CEPD establece directrices de seudonimización para mejorar colaboración con autoridades de competencia

Durante su reunión plenaria celebrada en enero de 2025, el Comité Europeo de Protección de Datos (CEPD) ha dado un paso significativo al adoptar directrices sobre la seudonimización. Además, se emitió una declaración acerca de la interacción entre el Derecho de la competencia y la protección de datos.

Clarificación del uso de la seudonimización bajo el RGPD

El Reglamento General de Protección de Datos (RGPD) introduce el concepto de "seudonimización", describiéndolo como una medida que puede ser tanto adecuada como eficaz para cumplir con las obligaciones en materia de protección de datos. En sus nuevas directrices, el CEPD proporciona una definición clara y detalla la aplicabilidad y los beneficios asociados a la seudonimización.

Entre las aclaraciones jurídicas más relevantes que se presentan, destacan dos puntos fundamentales:

1. Los datos seudonimizados, que pueden ser vinculados a una persona mediante información adicional, continúan siendo considerados como datos personales. Esto implica que si estos datos pueden ser reidentificados por el controlador o por terceros, siguen siendo clasificados como datos personales.
2. La seudonimización tiene el potencial de mitigar riesgos y facilitar el uso de intereses legítimos como base jurídica, siempre que se cumplan los requisitos establecidos por el RGPD. Asimismo, puede contribuir a asegurar la compatibilidad con los fines originales del tratamiento.

Implicaciones para las organizaciones

Las directrices también abordan cómo la seudonimización puede asistir a las organizaciones en el cumplimiento de principios esenciales del RGPD, tales como la protección de datos desde su diseño y por defecto, así como garantizar la seguridad adecuada.

Por último, se examinan las medidas técnicas y salvaguardias necesarias para mantener la confidencialidad y prevenir identificaciones no autorizadas cuando se aplica la seudonimización.

Las directrices estarán abiertas a consulta pública hasta el 28 de febrero de 2025, permitiendo a las partes interesadas presentar observaciones y adaptarse a futuros desarrollos jurisprudenciales.

Cooperación entre reguladores: un enfoque necesario

En otro punto destacado durante esta reunión plenaria, el CEPD aprobó un documento sobre cómo mejorar la cooperación entre las autoridades responsables del cumplimiento del Derecho de protección de datos y aquellas encargadas del Derecho de competencia.

La reciente sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el caso Meta contra Bundeskartellamt subraya la necesidad imperiosa de colaboración entre estas entidades para lograr una aplicación efectiva y coordinada. A pesar de que ambas áreas legales persiguen objetivos distintos dentro de marcos separados, existen situaciones donde sus competencias pueden converger.

Zdravko Vukíc, vicepresidente del CEPD, afirmó: «A medida que evolucionan los modelos comerciales, proteger los datos personales es cada vez más crucial. El CEPD fomenta la coherencia entre diferentes ámbitos regulatorios para asegurar una protección óptima para los individuos. Continuaremos colaborando con las autoridades competentes para fortalecer nuestra capacidad en este contexto».

Nota para los editores:

* La seudonimización está definida en el artículo 4, apartado 5 del RGPD como «el tratamiento de datos personales tal que ya no puedan atribuirse a un interesado específico sin información adicional», siempre que dicha información adicional esté separada y protegida adecuadamente.

Preguntas sobre la noticia