¿El dato personal seudonimizado es un dato personal? Claves tras la sentencia del Tribunal de Justicia de la UE en el asunto EDPS v SRB

En este asunto fueron parte el Supervisor Europeo de Protección de Datos (SEPD o EDPS por sus siglas en inglés) y la Junta Única de Resolución (JUR o SRB por sus siglas en inglés). El litigio trae causa de la resolución de Banco Popular (que tuvo lugar mediante decisiones de la JUR y el FROB en España de 7 de junio de 2017) y del procedimiento de “derecho de audiencia” abierto por la JUR en 2018 para evaluar una eventual compensación a accionistas y acreedores, en el que se recabaron datos y comentarios mediante un registro y un formulario en línea. Los comentarios sobre la “valoración 3” (1.104 en total) fueron transmitidos el 17 de junio de 2019 por la JUR a Deloitte a través de un servidor virtual seguro. A raíz de varias reclamaciones, el SEPD apreció en 2020 que la JUR no había informado a los interesados de que Deloitte podía ser destinataria de esos datos en la declaración de confidencialidad del procedimiento, decisión (luego revisada) que la JUR impugnó y que desembocó en la sentencia del TJUE de 4 de septiembre de 2025.

El tema de mayor calado discutido en este caso, y que viene generando un intenso e interesante debate entre los profesionales del sector, es si un dato seudónimo o seudonimizado es en sí mismo un dato personal por defecto (al no estar entera e irrevocablemente anonimizado), o si puede ser un dato “no personal” para quien no pueda, sin esfuerzos desproporcionados, vincular ese dato a una persona física.

Podría pensarse que algo tan elemental no debería ser objeto de debate a estas alturas, pero lo cierto es que la redacción de la normativa ha dado pie a diferentes perspectivas sobre lo que debe considerarse, o no, como dato personal. Así, se han venido fraguando dos visiones diferentes sobre este concepto:

• La doctrina absoluta: que considera como dato personal cualquier información que, de manera directa o indirecta, pudiera asociarse a una persona física, por remota o improbable que pudiera ser esta vinculación.
• La doctrina subjetiva: que considera que un dato solo será personal para quien tenga medios razonables para vincular este dato a un individuo.

De este modo, se aprecia que una aplicación estricta de la teoría absoluta conduce a la conclusión de que un dato es o personal o no personal en sí mismo, con independencia de quién lo tenga en su poder. Así, por ejemplo, un código seudonimizado sería un dato personal para un sujeto, aunque este fuera incapaz de vincularlo con una persona física, siempre que, en algún lugar, algún responsable tuviera la “llave” o tabla de correspondencia que permitiera esta reidentificación.

Esta interpretación “monolítica” del concepto de dato personal, si bien trata de ser especialmente garantista con los derechos de los interesados, resulta en cargas regulatorias en ocasiones inasumibles para los responsables del tratamiento. Sin perjuicio de ello, durante mucho tiempo ha venido siendo la interpretación seguida mayoritariamente por las autoridades de supervisión en materia de protección de datos y, en consecuencia, por los operadores, por conllevar un menor riesgo de incumplimiento normativo para los responsables del tratamiento.

No obstante, en los últimos tiempos esta concepción ha venido siendo rebatida en sentencias del TJUE, como en los casos Breyer y Scania. En estas sentencias, el Tribunal se decanta por la doctrina subjetiva, al indicar, en resumidas cuentas, que una dirección de IP dinámica (en Breyer) o un número de identificación de vehículo (VIN) (en Scania) son datos personales solo en tanto en cuanto una entidad pueda vincular esa información con una persona física.

Si bien cabría esperar que, con el aval de las citadas sentencias del TJUE, la posición subjetiva estaría totalmente asentada y aceptada, restando así importancia a la resolución que nos ocupa, no es el caso. Ciertas autoridades, como el mismo Comité Europeo de Protección de Datos en sus recientes Directrices 1/2025 sobre el concepto de seudonimización -solo disponibles, actualmente, en su versión preliminar de consulta pública-, siguen adoptando un criterio ciertamente restrictivo, más tendente a la doctrina absoluta que a la subjetiva.

Es por ello que la resolución del TJUE objeto de este comentario es de gran calado, pues no solo se reafirma en la doctrina subjetiva, sino que, además, declara por vez primera de manera meridianamente clara que un dato personal seudonimizado (en este caso, un código alfanumérico relativo a una persona) tratado por un responsable “A” puede ser un dato personal para “A” y no serlo para un cesionario “B” en caso de que este no pueda (razonablemente) llevar a cabo una vinculación o reidentificación del dato.

Esto no solo supone una revalidación de la doctrina subjetiva, sino que tiene importantes implicaciones prácticas que se detallan a continuación.

Implicaciones prácticas

Dado que para el responsable “A” el dato seudonimizado será, en todo caso, un dato personal (al tener la capacidad de reidentificar al interesado a partir del código alfanumérico), “A” debería cumplir a todos los efectos con la normativa aplicable. Ello implica que, entre otras obligaciones, deberá:

• contar con una base legal (art. 6 RGPD) para llevar a cabo el tratamiento de ese dato personal, incluyendo, en su caso, una base legal suficiente para su cesión a un tercero; e
• informar del tratamiento al interesado, en cumplimiento de los arts. 13 o 14 del RGPD, según proceda, incluyendo información sobre las cesiones a destinatarios que fueran a recibir sus datos personales. En este sentido, se pronuncia el TJUE en la resolución de referencia, aunque por los detalles del caso, cabe cierto margen de interpretación sobre qué clase de información se debería facilitar a interesados sobre cesionarios que no vayan a poder llevar a cabo la vinculación de los datos pseudónimos con los interesados.

En relación con el cesionario “B”, este podría ser considerado responsable del tratamiento a todos los efectos si puede razonablemente reidentificar al interesado. No obstante, en caso de que el cesionario “B” no sea considerado, en aplicación de la doctrina subjetiva, responsable del tratamiento (al no estar tratando, desde su punto de vista, datos personales), surgen preguntas de difícil respuesta como las siguientes:

¿Qué derechos tiene el interesado ante el cesionario de los datos?

La resolución de referencia apunta a que el interesado podrá ejercer sus derechos de protección de datos tanto frente al cedente como al cesionario. Para este último, sin embargo, podría resultar materialmente imposible dar respuesta, por ejemplo, a ejercicios de derecho de acceso o supresión, dado que la información no sería personal a sus efectos.

¿Qué información debe facilitar entonces el cedente a los interesados en relación con cesionarios que no puedan identificar al interesado?

Con ánimo de racionalizar las exigencias informativas de los responsables cedentes y evitar situaciones de confusión entre los interesados y los cesionarios que no les puedan identificar, se podría plantear la posibilidad de que los cedentes: (i) informen únicamente de las categorías de cesionarios para los cuales la información recibida no será información personal (sin identificar uno a uno a los cesionarios); o (ii) informen de que determinados cesionarios no podrán identificarles con la información recibida, anticipándose así a las problemáticas identificadas. Como se indicaba anteriormente, en este punto la resolución del TJUE deja cierto margen de apreciación (a la vista, por ejemplo, de las bases legales que apliquen en cada caso).

¿Aplica esto a los encargados del tratamiento?

Para el caso de relaciones de encargado del tratamiento, surgen importantes dudas sobre el encaje de esta doctrina en casos en los que la entidad “encargada” opere siguiendo las instrucciones del responsable, pero tratando datos seudónimos que no supongan, para el encargado, información personal. En este caso, la prudencia invita a entender que no sería de aplicación la teoría subjetiva en su totalidad, pues, al estar operando por cuenta del responsable, sería difícil argumentar que el encargado está tratando datos “no personales” (al seguir las instrucciones del responsable, las posibilidades de reidentificación no deben entenderse como remotas en caso alguno). No obstante, este es un caso a estudiar en mayor detalle, pues las implicaciones prácticas de aceptar la plena aplicabilidad de la doctrina subjetiva a estos efectos serían mayúsculas (piénsese en las facilidades que implicaría a la contratación con terceros).

Conclusiones

La sentencia del TJUE en el caso de EDPS v SRB supone no solo una revalidación de la ya conocida doctrina subjetiva, sino también un importante hito a tener en cuenta por los profesionales de la práctica, al dar muy relevantes perspectivas sobre la implementación de esta doctrina. En particular:

• Aclara que un dato seudónimo puede ser, o no, un dato personal, dependiendo de quién lo trate y las posibilidades reales de identificación de personas físicas, y da apuntes sobre las obligaciones de cedentes y cesionarios de datos seudonimizados, que deberán ser estudiadas en detalle para su correcta adopción.
• Abre un nuevo terreno a explorar por los profesionales de la protección de datos, que deberán tener sus conclusiones en cuenta a la hora de estructurar los esquemas de cumplimiento normativo de responsables y encargados. Por ejemplo, sus implicaciones en lo relativo al uso de información seudonimizada para entrenamientos de modelos de IA puede ser de gran interés para los tenedores de grandes volúmenes de información personal, pues podría facilitar su comercialización.
• Esta sentencia exige una nueva perspectiva no solo de cara a las nuevas cesiones o encargos a regularizar, sino también un replanteamiento de las estructuras ya establecidas, que podrían verse afectadas por esta interpretación de la normativa.