Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-413/23 P, de 4 de agosto de 2025 aborda el recurso de casación sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales, específicamente en el contexto de un procedimiento de compensación a accionistas y acreedores tras la resolución de una entidad de crédito.
El litigio se origina por una Decisión del Supervisor Europeo de Protección de Datos (EDPS), quien constató que la Junta Única de Resolución (SRB) del Banco Popular de España había incumplido sus obligaciones en materia de tratamiento de datos personales durante el proceso de transmisión de datos seudonimizados a un tercero. La controversia se centra en la interpretación y la correcta aplicación de los conceptos de “datos personales” (artículo 3.1) y “seudonimización” (artículo 3.6) según el Reglamento (UE) 2018/1725, así como la obligación de informar al interesado conforme al artículo 15.1.d) del mismo reglamento.
La sentencia establece que:
- Los datos transmitidos, aunque seudonimizados, siguen siendo “datos personales” sí existe la posibilidad de identificar indirectamente a la persona afectada, lo cual requiere la aplicación de las mismas garantías que para el tratamiento ordinario.
- La seudonimización, definida como el tratamiento de datos de modo que ya no puedan atribuirse a una persona sin información adicional, no elimina el carácter personal de los datos si esa información existe o puede ser accesible.
- La SRB incumplió sus deberes al transmitir datos seudonimizados sin asegurar la debida información al interesado sobre dicha transmisión y tratamiento, vulnerando el artículo 15.1.d) del Reglamento. Se destaca la obligación de transparencia e información, incluso cuando se utilicen técnicas que dificulten la identificación.
La sentencia marca un precedente relevante sobre el alcance del concepto de “datos personales” y sobre la exigencia de transparencia en la transmisión, incluso bajo seudonimización, reafirmando la interpretación amplia de los deberes de las autoridades y el derecho de los interesados a la información clara y completa sobre el tratamiento de sus datos.
El Tribunal confirma la posición del Supervisor Europeo de Protección de Datos contra la Junta Única de Resolución del Banco Popular, reforzando los derechos de los titulares y las obligaciones de los responsables en materia de privacidad y protección de datos bajo el Reglamento (UE) 2018/1725: anula la sentencia del 26 de abril de 2023, devuelve los actuados al Tribunal General y reserva su decisión sobre las costas.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_________________________________________________________
| Diario Oficial de la Unión Europea | ES Serie C |
| C/2025/5551 | 27.10.2025 |
Sentencia del Tribunal de Justicia (Sala Primera) de 4 de septiembre de 2025 – SEPD / JUR (Concepto de datos personales)
(Asunto C-413/23 P) (1)
(Recurso de casación – Protección de las personas físicas en lo que respecta al tratamiento de datos personales – Procedimiento de compensación a los accionistas y acreedores a raíz de la resolución de una entidad de crédito – Decisión del Supervisor Europeo de Protección de Datos por la que se constata el incumplimiento por la Junta Única de Resolución de sus obligaciones en materia de tratamiento de datos personales – Reglamento (UE) 2018/1725 – Artículo 15, apartado 1, letra d) – Obligación de información al interesado – Transmisión de datos seudonimizados a un tercero – Artículo 3, punto 1 – Concepto de «datos personales» – Artículo 3, punto 6 – Concepto de «seudonimización»)
(C/2025/5551)
Lengua de procedimiento: inglés
Partes
Recurrente: Supervisor Europeo de Protección de Datos (SEPD) (representantes: inicialmente P. Candellier, G. Devin, X. Lareo, D. Nardi y T. Zerdick y posteriormente P. Candellier, X. Lareo, D. Nardi, N. Stolić y T. Zerdick, agentes)
Otra parte en el procedimiento: Junta Única de Resolución (JUR) (representantes: H. Ehlers, M. Fernández Rupérez y A. Lapresta Bienz, agentes, asistidos por M. Braun, H.-G. Kamann, Rechtsanwälte, y F. Louis, avocat)
Parte coadyuvante en apoyo de la parte recurrente: Comité Europeo de Protección de Datos (representantes: C. Foglia, M. Gufflet, M. G. Le Grand y I. Vereecken, agentes, asistidos por E. de Lophem, avocat, G. Ryelandt, advocaat, y P. Vernet, avocat)
Parte coadyuvante en apoyo de la otra parte en el procedimiento: Comisión Europea (representantes: A. Bouchagiar y H. Kranenborg, agentes)
Fallo
| 1) | Anular la sentencia del Tribunal General de 26 de abril de 2023, JUR/SEPD (T-557/20, EU:T:2023:219). |
| 2) | Devolver el asunto T-557/20 al Tribunal General. |
| 3) | Reservar la decisión sobre las costas. |
ELI: http://data.europa.eu/eli/C/2025/5551/oj
ISSN 1977-0928 (electronic edition)
____________________________
| 21.8.2023 | ES | Diario Oficial de la Unión Europea | C 296/24 |
Recurso de casación interpuesto el 5 de julio de 2023 por el Supervisor Europeo de Protección de Datos contra la sentencia del Tribunal General (Sala Octava ampliada) dictada el 26 de abril de 2023 en el asunto T-557/20, Junta Única de Resolución / Supervisor Europeo de Protección de Datos
(Asunto C-413/23 P)
(2023/C 296/26)
Lengua de procedimiento: inglés
Partes
Recurrente: Supervisor Europeo de Protección de Datos (SEPD) (representantes: D. Nardi, T. Zerdick, P. Candellier, X. Lareo, G. Devin, agentes)
Otra parte en el procedimiento: Junta Única de Resolución (JUR)
Pretensiones de la parte recurrente
La parte recurrente solicita al Tribunal de Justicia que:
| — | Anule la sentencia recurrida en su totalidad. |
| — | Resuelva definitivamente el litigio. |
| — | Condene a la JUR al pago de las costas tanto del procedimiento de casación como del procedimiento ante el Tribunal General. |
Motivos y principales alegaciones
En apoyo de su recurso de casación, la recurrente invoca los dos motivos siguientes:
Primer motivo, basado en la interpretación errónea del artículo 3, puntos 1 y 6, del Reglamento (UE) 2018/1725, (1) tal como ha sido interpretado por la jurisprudencia del Tribunal de Justicia, al exigir al SEPD que evalúe si la información en cuestión en el asunto constituía datos personales teniendo en cuenta el punto de vista del destinatario y al no tener en cuenta el concepto de seudonimización.
Segundo motivo, basado en la interpretación errónea del artículo 4, apartado 2, y del artículo 26, apartado 1, del Reglamento 2018/1725 al no tomar en consideración el principio de responsabilidad proactiva y al declarar que el SEPD debería haber probado que la JUR había anonimizado efectivamente los datos personales que trataba.
(1) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO 2018, L 295, p. 39).
