Los datos que seudonimizo pueden ser anónimos para terceros
Cuando una entidad seudonimiza datos personales como medida de seguridad, el RGPD deja claro que, para esa entidad, esos datos siguen siendo datos personales. Pero surge una duda relevante: si después comunica esos datos seudonimizados a una tercera entidad que no dispone de la información adicional necesaria para identificar a los interesados, ¿siguen siendo también datos personales para ese tercero?
El TJUE responde a esta cuestión con un criterio muy útil. La seudonimización no equivale por sí sola a anonimización. Para quien conserva la información adicional o mantiene la posibilidad de reidentificar a los interesados, los datos siguen siendo personales y continúan plenamente sometidos al RGPD. Sin embargo, el análisis no debe hacerse en abstracto, sino desde la posición real de quien recibe la información. Lo decisivo es comprobar si ese tercero dispone de la información complementaria o si puede acceder a ella por medios razonables, legales y practicables. Solo cuando esa posibilidad de reidentificación no existe puede afirmarse que, para ese tercero y respecto de ese tratamiento concreto, la información queda fuera del concepto de dato personal.
Ese matiz es importante. Más que decir que la seudonimización convierte siempre los datos en anónimos, lo que muestra el TJUE es que una misma información puede seguir siendo dato personal para quien la transmite y, al mismo tiempo, no tener esa consideración para quien la recibe, si este no puede identificar razonablemente a las personas. En otras palabras, la aplicación del RGPD depende también del contexto y de los medios de identificación realmente disponibles para cada interviniente.
Ahora bien, el TJUE añade una precisión igual de relevante. Aunque para el tercero destinatario esos datos no sean personales, la entidad que los seudonimiza y los comunica no queda liberada de su deber de transparencia. Conforme al artículo 13 del RGPD, debe informar al interesado de que sus datos serán comunicados a ese tercero, porque esa comunicación forma parte del tratamiento decidido por el responsable. Ese deber se valora en el momento de la recogida de los datos y desde la posición de quien decide comunicar los datos, no desde la perspectiva del destinatario.
En definitiva, una cosa es que el tercero no pueda identificar a nadie y otra muy distinta que la comunicación deje de ser un tratamiento de datos personales para quien la realiza. Y esa comunicación, precisamente por formar parte del tratamiento, debe explicarse con claridad al interesado.