En junio de 2017, la Junta Única de Resolución (“JUR”) autoridad de la Unión Bancaria Europea, acordó la liquidación del Banco Popular.
Posteriormente, en agosto de 2018, la JUR publicó una decisión preliminar sobre la posibilidad de compensar a los accionistas y acreedores afectados por dicha resolución. Como parte de este proceso, se abrió una consulta pública, en la que se recibieron comentarios de los propios accionistas y acreedores. Algunas de estas observaciones fueron comunicadas a la consultora y auditora Deloitte, encargada de evaluar el impacto de la resolución. Los comentarios transmitidos estaban seudonimizados mediante un código alfanumérico, y solo la JUR tenía la capacidad de asociar ese código a la identidad de los autores.
Dado que esta comunicación de datos se llevó a cabo sin informar previamente a los interesados, se presentaron cinco reclamaciones ante el Supervisor Europeo de Protección de Datos (“SEPD”). En su resolución, el SEPD concluyó que Deloitte fue destinataria de datos personales y que la JUR incumplió su deber de información, conforme al artículo 15 del Reglamento (UE) 2018/1725.
La JUR recurrió la decisión ante el Tribunal General de la Unión Europea, que estimó parcialmente el recurso y anuló la resolución del SEPD.
El asunto fue elevado hasta el Tribunal de Justicia de la Unión Europea (TJUE). El TJUE, en su sentencia, devuelve el asunto al Tribunal General para que valore determinadas cuestiones fácticas, no obstante, introduce matices importantes para interpretar el concepto de los datos seudonimizados y el deber de información:
- Los datos seudonimizados no tienen la consideración de datos personales en todos los casos ni para todas las personas.
- La seudonimización puede impedir, según las circunstancias del caso, que personas distintas del responsable del tratamiento identifiquen al interesado, de modo que, para ellas, el interesado no sea o haya dejado de ser identificable.
- La información sobre los posibles destinatarios de los datos personales (artículo 15 del Reglamento (UE) 2018/1725) debe facilitarse a los interesados en el momento de la recogida de datos. Ello con el fin de que los interesados decidan, con pleno conocimiento y por su propia voluntad, si consienten la recogida de sus datos personales y que estos sean facilitados posteriormente a terceros.
- Por tanto, la obligación de la JUR de informar, conforme al artículo 15 del Reglamento (UE) 2018/1725 era exigible con anterioridad a la comunicación de los datos a Deloitte, y ello con independencia de que, desde la perspectiva de Deloitte, dichos datos pudieran considerarse o no datos personales tras su seudonimización.