Doctrina Scania: Sentencia EDPS vs SRB, Scania, IAB Europe, OC/Comisión (II) Reidentificación del dataset seudonimizado. Transparencia
Nadie dijo que fuera a ser fácil
Este es el segundo post de una serie que empezó la semana pasada, exactamente aquí:
Doctrina Scania: Sentencia EDPS vs SRB, Scania, IAB Europe, OC/Comisión (I)
El pasado 4 de septiembre el TJUE publicó su sentencia C‑413/23 P (SRB vs EDPS).
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! Apúntate!
Reidentificación del dataset seudonimizado: El RGPD no estaba muerto: estaba de parranda
El data set parecía no personal cuando llega a la tintorería, pero el avispado dependiente, bastante jefazo él, ha conseguido identificar indirectamente a los ladrones.
En términos jurídicos, cuando el dataset ha cambiado de manos no aplicaba el RGPD, pero horas, días, meses después o lo que sea, vuelve a ser aplicable.
Dramático ¿Eh?
Este hecho, esta “cualidad líquida” de los datos seudonimizados es la cuestión que hay que tratar: el dataset puede ser no personal el martes y personal el jueves.
Seudonimización vs anonimización
Por comparar, cuando anonimizamos un data set, hemos hecho un esfuerzo para que nadie pueda reidentificar a los titulares de los datos originales.
Todos sabemos que hoy en día ninguna anonimización se puede considerar inatacable (en especial si contiene datos de geolocalización fina).
Pero por definición, el riesgo de reidentificación en, en general y en abstracto, más bajo (y con él, normalmente también la utilidad del dataset) que en el caso de la seudonimización.
Porque en el caso de la seudonimización, en algún sitio existe una tabla de correlación u otro pedazo de información que sirve precisamente para reidentificar a todos los titulares del dataset.
Estas dos afirmaciones del EDPB, leídas en sus (polémicas) guidelines de 2024 sobre seudonimización sólo son ciertas con matices a la vista de la doctrina Scania.
Doctrina que voluntaria y conscientemente fue ignorada por el sumo sanedrín de la protección de datos europeo.
Las guidelines están pendientes de ser publicadas en su versión definitiva.
Por choques de egos previos entre EDPB y TJUE (véase Schrems II), este calvo no espera cambios sustanciales: esto es Europa, amigo!!
En este sentido, procede recordar que la AEPD (que tampoco parece muy contenta con Scania) se debe a la interpretación que el EDPB haga del RGPD (aunque en ciertos temas haga de su capa un sayo con toda naturalidad), pero la Audiencia Nacional, que revisa (y anula) las sanciones de la AEPD, se debe al TJUE.
Blanco.
En botella.
Leche.
Si buscan un delegado de protección de datos que lleva años ya con este tema y con ganas de marcha, reach out!!
Si concluímos que el destinatario no tiene capacidad para reidentificar el dataset… ¿Es obligatorio siquiera firmar un DPA o incluir regulación sobre protección de datos en el contrato principal?
Esta pregunta ha merecido mil respuestas, a cual más delulu.
Esta es la mía.
El responsable de tratamiento tiene una obligación general de cumplir y acreditar dicho cumplimiento del RGPD (accountability). Y muchas otras singulares (licitud, seguridad, etc…).
Pues bien, no hace falta hilar muy fino para concluir que la aplicación de la doctrina Scania debe hacerse de forma cuidadosa.
El TJUE ha abierto estupendísimas vías de cumplimiento para situaciones que se habían tornado (o siempre habían sido, depende como se mire) innecesariamente complicadas.
Ahora bien, es plena responsabilidad del Responsable de tratamiento evaluar y verificar en la medida de sus posibilidades, las circunstancias del tratamiento proyectado y las capacidades de reidentificación del destinatario, antes de brindarle libre y desregulado acceso a su seudonimizado dataset.
· Que el test de identificabilidad del dataset en manos del destinatario tiene que quedar documentado, no hace falta preguntárselo al TJUE.
· Que la “cesión de datos seudonimizados” debe documentarse por escrito, tampoco.
· Que a poco que ustedes lo piensen, se les van a ocurrir un montón de obligaciones como “contenido básico” para incluir en esa cesión, lo doy por hecho.
A mí se me han ocurrido unas cuantas (y unos cuentos medios para mitigar eficazmente el riesgo de reidentificación), no en vano llevo años pegándome con compañeros y empresas por este tema.
Pero hay dos claves que comparto aquí porque se trata de conseguir que entre todos hagamos las cosas lo mejor posible… “La privacidad es un deporte de equipo” que decía la Dra Cavoukian.
1. Las medidas de seudonimización deberían ser las más eficaces en cada caso para evitar la reidentificación del dataset por el tercer destinatario. Porque también hasta ahí llega la accountability del Responsable. Una cosa es aprovechar las oportunidades que te da la vida y otra muy distinta es pasar olímpicamente de todo.
2. Aquello que se firme debe tener en cuenta que lo que hoy no es dato personal, mañana puede serlo. De nuevo, para saber más, pásense por mi formación.
¿La doctrina Scania se aplica de forma distinta a quienes serían encargados y quienes serían responsables en caso de haber sido el data set personal en vez de seudonimizado?
En mi opinión, sí.
El rol que desempeñe el tercero (encargado si actúa por cuenta del responsable o responsable si actúa para sus propios fines, o incluso corresponsable) si le dataset “deviene personal” determina lo que se debe firmar.
Me parece absurdo defender que si el tercero es encargado no hay que firmar nada y en cualquier otro caso, sí.
La famosa obligación de transparencia
Mucho se ha comentado la declaración del TJUE de la obligación de informar a los interesados de los futuros cesionarios de sus datos, antes de la transmisión (párrafo 112).
Sin extenderme mucho:
Como bien han señalado Robert Bateman y Darth Craddock, toda esa parte se ve “contaminada” por las alusiones a un “consentimiento de los interesados” que nadie ve por ninguna parte.
Porque nadie pide consent al interesado para dar acceso a sus datos a un encargado de tratamiento (Deloitte: y si es responsable, lo es por razones regulatorias, no porque no esté prestando un servicio).
Pero creo que no se ha pillado la esencia de este tema:
El tribunal puntea esas declaraciones con alusiones a “en el presente asunto”.
Creo que el párrafo capital es el 100, que entronca con Breyer:
“Según … Breyer (C‑582/14, EU:C:2016:779), … la perspectiva pertinente para apreciar el carácter identificable del interesado depende esencialmente de las circunstancias que caracterizan el tratamiento de datos en cada caso concreto.”
Me duele la boca de decir que la privacidad (y la doctrina Scania, también) son rabiosamente contextuales.
Se ve mejor comparando dos ejemplos distintos:
Caso 1
Si mi organización hubiera brindado acceso EN JULIO DE 2025 a un dataset seudonimizado a un tercero que razonablemente no pudiera reidentificar a los interesados… ¿Debería yo HOY, a la vista de esta doctrina, informar a posteriori a dichos interesados de esta “cesión”?.
Mi opinión: no, porque a esta “cesión” no le aplica el RGPD. Y eso además estaba claro, antes de que el TJUE lo re-ratificara.
Caso 2
Estoy pensando en hacer MAÑANA una seudonimización currada de mis datasets para aplicar Scania y, quizá, dar acceso a terceros cuidadosamente seleccionados, para finalidades estrechas y con cero posibilidades de reidentificar a mis usuarios.
¿Debo informar HOY, que ni siquiera sé quiénes serán los cesionarios ni las circunstancias finales de esta movida a mis usuarios?
No.
Lo que planeamos es un tratamiento “en sí mismo considerado”: cuando lleguemos a ese río, cruzaremos ese puente, informaremos del tratamiento de seudonimización para Scania, brindaremos derecho de oposición…
¿Tendré que informar de cada “cesionario” a medida que vaya dando acceso?
No.
Si alguien cree que sí, soy todo oídos.
Pero con buenos argumentos, y aviso que no será buen argumento repetir el párrafo 112 de SRB vs EDPS, una declaración del TJUE hecha para un caso que no tiene nada que ver con el que aquí presento.
Muy buena semana.
Jorge García Herrero
Delegado de Protección de Datos externo de Freepik