Doctrina Scania: Sentencia EDPS vs SRB, Scania, IAB Europe, OC/Comisión (I)
Creo que ya no estamos en Kansas, Totó.
El pasado 4 de septiembre el TJUE publicó su sentencia C‑413/23 P (SRB vs EDPS).
En ella, este tribunal declaró -de nuevo- que los datos seudonimizados (simplificación para entendernos: cadenas de datos personales a las que se les ha amputado/sustituido los identificadores directos del titular) pueden ser “datos no personales” para la parte que no tiene acceso a dichos identificadores.
Y declaró por primera vez (al parecer, media Europa contaba con que no lo hiciera) que si la otra parte no puede reidentificar directa o indirectamente a los interesados, a su tratamiento de estos datos no le aplica el RGPD.
Llamaré a esto “doctrina Scania” en referencia a la sentencia C‑319/22 Gesamtverband Scania y porque así vengo hablando de esto desde que la leí.
[Dejemos de lado por ahora, para no liarnos, otras modalidades como el cifrado, privacidad diferencial, etc…, que caben perfectamente bajo esta misma doctrina].
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! Apúntate!
No, Dorothy, mi ciela, ya no estamos en Kansas: un mundo nuevo de colorines se abre ante nuestros dateros ojos.
Se ve más claro con el ejemplo de los Reservoir Dogs
En la legendaria película Reservoir Dogs, Tarantino nos cuenta la historia de un atraco que terminal mal. Termina muy mal.
Lo que nos interesa aquí es que cada uno de los atracadores seudonimiza su identidad ante sus compañeros de fechorías sustituyendo su nombre real con un color: Señor Rosa, Señor Naranja, etc….
De este modo, si alguno es detenido por la policía, no pueda delatar a los demás aunque quiera.
[Como saben los Reservoir dogs y dice el RGPD, la seudonimización es una medida de seguridad eficaz incluso entre miembros o secciones de una misma organización.]
Seudonimización frente a terceros
Imaginemos ahora que después del atraco, deciden enviar sus trajes y camisas a la tintorería para que les laven las erm, manchas de sangre, identificando cada traje con el color seudónimo de cada atracador.
Y así, cada uno podría acercarse por su cuenta y llevarse su traje limpio pidiendo el del señor azul, el del señor rosa… el que fuera.
Bien.
Antes de las sentencias Breyer, Scania, IAB Europe y SRB / EDPS, el contrato de lavado de trajes sanguinolentos hubiera requerido un DPA de los de toda la vida: un contrato de acceso a datos por cuenta de tercero, o de “encargo de tratamiento”.
A pesar de que la tintorería no accede a nombres ni apellidos ni DNIs ni nada de esto.
Se entendía, interpretando literalmente el considerando 26 del RGPD que los datos personales no dejaban de serlo aunque se seudonimizaran, si en algún sitio del mundo, si en cualquier sitio del mundo, dentro o fuera del alcance de la tintorería, existía una “tabla de correlación” que permitiera vincular al señor rosa con Steve Buscemi y al Señor Blanco con Harvey Keitel.
La consecuencia de esta interpretación era que, aunque la tintorería no tuviera ni la intención ni los medios para reidentificar a nuestros protagonistas, a su tratamiento de datos le aplicaba el RGPD.
La novedad es que esto ya no es así en todos los casos.
¿El mismo dataset puede ser “personal” para el Sr. Rosa y “no personal” para la tintorería?
Claro que sí.
Según el TJUE, el mismo dataset seudonimizado será o no personal para cada parte dependiendo de todas las circunstancias, y muy especialmente de su capacidad para volver a vincular los datos seudonimizados con sus titulares.
Y si no tiene capacidad para hacerlo, el RGPD no aplicará a su tratamiento de dichos datos.
¿Cómo se valora esa capacidad de reidentificación?: el “Test de Identificabilidad”
El TJUE ya clarificó esto en otra sentencia publicada a la vez que Scania, el caso C‑479/22 OC/Comisión.
Se deben tener en cuenta todos los factores objetivos y, entre ellos:
· No sólo la capacidad del cesionario de combinar los datos en cuestión con información adicional a su alcance, sino también, de acuerdo con la sentencia Scania …
· El contenido, propósito y efecto del tratamiento proyectado por dicho cesionario, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.
Además, de forma negativa, el TJUE declaró que no se considera que un medio sea razonablemente utilizable para identificar a un interesado cuando dicha identificación:
· Esté prohibida por la ley o
· sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a (i) tiempo, (ii) costes y (iii) recursos humanos,
· de modo que el riesgo de identificación sea en realidad insignificante
Es muy importante que el TJUE no propone tres requisitos alternativos (de modo que uno cualquiera de ellos permita descartar un medio de reidentificación como practicable), sino que impone un resultado (tercer elemento: riesgo insignificante de identificación) derivado de los dos primeros.
Para evitar cualquier duda sobre este punto: párrafo 85 de la sentencia EDPS vs SRB de este Septiembre: “… siempre que no pueda excluirse que esos terceros podrían razonablemente atribuir, por medios como el cotejo con otros datos de que dispongan, los datos seudonimizados al interesado, este debe considerarse identificable tanto en lo que respecta a esa transmisión como a cualquier tratamiento posterior de esos datos por los referidos terceros".
Y digo que es muy importante, porque se encontrarán por ahí a populares expertos diciendo que, si la reidentificación en el caso o la finalidad concreta está prohibida (i) por la ley o incluso (ii) por tu contrato con el cesionario, ancha es Castilla y no habrá más nada que evaluar: no aplica el RGPD a ningún efecto.
Esta es la típica interpretación jeta que abraza quien ya venía haciendo las cosas mal de antes, porque… bueno, porque considera -acertadamente- que un argumento cucú es mejor que ningún argumento.
Pero aquí hemos venido a jugar, y a imponer criterio y rigor en una cuestión que afecta a derechos fundamentales.
Y en la que vamos a ver hostias como roscas. Ya verán.
Baste por ahora decir que, si uno abraza esas interpretaciones, el dato personal (y con él el derecho del titular estarían más protegidos frente a la reidentificación legal de sus datos, que frente a la reidentificación ilegal de los mismos.
Lo cual sería absurdo. Y esta es una de las líneas jurisprudenciales más consolidadas del TJUE que ya ha sirvió para descabezar unas cuantas ideas delulu en los albores de la aplicación del RGPD.
Pero esto ya lo expliqué con calma aquí.
¿Entonces, qué pasa con el tratamiento de datos por parte de la tintorería?
Hagamos un test de identificabilidad de andar por casa:
Si la tintorería es una vulgar tintorería sin actividades paralelas detectivescas, de big data (o, ejem, cinematográficas) podríamos pensar que ni la finalidad y efecto del tratamiento, ni los medios usuales disponibles en este tipo de establecimientos permitiría reidentificar a nuestros ensangrentados atracadores.
Eso sí, si pagan en metálico, como cualquier malhechor con un mínimo respeto por sí mismo debe hacer.
El problema de la doctrina Scania es que, si los data sets anonimizados son susceptibles de ataques de reidentificación (como todos sabemos), por definición los datasets seudonimizados… mucho más.
Rizando el rizo, podríamos pensar que una cámara de seguridad que grabara al Señor Rosa pagando con su tarjeta de crédito permitiría al dependiente más tarde vincular los datos de pago con la persona. O a la policía con dichas imágenes.
Pensemos por un momento que el dependiente de la tintorería (que, para adornar la historia, ha perdido todos sus ahorros en el atraco y tiene enormes incentivos para conseguir que pesquen a los responsables).
Y que lo consigue.
Aquí radica la dificultad de la doctrina Scania.
¿Hay que documentar el test de identificabilidad?
¿El riesgo de reidentificación comprende sólo la identificación total y perfecta del interesado o también el “singling out” del Considerando 26?
¿En caso de que el test de identificabilidad salga negativo, hay que firmar algo en materia de protección de datos?
¿Es relevante que el cesionario sea encargado, responsable o corresponsable?
¿Qué pasa si el cesionario -o alguien más- consigue reidentificar el dichoso dataset?
Ah, preguntas...
Continuará.
Jorge García Herrero
Delegado de Protección de Datos externo de Freepik