Las modificaciones en materia de datos
personales aparecen recogidas en los artículos 3 a 5 de la Propuesta. El
artículo 3 recoge los cambios que se pretenden introducir en el RGPD. Entre ellos se incluye la revisión de la definición misma de dato personal, mediante la un añadido que se presenta como una mera clarificación para
facilitar la determinación de cuando los datos resultantes de la
seudonimización no constituyen datos personales. Otras modificaciones previstas
del RGPD afectan a cuestiones como las siguientes. La introducción de una
definición amplia de “investigación científica” en el artículo 4.38 RGPD, que concurre
con otros cambios para facilitar el tratamiento de datos personales con tales
fines, incluyendo la precisión de que el tratamiento posterior con fines de
investigación científicos es compatible con el fin para el cual se recogieron
inicialmente los datos personales a los efectos del artículo 6.4 RGPD. La
previsión de dos excepciones adicionales a la prohibición del tratamiento de
categorías especiales de datos personales en el artículo 9.2 RGPD, con respecto
al tratamiento de datos biométricos para confirmar la identidad del interesado cuando
los datos y los medios de verificación estén bajo su control exclusivo, así como
respecto del tratamiento residual de datos personales para el desarrollo y
funcionamiento de un sistema de IA o un modelo de IA, cuando se respeten
determinadas condiciones conforme a un nuevo artículo 9.5. Los considerandos del
Reglamento propuesto incluyen precisiones acerca de la posibilidad de que ese
tipo de tratamiento de datos personales puedan tenerse como base para su
licitud el ser necesarios para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, de conformidad
con lo dispuesto en el artículo 6.1.f) RGPD, que, como es conocido, exige la
ponderación entre, de una parte tales intereses legítimos y, de otra intereses
o los derechos y libertades fundamentales del interesado que requieran la
protección de datos personales (cdos. 30 y 31 de la Propuesta de Reglamento). También
se contempla la flexibilización de la información que debe facilitarse en
virtud del artículo 13 RGPD cuando los datos personales se obtienen del
interesado en virtud, eliminando esta obligación en situaciones en las que cabe
suponer que el interesado ya dispone de la información. Con respecto al
artículo 22 RGPD, en materia de decisiones individuales automatizadas, se
contempla la modificación de la letra a) de su apartado 1, para precisar que la
concurrencia del requisito de necesidad para la celebración o la ejecución de
un contrato entre el interesado y un responsable del tratamiento, como
presupuesto para la admisibilidad de tales decisiones, es independiente de si
la decisión puede tomarse por medios distintos de los exclusivamente
automatizados. También destaca la introducción de un nuevo artículo 88 bis en
el RGPD, que se vincula con la integración en este instrumento del régimen contenido
ahora en el artículo 5.3 de la Directiva 2002/58 en relación con el
almacenamiento de información, o la obtención de acceso a la información ya
almacenada, en el equipo terminal de un abonado o usuario.
Por su parte, el artículo 4 de la Propuesta contempla
la proyección de los cambios relevantes en el RGPD establecidos en el artículo
3 en el régimen paralelo del Reglamento (UE) 2018/1725 relativo al tratamiento
de datos personales por las instituciones, órganos y organismos de la Unión.
Por último, el artículo 5 incluye las modificaciones en la Directiva 2002/58
sobre la privacidad y las comunicaciones electrónicas, entre las que merece
especial atención la modificación de su artículo 5.3 relativo al almacenamiento
de información, o la obtención de acceso a la información ya almacenada, en el
equipo terminal de un abonado o usuario, determinante, entre otras cuestiones
del régimen aplicable en relación con las cookies y herramientas similares. Por
su especial interés e impacto, me detendré en dos aspectos: la definición de dato personal en el artículo 4.1 del RGPD (I, infra) y la modificación
del artículo 5.3 de la Directiva 2002/58 e integración de su contenido, con cambios relevantes, en el
RGPD (II, infra).
I. Revisión de la definición de ‘dato personal’ y seudonimización
La Propuesta
contempla un cambio en el texto de la definición de dato personal, al añadir al texto actual
del artículo 4.1, una frase pretendidamente tan solo aclaratoria. Cabe recordar
que conforme a la definición actual el concepto «datos personales» abarca: “toda
información sobre una persona física identificada o identificable («el
interesado»)” y precisa que “se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona”. Lo que se prevé ahora es añadir
a continuación una frase en el sentido de que la información relativa a una
persona física no es necesariamente un dato personal para cualquier persona o
entidad, por el mero hecho de que otra entidad pueda identificar a esa persona
física. Se indica que la información no será personal para una entidad
determinada cuando dicha entidad no pueda identificar a la persona física a la
que se refiere la información, teniendo en cuenta los medios que razonablemente
pueda utilizar dicha entidad. En este sentido, la frase incluye la precisión
también de que dicha información no se convierte en personal para esa entidad
por el mero hecho de que un posible destinatario posterior disponga de medios
que razonablemente puedan utilizarse para identificar a la persona física a la
que se refiere la información.
La modificación se presenta como una mera aclaración, que facilitaría la apreciación de que
ciertos datos que en principio pueden ser considerados personales -en particular, aunque
no sólo, datos seudonimizados- dejan de ser considerados como tales cuando
sean tratados por entidades que no están en condiciones de poder identificar a
la persona física en cuestión. El criterio básico es que se consideran personales los datos que
permiten establecer un vínculo con la identidad del usuario mediante «los
medios que puedan ser razonablemente utilizados» por el responsable del
tratamiento o por cualquier tercero para identificar a dicha persona. Ahora bien, la concreción de ese criterio no está exenta de dificultades.
En particular, con respecto a datos seudonimizados, si bien el RGPD está construido sobre la base de que tales datos son datos personales, como resulta, por ejemplo, del considerando 26 y de la propia definición de “seudonimización” en el artículo 4.5, el TJUE admite que la seudonimización pueda afectar al carácter personal de tales datos respecto de terceros que no puedan eludir las medidas que les impiden efectivamente atribuir esos datos al interesado, de modo que para tales terceros el interesado no es identificable (STJUE de 4 de septiembre de 2025, CEPD / CRU (Notion de données à caractère personnel), C-413/23 P, EU:C:2025:645, apdos. 75-86). A partir de ese planteamiento, se pretende precisar que ciertos datos pueden ser datos personales para unas entidades, pero no para otras, como refleja expresamente el texto de la propuesta de nuevo artículo 41 bis RGPD, en relación con la posible adopción de actos de ejecución por la Comisión europea que aporten precisiones para llevar a cabo esa delimitación.
Un elemento de complejidad adicional viene representado por la circunstancia de que datos seudonimizados que son transmitidos por el responsable dejan de ser datos personales si quien los recibe no dispone de medios que permitan razonablemente la identificación del interesado, pero, sin embargo deben ser tratados como datos personales en el caso de su eventual transmisión posterior por esa entidad a terceros cuando no pueda excluirse que tales terceros puedan razonablemente atribuir los datos seudonimizados al interesado (cdo. 27 de la Propuesta de Reglamento y apdo. 85 de la mencionada sentencia STJUE). Ello se traduce en la exigencia para las entidades relevantes de aplicar la normativa sobre protección de datos personales a tales datos sólo en lo que respecta a esa transmisión y a cualquier tratamiento posterior de esos datos por esos terceros.
Por consiguiente, la caracterización como dato personal de los datos seudonimizados no depende sólo de la posición y los medios de identificación de quien los trata sino también eventualmente de los de ciertos terceros con los que interactúa o pueda interactuar en el futuro. En todo caso, la delimitación de cuándo un dato no debe ser considerado personal porque son sólo terceros quienes disponen de los medios de identificación permanece difusa y puede ser fuente de incertidumbre menoscabando la protección efectiva del derecho fundamental a la protección de datos. Por ejemplo, si quien trata los datos dispone de vías legales para obtener de otros información adicional que permitía identificar a esa persona debe considerarse dato personal (STJUE de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apdos 44-48, y STJUE de 7 de marzo de 2024, IAB Europe, C‑604/22, EU:C:2024:214, apdos, 43 y 48), pero el que tenga relaciones o pueda tenerlas con otra entidad que dispone de esa información parece que no afecta a la consideración como dato personal, salvo que opte por transmitir tales datos a esa otra entidad o que la relación entre ambas sea tal que lleve a concluir que quien trata los datos puede razonablemente utilizar la información de que dispone esa otra entidad para identificar a los interesados.
La nueva formulación propuesta, que no explicita que la precisión que se contempla va referida específicamente a datos seudonimizados, plantea el riesgo de restringir el concepto de dato personal más allá de lo que resulta de la actual jurisprudencia del Tribunal de Justicia, lo que podría menoscabar el nivel de protección de las personas físicas en relación con el tratamiento de datos personales como un derecho fundamental, con un impacto significativo más allá de la posibilidad de utilización de ciertos datos seudonimizados al margen del régimen del RGPD, que aparentemente es lo que la propuesta pretende clarificar.
II. Modificación del artículo 5.3 de la Directiva 2002/58 e integración
en el RGPD
Se contempla la introducción en el RGPD de un
nuevo artículo 88bis relativo al tratamiento de datos personales en o desde
equipos terminales, que actualmente es objeto de regulación en el artículo 5.3
de la Directiva 2002/58/CE, que será modificado en consecuencia (Directiva
sobre privacidad electrónica), quedando en buena medida vaciado de contenido,
al trasladar al RGPD la regulación de los aspectos relativos al tratamiento de
datos personales en estas situaciones, que resulta clave del tratamiento del
uso de cookies y otras tecnologías similares. En concreto, se prevé la adición
al actual artículo 5.3 de la Directiva 2002/58/CE, para
establecer que ese apartado dejará de ser aplicable si el abonado o usuario es
una persona física y la información almacenada o a la que se accede constituye
o da lugar al tratamiento de datos personales. En consecuencia, el régimen del
artículo 5.3 Directiva 2002/58/CE resultará básicamente de aplicación sólo con
respecto a datos no personales, pese a mantener su configuración tan restrictiva.
Con
carácter previo a la referencia al contenido de la reforma del RGPD, es cierto
que la pervivencia como régimen “paralelo” al RGPD de ciertas disposiciones de
la Directiva 2002/58 no deja de ser una anomalía, en el sentido de que la
intención declarada del legislador de la UE al adoptar el RGPD era revisar al
mismo tiempo la Directiva 2002/58 para asegurar la coordinación con el RGPD
antes de la entrada en vigor de éste, si bien las reformas legislativas en
relación con la Directiva 2002/58 para lograr esa coordinación siguen sin ser
adoptadas.
El previsto nuevo artículo 88bis del RGPD incluiría
en este instrumento el requisito del consentimiento para el almacenamiento o el
acceso a datos personales en los equipos terminales de personas físicas, y dejaría
claro que el tratamiento de datos personales en y desde equipos terminales está
sometido a las normas del RGPD. Además, con el propósito de reducir la carga
que supone el cumplimiento de ese requisito a los responsables del tratamiento
así como limitar la proliferación de banners sobre cookies para los usuarios, respecto de determinados fines del tratamiento que se considera
que suponen un riesgo bajo para los derechos y libertades de los interesados o en
situaciones en las que el tratamiento puede ser necesario para prestar un servicio
solicitado por el interesado, se establece en el apartado 3 del artículo 88bis una
lista taxativa de fines para los que se permite el tratamiento sin
consentimiento por el interesado. En concreto, la lista incluye los tratamientos
necesarios para: a) la transmisión de una comunicación electrónica a través de
una red de comunicaciones electrónicas; (b) prestar un servicio solicitado
expresamente por el interesado; (c) crear información agregada sobre el uso de
un servicio en línea para medir la audiencia de dicho servicio, cuando lo lleve
a cabo el responsable de dicho servicio en línea exclusivamente para su propio
uso; o (d) mantener o restablecer la seguridad de un servicio prestado por el
responsable y solicitado por el interesado o el equipo terminal utilizado para
la prestación de dicho servicio.
Se precisa, además, que cuando resulta
exigible el consentimiento operan ciertas reglas adicionales, detalladas en el
apartado 4 del artículo 88bis. En particular, se prevé que el interesado podrá
rechazar las solicitudes de consentimiento de forma fácil e inteligible con un
solo clic o un medio equivalente; que si el interesado da su consentimiento, el
responsable del tratamiento no podrá realizar una nueva solicitud de consentimiento
para la misma finalidad durante el período en el que el responsable del
tratamiento pueda basarse legalmente en el consentimiento del interesado; y que
si el interesado rechaza una solicitud de consentimiento, el responsable del
tratamiento no podrá realizar una nueva solicitud de consentimiento para la
misma finalidad durante un período de al menos seis meses.
Se prevé también la introducción de un nuevo
artículo 88ter al RGPD, relativo a las indicaciones automatizadas y legibles
por máquina de las opciones individuales y al respeto de dichas indicaciones
por parte de los proveedores de sitios web una vez que se disponga de normas o
estándares al respecto.
