El Comité Europeo de Protección de Datos (CEPD) ha publicado nuevas directrices sobre pseudonimización y un documento de posición sobre la relación entre la protección de datos y el derecho de la competencia con el fin de reforzar el cumplimiento del RGPD.
En enero de 2025, durante su reunión plenaria, el CEPD realizó un anuncio regulatorio significativo al adoptar nuevas directrices sobre pseudonimización y emitir un documento de posición sobre la interacción entre la protección de datos y el derecho de la competencia. Estas iniciativas buscan fortalecer el cumplimiento del RGPD y aclarar el uso de la pseudonimización. Con ello, el CEPD pretende ofrecer orientación práctica a las organizaciones que operan en el complejo entorno digital, asegurando al mismo tiempo que la privacidad siga siendo una prioridad en las prácticas de tratamiento de datos. Asimismo, el CEPD busca fomentar una mayor cooperación entre las autoridades europeas de protección de datos (DPAs) y las autoridades de competencia.
Las directrices del CEPD establecen que los datos pseudonimizados siguen siendo datos personales y requieren protección, pero la pseudonimización puede reducir riesgos y respaldar un tratamiento legítimo de datos
Las nuevas directrices adoptadas proporcionan aclaraciones jurídicas esenciales sobre el concepto de pseudonimización según el RGPD. Destacan que los datos pseudonimizados—aunque hayan sido tratados para ocultar los identificadores directos de los interesados—siguen considerándose datos personales si pueden vincularse a una persona física identificable mediante información adicional. Esta distinción subraya la necesidad de seguir aplicando medidas adecuadas de protección de datos, incluso cuando se emplean técnicas de pseudonimización.
Además, las directrices señalan que la pseudonimización puede reducir riesgos y facilitar el uso del interés legítimo como base jurídica para el tratamiento de datos, conforme al artículo 6(1)(f) del RGPD, asegurando al mismo tiempo la compatibilidad con los fines originales de la recopilación de datos, tal como exige el artículo 6(4).
El artículo 4(5) del RGPD define la pseudonimización como “el tratamiento de datos personales de manera que no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no puedan atribuirse a una persona física identificada o identificable.”
Las directrices adoptadas por el CEPD explican cómo la pseudonimización mejora la protección y la seguridad de los datos
Además de proporcionar aclaraciones, las directrices explican cómo la pseudonimización contribuye a la aplicación de principios clave de protección de datos. Al facilitar el cumplimiento de los requisitos de protección de datos desde el diseño y por defecto (artículo 25 del RGPD) y reforzar las medidas de seguridad (artículo 32 del RGPD), la pseudonimización se convierte en una herramienta valiosa para las organizaciones.
Asimismo, la orientación aborda las medidas técnicas y salvaguardas destinadas a garantizar la confidencialidad y prevenir la reidentificación no autorizada, fortaleciendo así la integridad general de las prácticas de protección de datos en el marco del RGPD.
Los interesados tienen hasta el 28 de febrero de 2025 para enviar comentarios sobre las directrices de pseudonimización
El período de consulta pública sobre las directrices de pseudonimización estará abierto hasta el 28 de febrero de 2025, brindando a los interesados la oportunidad de aportar sus opiniones y contribuir al desarrollo de la política de protección de datos en Europa. Esto no solo mejora la eficacia de las directrices, sino que también refuerza el compromiso del CEPD con la mejora continua de sus prácticas regulatorias.
Para las organizaciones que buscan equilibrar la innovación con el cumplimiento normativo, estos avances representan un paso adelante en la promoción de la seguridad de los datos y el cumplimiento de la normativa.
El CEPD recomienda una mayor coordinación entre las autoridades de protección de datos y de competencia, proponiendo un punto de contacto único para la cooperación interregulatoria
El CEPD también ha publicado un documento de posición que aborda la relación entre el derecho de la protección de datos y el derecho de la competencia. Haciendo referencia a la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el caso Meta vs. Bundeskartellamt de julio de 2023, el documento aboga por un enfoque más coordinado entre las autoridades de protección de datos y las de competencia.
Además, subraya la importancia de integrar factores de mercado y competencia en las prácticas de protección de datos. El CEPD también sugiere que las normas de protección de datos deben considerarse durante los análisis de competencia. Una de las recomendaciones prácticas es la creación de un punto de contacto único para la coordinación interregulatoria, lo que agilizaría el proceso de aplicación de la normativa y garantizaría que ambos marcos legales trabajen en conjunto para proteger a los consumidores y mantener una competencia justa.
El vicepresidente del CEPD, Zdravko Vukíc, destaca la importancia de la colaboración entre las DPAs y las autoridades de competencia para abordar los retos de la transformación digital
El vicepresidente del CEPD, Zdravko Vukíc, destacó que, a medida que los modelos de negocio evolucionan en un entorno digital cada vez más complejo, la protección de los datos personales cobra aún más relevancia.
Vukíc subrayó que fomentar un entorno regulador colaborativo, en el que las autoridades de protección de datos y las de competencia compartan conocimientos y coordinen acciones, es clave para abordar los desafíos que plantean los rápidos avances tecnológicos.
Al integrar las consideraciones económicas y de privacidad, las iniciativas del CEPD allanan el camino para un enfoque regulador más holístico, en beneficio tanto de las empresas como de los ciudadanos.
