Seudonimización VS. Anonimización: ¿Compartes datos seudonimizados con terceros? El TJUE aclara cuándo siguen siendo datos personales… y cuándo no
Skip to main content
Seleccionar ubicación Spain (ES)
  • Actualidad
  • Seudonimización VS. Anonimización: ¿Compartes datos seudonimizados con terceros? El TJUE aclara cuándo siguen siendo datos personales… y...
Insight

Seudonimización VS. Anonimización: ¿Compartes datos seudonimizados con terceros? El TJUE aclara cuándo siguen siendo datos personales… y cuándo no

Sonia Gracia
10/11/2025
Montserrat Sala
 

1. ¿De qué iba el caso?

Todo empezó con una resolución emitida por la Junta Única de Resolución (JUR - entidad que se encarga de gestionar las crisis de bancos en la zona euro para asegurar su resolución ordenada y proteger la estabilidad financiera) respecto a la posibilidad de otorgar compensaciones a los accionistas y acreedores de Banco Popular Español, S.A. Tras la resolución, se abrió un procedimiento para que antiguos accionistas y acreedores pudieran opinar y comentar sobre cómo les había afectado la medida.

Para proteger la identidad de estos accionistas y acreedores, la JUR sustituyó sus nombres por códigos (seudonimización) y envió los comentarios así procesados a una Consultora, que fue contratada para analizar el impacto financiero. Dicha Consultora no tenía acceso a la clave para reidentificar a las personas.

Varios afectados (accionistas/acreedores) se quejaron ante el Supervisor Europeo de Protección de Datos (EDPS) porque no se les informó de que sus comentarios serían compartidos con la Consultora. A su juicio, esto violaba su derecho a ser informados sobre el tratamiento de sus datos personales.

El EDPS estuvo de acuerdo: dijo que, aunque los datos estaban seudonimizados, seguían siendo personales y, por tanto, la JUR tenía que haber informado a los interesados.

La JUR no estuvo de acuerdo…y recurrió al TJUE. Su argumento: la Consultora no podía identificar a nadie con esos datos, así que, desde su punto de vista, no se trataba de datos personales. Y aquí es donde entra el TJUE a poner orden.

2. Lo que dijo el Tribunal (TJUE): claves que hay que conocer

2.1. Opiniones/comentarios = datos personales

El TJUE dijo algo bastante contundente: los comentarios efectuados por una persona física son datos personales relativos a quien los realiza, ya que “como expresión del pensamiento de una persona, están necesaria e íntimamente ligados a esta”, es decir, porque habla sobre esa persona, aunque no mencione su nombre directamente. Según la Decisión, los comentarios son datos personales, ya que reflejan opiniones y puntos de vista de personas físicas. No es necesario realizar un análisis más profundo de la finalidad y el efecto, dado que los comentarios eran claramente de carácter personal.

2.2. ¿Pero y si estas opiniones y comentarios están seudonimizados?

Aquí viene lo interesante: los datos seudonimizados pueden seguir siendo personales… pero depende de quién los reciba.

  • Para la JUR, que tenía la clave para identificar a los autores, sí eran datos personales.
  • Para la Consultora, que no tenía acceso a esa clave ni medios razonables para reidentificar a nadie, no eran datos personales.

Así, se desprende que el carácter personal de un dato depende del contexto y del acceso que tenga cada actor a los medios de identificación.

2.3. La obligación de informar sigue en pie

Aunque la Consultora no podía identificar a nadie, la JUR sí podía, y por eso tenía la obligación de informar a los interesados cuando recogió sus comentarios. En este sentido, se puede concluir que la obligación de transparencia se mide desde el punto de vista de quien recoge los datos personales, no del que los recibe anonimizados.

 

3. Qué aprendemos de todo esto?

Esta sentencia nos deja varias lecciones valiosas a tener en cuenta cuando compartimos datos seudoanonimizados con terceros:

  • Un mismo dato puede considerarse dato personal para una entidad, pero no para otra tercera (a la que se le ceden).
  • Para que los datos facilitados a un tercero no sean personales, dicho tercero debe carecer de medios razonablemente probables de reidentificar a las personas en cuestión. Es decir: el análisis es contextual, desde la perspectiva del destinatario que recibe los datos, y depende de factores como coste, tiempo, acceso a información adicional, tecnología disponible.
  • El deber de información no desaparece. Aunque los datos se compartan seudonimizados, si la entidad que los facilita puede identificarlos, ésta deberá informar a los interesados. Así, se debería informar de: que sus datos podrían ser compartidos con otros; quién sería el destinatario; y con qué finalidad.

 

4. ¿Se han pronunciado las autoridades?

Hasta la fecha únicamente la autoridad danesa (Datatilsynet) ha emitido un comunicado sobre esta nueva interpretación subjetiva de lo que se considera dato personal. En su comunicación, la Datatilsynet sostiene que los datos pseudonimizados conservan su naturaleza de datos personales cuando son tratados por un encargado en nombre del responsable, sobre la base de dos elementos:

      1. la capacidad del responsable para reidentificar a los interesados y
      2. la falta de autonomía del encargado, que solo puede actuar conforme a las instrucciones del primero.

En consecuencia, considera irrelevante la capacidad técnica o jurídica del encargado para identificar a los interesados, manteniendo la plena aplicación del RGPD en estos supuestos. Además, precisa que, si el encargado pretendiera utilizar los datos para fines propios, seguirían siendo datos personales respecto del responsable inicial, y su eventual carácter personal para el nuevo responsable dependería del contexto concreto del tratamiento y de su capacidad efectiva de reidentificación. Con esta posición, la autoridad danesa consolida una lectura conservadora del alcance de la sentencia, reafirmando la sujeción del encargado al marco del artículo 28 del RGPD mientras no exista un cambio sustantivo en la finalidad o el control del tratamiento.

 

5. Implicaciones jurídicas y prácticas que conviene tener en cuenta

Estos puntos son clave para quienes tratan datos seudonimizados o los transfieren a terceros:

  • Si se aplica la doctrina al marco conceptual de las Directrices 07/2020 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD del Comité Europeo de protección de Datos, puede producirse una paradoja relevante: un mismo tratamiento podría quedar dentro o fuera del ámbito de aplicación del RGPD dependiendo de la persona desde cuya perspectiva se analice la capacidad de identificación. Así, un responsable que determina los fines y los medios de un tratamiento podría entender que los datos son anónimos —y por tanto excluidos del RGPD— porque carece de medios propios para reidentificar a los interesados; sin embargo, esos mismos datos podrían ser personales para su encargado o para un corresponsable que sí disponga de tal capacidad. El resultado de esta interpretación sería un régimen híbrido en el que el responsable, pese a ostentar el control funcional sobre el tratamiento conforme al artículo 4.7 RGPD y a las Guidelines del EDPB, quedaría fuera del ámbito de aplicación material del Reglamento por no tratar datos personales él mismo. Este problema se refleja con especial claridad en el ámbito de la investigación científica, donde el promotor de un estudio suele afirmar que maneja datos “anonimizados” al no tener acceso a los identificadores directos, aunque en realidad se trate de datos pseudonimizados que pueden ser reidentificados por el centro investigador o por el contratista que conserva la clave de vinculación. Desde la lógica de la sentencia que estamos analizando, podríamos encontrarnos en situaciones en las que el promotor no sería responsable de datos personales —pues no puede identificar—, pero su colaborador sí, generando una disonancia normativa que cuestiona la coherencia del sistema de responsabilidad y la efectividad del principio de accountability.
  • Evaluación de riesgos según el contexto: la pregunta ya no es únicamente “¿existe una clave?” sino “¿existen medios razonables que el destinatario pudiera usar para reidentificar?”. Hay que documentar esta evaluación.
  • Planificación contractual y de procesos: Aunque el receptor no tenga llave de reidentificación, conviene que haya contratos o cláusulas que limiten cualquier intento de reidentificación y establezcan obligaciones de salvaguarda.
  • La transparencia no se elimina por completo: Incluso cuando los datos en manos del receptor no sean personales, el que los recogió sigue con obligaciones de información hacia los afectados.

 

Conclusión:

La sentencia del TJUE reafirma que la seudonimización es una herramienta útil, aunque no transforma automáticamente los datos en anónimos. Que una información se considere o no un “dato personal” dependerá del contexto, de quién la trate y de los recursos que tenga para volver a identificar a los interesados. Además, quien recopila los datos mantiene sus deberes de transparencia, incluso si para otro actor esos datos dejan de tener carácter personal.

Esta decisión representa un avance hacia una visión más práctica y ajustada en relación con la compartición de datos seudonimizados en el entorno digital. No obstante, no debe interpretarse como una relajación de las exigencias: la prevención, la evaluación de riesgos, la transparencia y los acuerdos contractuales continúan siendo esenciales para cumplir con la normativa de datos personales entre las partes implicadas.

Áreas de especialización

Tech & Data

Áreas de trabajo relacionadas

Tecnología