Cuando hablamos de seudonimización, entramos en un terreno delicado dentro del RGPD: no son datos anónimos, pero tampoco son directamente identificables. Y aquí surge la gran pregunta: ¿puede el interesado ejercer sus derechos?
📜 Qué dice el EDPB
El Comité Europeo de Protección de Datos señala que, si el receptor de los datos (RT2) no tiene medios lícitos para identificar al interesado, los derechos (acceso, rectificación, supresión, etc.) no son ejercitables. El criterio subjetivo del TJUE (que mira las posibilidades de identificación «en manos de alguien») no se acoge plenamente aún.
🔄 Ejemplo práctico
1º El RT1 comunica datos seudonimizados al RT2.
2º RT2, sin información adicional, no puede identificar a quién corresponden esos datos.
3º El interesado solicita ejercer su derecho de supresión.
4º RT2 no puede atenderlo… salvo que el propio interesado aporte información adicional para poder vincularse a esos datos.
📌 Obligaciones del RT2 (art. 11.2 RGPD):
* Informar al interesado de la imposibilidad de identificarlo sin datos adicionales.
* Comunicar la fuente de los datos (RT1) para que el interesado pueda dirigirse allí y obtener la información necesaria.
💡 Puntos críticos a considerar:
* La seudonimización no libera del RGPD, sigue siendo tratamiento de datos personales.
* El equilibrio entre minimización de datos y ejercicio de derechos puede generar tensiones regulatorias.
* En entornos de big data o blockchain, este problema se multiplica: ¿cómo garantizar derechos individuales cuando la identificación requiere llaves externas?
🔑 La seudonimización protege la privacidad, pero limita la efectividad de los derechos ARSULIPO. La clave está en garantizar transparencia y vías de identificación seguras para no dejar al interesado en un callejón sin salida.
