciones que pueden exigir conforme a la ley que la teleco revele a la identidad del abonado –como pasa en los casos de pirateo de la señal de los partidos de fútbol) pero es no personal para el resto, porque la ley prohíbe a la teleco entregar esa pieza de información a otros “terceros” como por ejemplo, empresas de publicidad online.

 

Es decir: en la medida en que el responsable no puede legalmente entregar a terceros la información necesaria para que reidentifiquen el data set seudonimizado, ya no hay más nada que hablar: el dataset no es personal para ellos. Y así nos libramos de todas las gravosas obligaciones del RGPD.

 

Pero esta interpretación es tan absurda como las consecuencias a las que conduce.

 

Proteger a los ciudadanos frente a su reidentificación ilegal (casi siempre oculta, encubierta) en tratamientos de big data es uno de los principales objetivos de la normativa de protección de datos personales -y este objetivo es más importante cuanto mayor el número de interesados, y/o la intensidad del tratamiento.

 

Ejemplo: las subastas de publicidad personalizada online.

 

Sí, podemos interpretar la jurisprudencia del TJUE así: “la ilegalidad de reidentificar excluye la identificabilidad”, ergo el dataset no es personal y entonces no aplica el RGPD.

 

Pero eso es tanto como afirmar que los interesados SÍ estarían protegidos frente a la reidentificación legal de sus datos, pero NO frente a la reidentificación ilegal.

 

 

Sin embargo, en el Mundo Real©

 

Y lo cierto es que, precisamente en el mundo de la publicidad digital, hay toda una categoría de empresas especializadas en cruzar bases de datos para reidentificar (o al menos para “individualizar” (single out) a la persona detrás de cada cookie, para personalizar mejor la publicidad por la que pagan sus clientes.

 

Por el amor de Dios, hasta se autodenominan “proveedores de identidad”.

 

Me pregunto si los profesionales que defienden esa interpretación dejarían su billetera tirada en mitad de la Gare du Nord de Bruselas, fiándolo todo a la prohibición legal general de apropiarse indebidamente de ella?

 

Pues eso.

 

El TJUE en Breyer preparó, cual madre (o padre) hacendosos. un bocadillo.

 

En el interior está la valoración de la prohibición de identificar, y lo proporcionado o no de los medios necesarios para hacerlo. Pero luego está el pan, por encima (“que sea razonable o no que el tercero pueda reidentificar”) y por debajo (“que el riesgo de que lo haga sea insignificante”)

 

Y el bocadillo se come entero, niños. No sólo lo rico de en medio que te gusta.

 

Es el responsable el que tiene que evaluar, bajo su responsabilidad que “el riesgo de reidentificación tiene que ser insignificante”. Y ese riesgo tiene que ser evaluado y mitigado por el responsable, no obviado al grito de “si es ilegal hacerlo, ya no es mi problema, WEEEEEEEEEE”.

 

Por supuesto, hay bastantes más melones que abrir y depurar en este tema, pero con un poco de buena voluntad, lo conseguiremos entre todos.

 

 

TJUE vs TJUE

 

¿De dónde saco este argumento? Del TJUE. Es la misma lógica que sirvió para acabar con otro timo del tocomocho que pululaba en el 2018.

 

Los viejos rockeros de la LOPD-99 defendían (alguno aún lo hace) que si concurría una excepción del art. 9.2 RGPD, ya no había que preocuparse de cumplir y documentar el cumplimiento adicional de una base legal del art. 6.

 

El TJUE razonaba de forma imbatible: si eso fuera cierto, los datos de categoría especial -los que han sido dotados de mayor garantía de protección: una prohibición legal de tratamiento- quedarían comparativamente menos protegidos que los datos ordinarios.

 

Así que va a ser que no.

 

Muy buena semana.

 

Jorge García Herrero

Abogado y Delegado de protección de datos