La sentencia del Tribunal de Justicia de la Unión Europea (TJUE), del 4-9-2025, asunto C-413/23 P, analiza los efectos de la seudonimización y elabora una doctrina que respalda la creación del mercado único europeo de datos basado en el equilibrio entre la competitividad y la soberanía de los datos, como propugna la Estrategia Europea para los Datos.
La Estrategia Europea para los Datos, impulsada por la Comisión Europea, expuso la necesidad de promover un mercado único europeo de datos que respete el equilibrio entre la protección de los datos, personales y no personales, y la plena disponibilidad de estos para que sirva de impulso a la investigación, al desarrollo y a la innovación.
La reutilización de los datos es la clave de esta iniciativa. Consiste en que los titulares de los datos, las entidades públicas o privadas que los generan y conservan como un activo, faciliten el acceso a los investigadores.
En el caso de los datos no personales, la reutilización encuentra su principal dificultad en la resistencia de sus titulares a compartirlos. Pero la dificultad es aún mayor en los datos personales, porque el reglamento general de protección de datos (RGPD) solo autoriza su uso cuando el interesado lo permite y, además, el principio de minimización obliga a eliminar todos los que no sean estrictamente necesarios para lograr la finalidad que se persigue.
El permiso del interesado puede ampararse en el interés legítimo, que obliga a comprobar que no se afectan intereses prevalentes del sujeto, a informarle acerca de las finalidades que se persiguen (aspecto que remarca el TJUE) y a atender las solicitudes de oposición.
El principio de minimización obliga a eliminar los datos innecesarios que, en los procesos de reutilización, siempre serán los identificativos y los complementarios que permitan asociar al interesado los datos relevantes. Este proceso se denomina seudonimización. Su finalidad es, conforme recoge el RGPD, impedir que los datos se atribuyan al interesado sin utilizar otros adicionales, que han de estar separados y protegidos.
El inicio del considerando 26 del RGPD es tajante cuando indica que «los datos seudonimizados deben considerarse información sobre una persona física identificable», es decir, continúan siendo datos personales. Esta previsión, que fue el origen del recurso de casación que resuelve el TJUE mediante esta sentencia, hace inviable cualquier proyecto de investigación que pretenda analizar los datos seudonimizados, pues obliga a quien acceda a los datos a cumplir las garantías de protección de datos (esencialmente, a informar al interesado y a atender sus derechos de protección de datos).
La sentencia matiza esta previsión y concreta los efectos de la seudonimización. Aunque se fundamenta en el Reglamento (UE) 2018/1725, sobre el tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, insiste en que ambas normas deben interpretarse de manera homogénea.
El TJUE recuerda que el RGPD solo regula los datos que se atribuyan a una persona física identificada o identificable, y que la seudonimización tiene por finalidad «evitar que el interesado pueda ser identificado solo con los datos seudonimizados».
En consecuencia, afirma que si las medidas adoptadas para impedir que los datos se atribuyan al interesado son efectivas, esos datos dejarían de considerarse personales para quienes no posean las claves de correspondencia.
Dice el TJUE que la seudonimización «no constituye un elemento de la definición de “datos personales”, sino que se refiere a la adopción de medidas técnicas y organizativas destinadas a reducir el riesgo de correlación de un conjunto de datos con la identidad de los interesados». En suma, es una situación circunstancial en que se encuentran los datos personales.
Y, concluye que «siempre que se adopten efectivamente tales medidas técnicas y organizativas y que estas puedan impedir que los datos de que se trate se atribuyan al interesado, de forma que este no sea identificable o deje de serlo, la seudonimización podrá afectar al carácter personal de esos datos».
Esta interpretación, añade la sentencia, la corrobora el considerando 16 del Reglamento 2018/1725 (de redacción idéntica al considerando 26 del RGPD), que, tras exponer que «los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable», precisa que «[p]ara determinar si una persona física es identificable, deben tenerse en cuenta todos los medios […] que razonablemente puedan utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física» y que, para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, «deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos».
Concluye el Tribunal que «no debe considerarse que los datos seudonimizados constituyen, de cualquier forma y para cualquier persona, datos personales […], en la medida en que la seudonimización puede, según las circunstancias del caso, impedir efectivamente que personas distintas del responsable del tratamiento identifiquen al interesado de tal manera que, para ellas, este no sea, o deje de ser, identificable».
En nuestra opinión, esta sentencia introduce un enfoque relativo y contextual del dato personal que resulta especialmente útil para los escenarios de reutilización de datos para la investigación o para el entrenamiento de modelos de inteligencia artificial, con diferentes niveles de acceso y conocimiento.
En definitiva, el TJUE consolida el modelo europeo de gobernanza del dato sobre el que se apoya el mercado único europeo de datos que facilita la libre circulación de datos entre distintos sectores y Estados miembros, bajo normas que equilibran los derechos y los intereses concurrentes. Para ello, la disociación y la seudonimización serán los mecanismos clave que harán posible el necesario equilibrio entre privacidad e innovación.
En conclusión, el dilema de Europa no será elegir entre regulación o innovación, sino demostrar que ambas pueden sostenerse sobre la misma arquitectura legal.
Últimas noticias (ver todas)
Juristas y analistas apuestan por simplificar la normativa financiera europea para mejorar la competitividad
finReg360
05-11-2025
Un informe del Instituto Español de Analistas y la boutique finReg360 propone una hoja de ruta para racionalizar y simplificar la regulación de los servicios financieros en la UE, con medidas de coordinación, proporcionalidad y codificación normativa.
En Law&Trends el 05-11-2025
Gloria Hernández (finReg360): “La regulación actual de los servicios financieros es inmanejable y lastra la competitividad”
finReg360
05-11-2025
El Instituto Español de Analistas y finReg360 han presentado en Madrid el estudio «La Unión de Ahorros e Inversiones: una oportunidad para racionalizar y simplificar la regulación de los servicios financieros», que propone un paquete de medidas para reducir la complejidad del marco europeo y ganar competitividad en los mercados de capitales.
En El Asesor Financiero el 05-11-2025
Los expertos definen la clave del éxito de la SIU: simplificación regulatoria sin perder la protección al inversor
finReg360
04-11-2025
El Instituto Español de Analistas y finReg360 presentan un estudio que propone una hoja de ruta para racionalizar y simplificar la regulación de los servicios financieros en la UE, con medidas de coordinación, proporcionalidad y codificación normativa.
En FundsPeople el 04-11-2025
