Antecedentes
Tras la resolución de Banco Popular Español, el 7 de junio de 2017, la Junta Única de Resolución (en adelante, «JUR») adoptó una decisión preliminar sobre si era necesario conceder una compensación a los antiguos accionistas y acreedores de dicho banco como consecuencia de esa resolución. Dado que esa decisión se adoptó sin oír a esas personas, la JUR organizó posteriormente un procedimiento para permitirles presentar observaciones sobre dicha decisión preliminar.
En el marco de ese procedimiento, la JUR transmitió algunos de esos comentarios, en forma de datos seudonimizados, a una gran multinacional británica especializada en auditoría y consultoría (en adelante, «multinacional») encargada por la JUR de llevar a cabo una valoración de los efectos del procedimiento de resolución sobre accionistas y acreedores.
Varios accionistas y acreedores afectados presentaron reclamaciones ante el Supervisor Europeo de Protección de Datos (en adelante, «SEPD»), alegando que la JUR no les había informado de que sus datos serían transmitidos a terceros, concretamente a la multinacional.
El SEPD consideró que, en este caso, la multinacional era un destinatario de los datos personales de los reclamantes. Además, estimó que la JUR había incumplido la obligación de información establecida en el Reglamento 2018/1725 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos. La JUR interpuso un recurso de anulación contra la decisión del SEPD ante el Tribunal General de la Unión Europea. El Tribunal General estimó parcialmente el recurso y anuló la decisión en cuestión.
Al conocer del recurso de casación interpuesto por el SEPD, el Tribunal de Justicia anuló la sentencia del Tribunal General y devolvió el asunto a este último.
Resolución del Tribunal de Justicia de la Unión Europea
En primer lugar, el Tribunal de Justicia de la Unión Europea consideró que el Tribunal General incurrió en error de derecho al declarar que el SEPD, para concluir que la información contenida en los comentarios transmitidos a la multinacional “se refería”, en el sentido del Reglamento 2018/1725, a las personas que presentaron dichos comentarios, debía haber examinado el contenido, la finalidad o los efectos de esos comentarios.
El Tribunal de Justicia subraya que era un hecho incontrovertido que se trataba de opiniones o puntos de vista personales de sus autores. Tales opiniones, como expresión del pensamiento de una persona, están necesariamente vinculadas estrechamente a ella.
En segundo lugar, el Tribunal de Justicia confirmó que el Tribunal General tenía razón al señalar que los datos seudonimizados no deben considerarse en todos los casos y para cualquier persona como datos personales a efectos del Reglamento 2018/1725.
De acuerdo con la normativa y la jurisprudencia, la seudonimización puede, según las circunstancias, impedir efectivamente que personas distintas del responsable del tratamiento identifiquen al interesado, de modo que este no resulte identificable. El Tribunal recordó su jurisprudencia sobre la apreciación de la identificabilidad cuando la información que permite identificar al interesado no está en poder de otras personas.
En tercer lugar, el Tribunal de Justicia concluyó que el Tribunal General también incurrió en error de derecho al considerar que, para evaluar si la JUR había cumplido con su obligación de informar, el SEPD debía haber examinado si, desde el punto de vista de la multinacional, los comentarios transmitidos constituían datos personales.
El Tribunal de Justicia aclara que la perspectiva relevante para evaluar la identificabilidad de los interesados depende de las circunstancias del tratamiento de datos en cada caso concreto.
La obligación de informar forma parte de la relación jurídica entre el interesado y el responsable del tratamiento, y se refiere a la información tal como fue transmitida al responsable, antes de cualquier transferencia a terceros. Por ello, la identificabilidad del interesado debe evaluarse en el momento de la recogida de los datos y desde el punto de vista del responsable del tratamiento.
La obligación de información de la JUR era aplicable antes de la transferencia de los datos en cuestión y con independencia de que esos datos constituyeran o no datos personales desde la perspectiva de la multinacional tras una eventual seudonimización.
Fuente: Tribunal de Justicia de la Unión Europea
Documentos relacionados
Prácticos
- Política de las telecomunicaciones de la Unión Europea. Práctico de Derecho de la Unión Europea (Septiembre 2025). Escrito por Carmen Pérez González (Catedrática de Derecho Internacional público y relaciones internacionales).
- Espacio europeo de libertad, seguridad y justicia. Práctico de Derecho de la Unión Europea (Septiembre 2025). Escrito por Carmen Pérez González (Catedrática de Derecho Internacional público y relaciones internacionales).
Artículos Doctrinales
- Cuestiones fundamentales en el derecho a la protección de los datos de carácter personal. (ISBN: 978-84-121579-4-9). Escrito por Miguel Marcos Ayjón. Letrado de la Administración de Justicia de Primera categoría.
Legislación
