Directrices 01/2025 del CEPD en materia de seudonimización

Introducción: El CEPD y la relevancia de sus directrices en materia de protección de datos

El Comité Europeo de Protección de Datos («CEPD») desempeña un papel fundamental en el desarrollo y armonización de la normativa de protección de datos dentro de la Unión Europea. Sus directrices ofrecen interpretaciones y recomendaciones sobre la aplicación del Reglamento (UE) 2016/679 del parlamento europeo y del consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD»), facilitando a responsables y encargados del tratamiento la implementación de medidas que garanticen la seguridad y privacidad de los datos personales. En esta ocasión, el CEPD ha publicado las Directrices 01/2025 sobre seudonimización («Directrices 01/2025»), en busca de clarificar el concepto, sus aplicaciones prácticas y los requisitos necesarios para garantizar su eficacia dentro del marco del RGPD. 

Contenido y objetivos de las Directrices 01/2025 sobre seudonimización

La seudonimización se define en el punto 5 del artículo 4 del RGPD como un tratamiento de datos personales que impide la atribución de estos a una persona física sin información adicional, siempre que dicha información adicional se mantenga separada y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no puedan atribuirse a una persona identificada o identificable. En ese sentido, las Directrices 01/2025 tienen como objetivo:

• Aclarar el concepto de seudonimización, diferenciándolo de otros mecanismos como el cifrado o la anonimización, subrayando que, aunque la seudonimización reduce los riesgos asociados al tratamiento de datos personales, no elimina completamente su carácter personal.
• Proporcionar recomendaciones prácticas, ofreciendo ejemplos específicos de medidas técnicas y organizativas que permiten alcanzar un nivel adecuado de protección.
• Identificar beneficios y limitaciones, resaltando cómo la seudonimización puede contribuir al cumplimiento del principio de minimización de datos y a la protección frente a accesos no autorizados, así como las circunstancias en las que su uso podría no ser adecuado.

El documento también incluye orientaciones sobre cómo integrar la seudonimización en el diseño de sistemas de tratamiento de datos, haciendo énfasis en la necesidad de evaluaciones continuas de su eficacia.

Aspectos destacados: medidas técnicas y organizativas

Las Directrices hacen hincapié en medidas clave para garantizar la eficacia de la seudonimización, como:

• Prevención de la reversión no autorizada: implementación de transformaciones que no puedan revertirse sin un esfuerzo significativo, como el uso de funciones criptográficas unidireccionales o claves seguras.
• Gestión de secretos de seudonimización: protección estricta de las claves o tablas de seudonimización mediante su almacenamiento en módulos de seguridad de hardware y la aplicación de controles de acceso robustos. 
• Control de dominios de seudonimización: limitación del acceso a datos adicionales que permitan la re-identificación, definiendo claramente los límites organizativos y técnicos en los que opera la seudonimización. 

Proceso de consulta pública y próximos pasos

Actualmente, las Directrices 01/2025 se encuentran en fase de consulta pública, lo que permite a las partes interesadas, incluyendo empresas, organismos públicos y asociaciones de personas usuarias, presentar comentarios y sugerencias hasta el próximo 28 de febrero de 2025. Con este proceso, se podrá enriquecer el documento con aquellas aportaciones más relevantes en aras de lograr unas directrices más completas y útiles. 

Una vez concluida la consulta pública, el CEPD analizará las contribuciones recibidas y podrá realizar los ajustes necesarios, con el objetivo de garantizar su aplicabilidad y utilidad en diversos sectores. Se espera que la versión final de las Directrices 01/2025 se adopte a lo largo del año 2025, consolidándose como una herramienta clave para facilitar la aplicación del RGPD y fomentar buenas prácticas en el tratamiento de datos personales. 

Cabe destacar que este texto ha suscitado algunas críticas por parte de la comunidad profesional, principalmente por no hacer referencia al contexto judicial europeo ni mencionar la doctrina del Tribunal de Justicia de la Unión Europea en temas de seudonimización, como las sentencias en los casos Scania, SRB-EDPS y Breyer. Estas resoluciones han aportado interpretaciones significativas al concepto de datos seudonimizados y a su tratamiento por terceros. Además, también se ha señalado la falta de orientación específica para aquellos terceros que reciben datasets seudonimizados y no cuentan con los medios para re-identificar a los interesados. 

En este sentido, será fundamental observar cómo el EDPB aborda estas críticas en su versión definitiva, así como las posibles modificaciones que se realicen para atender los desafíos prácticos que enfrentan responsables y encargados del tratamiento en la aplicación de técnicas de seudonimización. 

Ejemplos prácticos incluidos en las Directrices 01/2025

Las últimas páginas de las Directrices 01/2025 están dedicadas a ofrecer algunos ejemplos ilustrativos de cómo aplicar la seudonimización en distintos contextos. Concretamente, en esas páginas se detalla cómo el uso de la seudonimización puede aumentar el grado de cumplimiento normativo respecto a algunos artículos y disposiciones del RGPD. Entre los ejemplos más destacados, se incluyen: 

• Minimización y confidencialidad en análisis internos: el uso de seudónimos en auditorías de calidad permite reducir el riesgo de identificación de las personas afectadas, garantizando el cumplimiento del principio de minimización de datos.
• Transferencias internacionales de datos: la aplicación de seudonimización para proteger los datos personales transferidos fuera del Espacio Económico Europeo, permite reducir el riesgo de acceso no autorizado en jurisdicciones con niveles de protección diferentes. 
• Investigación científica y académica: el uso de datos seudonimizados para realizar estudios que impliquen el tratamiento de grandes volúmenes de información, puede ayudar a probar la compatibilidad con fines secundarios legítimos. 

Estos ejemplos demuestran la versatilidad de la seudonimización como medida de protección y ofrecen herramientas prácticas que pueden ayudar a los responsables y encargados del tratamiento a diseñar sistemas seguros y alineados con el RGPD. 

Conclusión

Aunque las Directrices 01/2025 representan un esfuerzo significativo por parte del CEPD para clarificar y fomentar el uso de la seudonimización, su carácter preliminar y algunas de las críticas que ha recibido invitan a la cautela. A pesar de su potencial utilidad, será crucial esperar a que se incorporen las aportaciones durante la consulta pública y, solo entonces, podremos valorar plenamente su impacto y efectividad como herramienta normativa definitiva en el marco del RGPD. Mientras tanto, es evidente que el documento proporciona una base sólida que puede resultar de gran ayuda a la hora de implementar buenas prácticas en el tratamiento de datos personales. 
 

Agradecemos al abogado Yeray Padilla, del departamento de Tech & Data, por la elaboración de este artículo.