Pase lo que pase con el Digital Omnibus (y en cuanto al art. 4 RGPD parece ya bastante claro que no va a pasar nada) tendremos que vivir con la doctrina SRB / Scania (la interpretación subjetiva del concepto de “dato personal”).

Es decir, hay que acostumbrarse a la idea de vivir en la incertidumbre.

Lo cual no es nada nuevo en una materia tan contextual como la protección de datos personales.

A partir de aquí, no seré yo quien dé lecciones de cómo hacerlo. Sólo puedo compartir cómo lo hago yo: leyendo y aplicando la doctrina Scania de esta manera:

· Empezando por el resultado: para que el acceso de tercero a tu dataset seudonimizado de datos efectivamente quede exento del RGPD, el riesgo de reidentificación de los interesados debe ser insignificante.

· Y valorando ese resultado desde la perspectiva del “contenido, finalidad y efectos del tratamiento” de ese tercero.

Este approach clarifica y simplifica sustancialmente, en mi opinión, el análisis de cada caso.

Hoy aplicaremos este approach con un caso real, en el que además está presente otro de los conceptos indeterminados destacados de Scania: ¿Hasta dónde llega el concepto de singling out? ¿Es lo mismo singularizar que identificar?

Este post es una especie de reflexión posterior a este intercambio con Peter Craddock y Mark Leiser.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, estamos especializados en resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

¡Gracias por leer Zero Party Data! Apúntate!

La sentencia Criteo del Consejo de Estado francés

En la resolución de Criteo se subraya que “la sancionada admitió que la identificación de ciertas personas no era técnicamente imposible”.

Además, el párrafo crucial Criteo termina con una interesante declaración final: que Criteo no puede invocar “útilmente” que esa identificación “no sería de ningún interés para ella”.

Jaque mate.

Interpreto este inciso final de dos maneras:

· En adtech, la escala y la masiva capacidad de correlación explican que la mera singularización se equipare a la identificación.

· Como su propio nombre indica, cuando más se personaliza (cuanto más se singulariza) mejor se vende la “publicidad personalizada”. A la industria le da igual conocer la identidad civil de las personas pero tiene todos los incentivos para individualizarla granularmente.

Y como dice el Consejo de Estado: no, no puede negarlo.

Singularización versus identificabilidad indirecta

Craddock critica que el reconocimiento de identificabilidad de Criteo fue parcial, que no se ha investigado qué porcentaje del dataset era identificable o no, y que el pronunciamiento y la sanción se producen en bloque.

Desde mi punto de vista, si la finalidad del tratamiento de Criteo es personalizar la publicidad que se le hace llegar al interesado, y esa finalidad se consigue, produciendo el efecto deseado, es manifiesto que ha existido tratamiento de datos tutelado por el RGPD: Criteo no conoce la “identidad civil” de cada interesado y ni puñetera falta que le hace a efectos del cumplimiento de su finalidad.

En la sentencia IAB Europe, el TJUE fulmina la cuestión de la capacidad del responsable para singularizar destinatarios en un solo párrafo: el 45: sustancialmente: “si el TC string vinculado a otra información adicional (dirección IP, cookies o el identificador persistente que sea) permite identificar al interesado, entonces el TC string es dato personal”.

En definitiva el TJUE declaró que el TC String más los identificadores vinculados por los partners incluidos en el TCF servían para cumplir la finalidad del tratamiento: personalizar la publicidad con la que se impacta a los interesados.

Peter Craddock insiste “nunca se ha declarado que el singling out equivalga a la identificación”. Bueno, el contexto era tan claro que no le hizo falta.

No en vano el concepto y la concreta redacción del Exponendo 30 del RGPD procede de esta industria.

Es comprensible que el TJUE evite declaraciones omnicomprensivas que afecten a toda la industria y a todas las empresas.

Todos conocemos empresas que promueven fórmulas y mecanismos éticos en este ámbito.

Empresas que no son, por si hace falta decirlo, IAB ni Criteo.

Incentivos

Retengamos ese inciso fina sobre el “interés” de Criteo: el Consejo de Estado ha puesto en primera línea un importante elemento interpretativo que ha venido para quedarse: los incentivos de la organización.

Especialmente importantes los incentivos del responsable que pretende acceder al dataset seudonimizado, cuando se está valorando si aplica o no la doctrina SRB /Scania.

Alguien también podría decir que el TJUE nunca se ha referido explícitamente a los incentivos, pero el concepto es inherente a la finalidad del tratamiento: si un destinatario “X” tiene incentivos para reidentificar al interesado y medios razonables para conseguirlo, desde mi punto de vista, habrá que tomar con mucha cautela -en el concreto caso de “X” el elemento de las “prohibiciones legales” como “bala de plata” para entender aplicable, sin más, la doctrina SRB Scania).

En especial si el track record sancionatorio de “X” (o la industria en que se enclave) sea tan particularmente triste y descorazonador desde el punto de vista de la protección de datos personales.

Accountability vs gaps de responsabilidad

En definitiva, es la accountability lo que retrata a los actores en el mercado.

Meta, IAB, Criteo, Google son sospechosos habituales sancionados reiteradamente en distintos países, en distintos continentes y en distintas disciplinas jurídicas.

Accountability es cumplir, pero sobre todo acreditar el cumplimiento.

Y tratar de darle la vuelta a este concepto, pretendiendo que sean las autoridades las que tengan que acreditar si IAB o Criteo pueden o no identificar a todos o sólo algunos de los interesados, y no al revés, parece un truco efectivo, pero barato cuando se observa desde cerca.

Este truco siempre es el mismo:

Argumentalmente: (i) hacer foco en la parte en vez de en el todo y/o (ii) hacer pie forzado en la fragmentación de la información para evitar responsabilidades (“no es dato”, “no es tratamiento”, “no aplica el RGPD”).

Pues bien, el TJUE ha desbaratado reiteradamente estos planteamientos en sede de corresponsabilidad (sí: eres corresponsable aunque no tengas acceso directo a los datos personales), del derecho al olvido (no hace falta que la noticia que se pretende desindexar identifique al interesado por su nombre y apellido), privacidad desde el diseño (Russmedia no fue declarada responsable por una mera publicación de tercero, sino por el diseño del servicio).

El chorrito

Y yo no dejo de acordarme del chorrito, cuando leo que datasets procedentes de la Adtech y vendidos por data brokers sirvieron para identificar a quienes visitaron la isla de Epstein ya en 2024, para identificar a más de doce millones de alemanes, incluidos funcionarios especialmente sensibles, para que el famoso ICE estadounidense sepa quién ha volado a dónde, o para detener más eficazmente a sus objetivos.

Mientras el chorrito no para, sólo queda argumentar que el TJUE no ha dicho exactamente tal o cual cosa.

Pero es el dedo que apunta al cielo.

Y ya basta de metáforas por hoy.

Jorge García Herrero

Abogado y Delegado de protección de datos.