La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 4 de septiembre de 2025 (asunto C-413/23 P) que nos ocupa es relevante porque introduce, por primera vez, una aclaración práctica sobre la cesión de datos seudonimizados.
El caso surge tras la resolución del Banco Popular de 7 de junio de 2017, ejecutada por la Junta Única de Resolución (JUR) junto con el Fondo de Reestructuración Ordenada Bancaria (FROB) en España.
La JUR decidió amortizar y convertir los instrumentos de capital de Banco Popular con arreglo al artículo 21 del Reglamento SRM y aplicar el instrumento de venta del negocio de conformidad con el artículo 24 del citado Reglamento mediante la transmisión de las acciones a un comprador.
Para ejecutar la operación, la JUR encargó a la consultora Deloitte la valoración de diferencia de trato para determinar si los accionistas y acreedores de la entidad habrían recibido un mejor tratamiento si se hubiera iniciado un procedimiento de insolvencia ordinario.
La JUR abrió un periodo de consultas para que los accionistas y acreedores de la entidad pudieran presentar observaciones sobre la decisión preliminar. En el marco de ese procedimiento, la JUR envió a Deloitte las observaciones de accionistas y acreedores seudonimizadas, con un código alfanumérico, para que efectuara la oportuna valoración.
Varios accionistas y acreedores afectados presentaron reclamaciones ante el SEPD, alegando que la JUR no les había informado de que sus datos personales serían transmitidos a terceros (Deloitte). El SEPD resolvió que la JUR había incumplido la obligación de información y el deber de confidencialidad.
La JUR interpuso un recurso de anulación contra la decisión del SEPD ante el Tribunal General de la Unión Europea, que anuló la decisión. Finalmente, el TJUE casó la sentencia del Tribunal General.
El TJUE recuerda que las opiniones o puntos de vista personales, como expresión del pensamiento de una persona, están necesariamente vinculados a ella, y hay que valorarlas teniendo en cuenta el contenido, la finalidad y sus efectos. Los datos personales seudonimizados no deben considerarse, en todos los casos y para todas las personas, «datos personales», pues la seudonimización puede impedir que personas distintas del responsable del tratamiento identifiquen al interesado, de forma que, para ellas, este no sea o deje de ser identificable.
En este caso, el TJUE establece que un dato personal seudonimizado, mediante un código alfanumérico, tratado por el responsable del tratamiento puede ser un dato personal para este y no serlo para un cesionario, cuando este no puede llevar a cabo una vinculación o reidentificación del dato (Deloitte no disponía de la clave de reidentificación ni de medios razonables para obtenerla).
Conclusión
Un dato seudónimo o seudonimizado es en sí mismo un dato personal por defecto, al no estar enteramente anonimizado. Por tanto, surge la duda de si puede ser un dato «no personal» para quien no pueda vincularlo a una persona física concreta.
La jurisprudencia comunitaria, asentada tras este asunto y los de Breyer vs. Bundesrepublik Deutschland (C-582/14) y Gesamtverband Autoteile-Handel eV vs. Scania CV AB (C-319/22), establece que «la identificabilidad del interesado debe apreciarse desde el punto de vista del destinatario de los datos en el momento de la cesión, teniendo en cuenta los medios que razonablemente pueda utilizar para identificar al interesado».
En estas circunstancias, debemos obligarnos a diseñar los esquemas de cumplimiento con más cuidado cuando los datos no estén completamente anonimizados y a documentar la no identificabilidad desde la perspectiva del cesionario.
Si quieren más informacion sobre anonimización y seudoanonimizacion de datos personales, les dejo enlazado aquí un artículo anterior.
No se pierda nuestro podcast sobre el artículo
