Contribuciones para presentación de alegaciones a las Directrices 01/2025 sobre seudonimización

El Comité Europeo de Protección de Datos ha publicado las Directrices 01/2025 sobre seudonimización para consulta pública en https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en

Se invita a la comunidad científica a presentar sus alegaciones. El comunicado de prensa del Comité Europeo de Protección de Datos declara:

« Las directrices proporcionan dos aclaraciones jurídicas importantes:

1. Los datos seudonimizados, que podrían atribuirse a una persona mediante el uso de información adicional, siguen siendo información relacionada con una persona física identificable y, por lo tanto, siguen siendo datos personales. De hecho, si los datos pueden vincularse de nuevo a una persona por parte del controlador de datos o de otra persona, siguen siendo datos personales. 
2. La seudonimización puede reducir los riesgos y facilitar el uso de intereses legítimos como base jurídica [artículo 6, apartado 1, letra f), del RGPD], siempre que se cumplan todos los demás requisitos del RGPD. Del mismo modo, la seudonimización puede ayudar a garantizar la compatibilidad con el objetivo original (artículo 6, apartado 4, del RGPD).

Las directrices también explican cómo la seudonimización puede ayudar a las organizaciones a cumplir sus obligaciones en relación con la aplicación de los principios de protección de datos (artículo 5 del RGPD), la protección de datos desde el diseño y por defecto (artículo 25 del RGPD) y la seguridad (artículo 32 del RGPD). 

Por último, las directrices analizan las medidas y salvaguardias técnicas, cuando se utiliza la seudonimización, para garantizar la confidencialidad y evitar la identificación no autorizada de las personas»

En nuestra opinión, es imprescindible expresar la opinión de la comunidad científica y de investigación en el ámbito de la investigación de datos de salud en la medida en que:

1.- No modifica ni contribuye a clarificar los criterios establecidos en la Guía 5/2014 sobre anonimización.

2.- El documento parece objetivar el concepto de seudonimización con independencia de las circunstancias del usuario de los datos o del entorno seguro de tratamiento. De esta forma, y salvo que hayamos malinterpretado la redacción, los datos integrados en un entorno seguro podrían considerarse seudonimizados aunque existan herramientas que impidan al usuario del sistema o a un tercero acceder a los datos o reidentificarlos.

3.- La interacción de esta posición con el Reglamento del Espacio Europeo de Datos Sanitarios puede tener graves consecuencias. El artículo 66 (3) establece la anonimización por defecto para el tratamiento de datos sanitarios electrónicos para usos secundarios. El tratamiento de datos seudonimizados solo está permitido si el usuario de los datos sanitarios ha demostrado suficientemente que la finalidad del tratamiento no puede lograrse con datos anonimizados. ¿Qué pasará con el EHDS si, debido a los criterios del CEPD, la anonimización se vuelve extremadamente difícil?

Esta encuesta fue propuesta por el profesor investigador Ricard Martínez Martínez y en ningún caso expresa la opinión de Microsoft o de la Universidad de Valencia.

Para enviarnos sus alegaciones, rellene este cuestionario https://forms.office.com/e/XdNc2DnyDX?origin=lprLink