La reciente sentencia del Tribunal de Justicia de la Unión Europea, en el asunto T-557/20, de la Junta Única de Resolución (JUR) contra el Supervisor Europeo de Protección de Datos (SEPD) arroja luz sobre cómo conseguir una anonimización de forma mucho más sencilla. Hasta ahora, las múltiples guías, directrices normativas de la UE y jurisprudencia del TJUE han establecido unos requisitos muy exigentes para poder hablar de anonimización de los datos. Sin embargo, esta sentencia podría abrir un camino más sencillo para ello.
La sentencia en cuestión versa sobre el asunto Breyer (IP dinámicas de datos personales), en el que a través de un formulario online distribuido por la Junta Única de Resolución (JUR), se solicitaban comentarios de particulares. Para completar los formularios, los participantes debían proporcionar su nombre. Como medida de protección de los datos personales, antes de enviar los formularios a un tercero, los nombres incluidos en el formulario, se “hashearon”, es decir, a cada nombre se atribuyó un código alfanumérico de 33 dígitos. Pese a que el tercero al que se envió la información no disponía de la “clave” para revertir el hash y reidentificar a los interesados, el SEPD consideró en su decisión que los datos estaban seudonimizados y no anonimizados ya que la JUR (transmitente) disponía de información adicional para revertir la codificación.
El TJUE anuló dicha decisión del SEPD al considerar los datos como seudonimizados y no anonimizados. Por tanto, la principal conclusión que se extrae de la sentencia es que debe hablarse de anonimización y no de seudonimizacion cuando el tercero al que se transfieran datos “encriptados” no disponga de los medios para revertir la seudonimización y reidentificar a los interesados. Sin perjuicio de que quien transmita los datos sí tenga la “clave” para reidentificar a los sujetos.