Durante su reunión plenaria de enero de 2025, el Comité Europeo de Protección de Datos (“CEPD”) adoptó unas directrices sobre seudonimización.
En sus directrices, el CEPD aclara la definición y aplicabilidad de la seudonimización, así como las ventajas derivadas de esta técnica.
Las directrices aclaran dos cuestiones legales fundamentales:
(i) Los datos seudonimizados, que pueden llegar a atribuirse a un sujeto mediante el uso de información adicional, siguen teniendo la consideración de datos personales. De hecho, si el responsable del tratamiento tiene la capacidad de volver a vincular ciertos datos a una persona física, estos siguen teniendo la consideración de datos personales.
(ii) La seudonimización puede contribuir a reducir los riesgos del tratamiento y posibilitarel uso del interés legítimo como base de legitimación, siempre que se cumplan los demás requisitos dispuestos en el Reglamento General de Protección de Datos (“RGPD”). Asimismo, la seudonimización puede ayudar a garantizar la compatibilidad con el fin original para el cual se recogieron inicialmente los datos personales, conforme al art. 6.4. RGPD.
Estas directrices también explican de qué forma la técnica de la seudonimización puede ayudar a las entidades a cumplir sus obligaciones en relación con: (i) la aplicación de los principios de protección de datos; (ii) la protección de datos desde el diseño y por defecto; y la (iii) seguridaddel tratamiento.
Por último, las directrices analizan las medidas y salvaguardas técnicas que debemos tener en consideración cuando se utiliza la técnica de seudonimización, de cara a garantizar la confidencialidad de los datos y evitar la identificación no autorizada de los individuos.
Estas directrices serán objeto de consulta pública hasta el 28 de febrero de 2025, lo que brindará a las entidades interesadas la oportunidad de formular observaciones y permitirá incorporar la evolución futura de la jurisprudencia.