Bruselas, 17 de enero – Durante su reunión plenaria de enero de 2025, el Comité Europeo de Protección de Datos (CEPD) adoptó directrices sobre la seudonimización, así como una declaración sobre la interacción del Derecho de la competencia y la protección de datos.
El CEPD aclara el uso de la seudonimización para el cumplimiento del RGPD
El RGPD introduce el término «seudonimización»* y se refiere a él como una salvaguardia que puede ser adecuada y eficaz para cumplir las obligaciones en materia de protección de datos. En sus directrices, el CEPD aclara la definición y aplicabilidad de la seudonimización y los datos seudonimizados, así como las ventajas de la seudonimización.
Las directrices proporcionan dos aclaraciones jurídicas importantes:
-
Los datos seudonimizados, que podrían atribuirse a una persona mediante el uso de información adicional, siguen siendo información relacionada con una persona física identificable y, por lo tanto, siguen siendo datos personales. De hecho, si los datos pueden vincularse de nuevo a una persona por parte del controlador de datos o de otra persona, siguen siendo datos personales.
-
La seudonimización puede reducir los riesgos y facilitar el uso de intereses legítimos como base jurídica [artículo 6, apartado 1, letra f), del RGPD], siempre que se cumplan todos los demás requisitos del RGPD. Del mismo modo, la seudonimización puede ayudar a garantizar la compatibilidad con el objetivo original (artículo 6, apartado 4, del RGPD).
Las directrices también explican cómo la seudonimización puede ayudar a las organizaciones a cumplir sus obligaciones en relación con la aplicación de los principios de protección de datos (artículo 5 del RGPD), la protección de datos desde el diseño y por defecto (artículo 25 del RGPD) y la seguridad (artículo 32 del RGPD).
Por último, las directrices analizan las medidas y salvaguardias técnicas, cuando se utiliza la seudonimización, para garantizar la confidencialidad y evitar la identificación no autorizada de las personas.
Las directrices serán objeto de consulta pública hasta el 28 de febrero de 2025, lo que brindará a las partes interesadas la oportunidad de formular observaciones y permitirá incorporar la evolución futura de la jurisprudencia.
Interacción entre la legislación en materia de protección de datos y la legislación en materia de competencia: la opinión del CEPD sobre cómo mejorar la cooperación entre los reguladores
Durante la reunión plenaria, el CEPD también adoptó un documento de posición sobre la interacción entre la legislación en materia de protección de datos y la legislación en materia de competencia.
La sentencia del TJUE Meta contra Bundeskartellamt de 4 de julio de 2023 indicaba claramente que las autoridades de protección de datos y de competencia están obligadas a colaborar, en algunos casos, para lograr una aplicación efectiva y coordinada de la legislación en materia de protección de datos y competencia. Si bien estas son áreas separadas de la ley que persiguen objetivos diferentes en diferentes marcos, en algunos casos pueden aplicarse a las mismas entidades. Por lo tanto, es importante evaluar las situaciones en las que las leyes pueden cruzarse.
En este documento de posición, el CEPD explica cómo interactúan la protección de datos y el Derecho de la competencia. Sugiere medidas para incorporar los factores de mercado y competencia en las prácticas de protección de datos y para que las normas de protección de datos se tengan en cuenta en las evaluaciones de la competencia. También ofrece recomendaciones para mejorar la cooperación entre los reguladores. Por ejemplo: las autoridades deben considerar la posibilidad de crear un punto de contacto único para gestionar la coordinación con otros reguladores.
El vicepresidente del CEPD, Zdravko Vukíc, ha declarado: «Amedida que evolucionan los modelos de negocio, la necesidad de proteger los datos personales es cada vez más importante. El CEPD promueve la coherencia entre ámbitos de regulación distintos pero que interactúan entre sí, a fin de garantizar la mejor protección posible de las personas. A tal fin, seguiremos trabajando junto con las autoridades de competencia para reforzar la capacidad de las autoridades de protección de datos (APD) para tener en cuenta el contexto económico y la capacidad de las autoridades de competencia para incorporar consideraciones de protección de datos en sus evaluaciones y decisiones».
Nota para los editores:
* La seudonimización se define en el artículo 4, apartado 5, del RGPD como «el tratamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».