Protección de Datos: sentencia del TJUE sobre el alcance de datos personales en una transferencia de datos seudonimizados a terceros

El Tribunal de Justicia de la UE (TJUE) emitió una sentencia a través de la cual anuló el fallo del Tribunal General que había anulado previamente la decisión del Supervisor Europeo de Protección de Datos (EDPS) en el caso EDPS v SRB. En 2021, el Tribunal General falló apoyando parcialmente al Mecanismo Único Resolución (SRB), que había transferido a Deloitte datos seudonimizados de accionistas y acreedores del Banco Popular Español sin informarles adecuadamente al considerar que debía evaluarse, desde la perspectiva de Deloitte, si los datos eran personales. El EDPS consideró que dichos datos seguían siendo personales y que el SRB incumplió su obligación de proporcionar información a los afectados sobre el tratamiento de sus datos, vulnerando así el Reglamento (UE) 2018/1725. En su fallo, el TJUE aclaró que la seudonimización no excluye automáticamente los datos de la categoría de datos personales, pero subrayó que la obligación de informar recae sobre el responsable del tratamiento en el momento de la recopilación de los datos, antes de cualquier transferencia a terceros. Por tanto, el SRB debía haber informado a los afectados antes de transmitir sus datos, independientemente de si estos podían considerarse personales tras la seudonimización. Mas información