noviembre 22, 2022
Sergio Capellán Derecho Digital y de la Sociedad de la Información, Protección de Datos , , , , , ,

Anonimización de datos personales en resoluciones judiciales

I. INTRODUCCIÓN

En muchas ocasiones, cuando tenemos que analizar un caso concreto y buscamos jurisprudencia que nos pudiera dar una cierta ventaja respecto de la parte contraria, acudimos a grandes bases de datos como puede ser el Centro de Documentación Judicial (CENDOJ). Ya en estas bases de datos introducimos los parámetros que mejor se ajusten bien a la materia que estamos estudiando, bien en una horquilla temporal determinada para, finalmente, poder hacer esta selección de contenido.

Pero estoy seguro que, en algún momento, hemos dado con alguna resolución judicial de algún caso de envergadura, algún caso mediático y conocido. Un caso dónde las partes tienen nombre y apellido en televisión pero, luego, en la sentencia vemos como sus nombres[1] cambian o no se corresponden. Viene por tanto, la incógnita ¿Esto a que se debe principalmente?

Hemos de comenzar aludiendo a la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (en adelante LOPJ), concretamente a su artículo 236 quinquies en el cual se recoge el tratamiento de información y datos de carácter personal en relación con el ejercicio del derecho de tutela judicial efectiva. Este precepto, en su punto segundo (art. 236 quinquies. 2) habilita a los Jueces y Magistrados así como a Fiscales y Letrados de la Administración de Justicia para proceder a la supresión de datos personales en resoluciones y en los documentos que se trasladarán a las partes en el seno de un procedimiento siempre y cuando no sean necesarios para, como indicábamos antes, garantizar el derecho de tutela judicial efectiva.

Este mismo precepto no se ha mantenido estático en el tiempo sino que se ha visto modificado en, al menos, dos ocasiones, con motivo del artículo único de la Ley Orgánica 7/2015, de 21 de julio y de la Disposición Final Tercera de la Ley Orgánica 7/2021, de 26 de mayo, siendo esta última la encargada de adicionar los puntos 5 y 6 al art. 236 quinquies de la LOPJ.

Conviene hacer una breve parada en la más reciente de estas modificaciones (la operada por la Ley Orgánica 7/2021, de 26 de mayo). Con la entrada en vigor del Reglamento 679/2016, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (en adelante RGPD) cuestiones como la que hoy tratamos quedaron reforzadas. A la vista queda el Considerando (20) del RGPD que manifiesta lo siguiente:

“[…] A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos.”

La aplicación del RGPD supuso la entrada de estas premisas dentro del marco normativo nacional siendo ejemplo de ellos el contenido de los artículos 236 quinquies a 236 decies de la LOPJ que, por razones de extensión, referenciaremos únicamente pero cuyo contenido hace referencia expresa al tratamiento de los datos personales dentro del procedimiento y en las resoluciones que emanen de los mismos[2].

Sin embargo, esta regla de preservación de identidad de las partes no siempre se ve aplicada a la totalidad del entramado jurisdiccional nacional.

Dentro del engrama judicial podemos encontrar posiciones como la sostenida por el Tribunal Constitucional, tal y como cabe extraer del Acuerdo de 23 de julio de 2015, del Pleno del Tribunal Constitucional, por el cuál se regula la exclusión de los datos de identidad personal en la publicación de las resoluciones jurisdiccionales[3].

Así, la regla establecida por el artículo 1 de dicho Acuerdo, interpretado a contrario sensu, nos permite afirmar que se hará efectiva la publicación de los datos identificativos de las partes siempre y cuando las mismas no se encuentren comprendidas en las categorías enunciadas en este mismo artículo o en los artículos 2 y 3 que le suceden.

“Artículo 1.

El Tribunal Constitucional en sus resoluciones jurisdiccionales preservará de oficio el anonimato de los menores y personas que requieran un especial deber de tutela, de las víctimas de delitos de cuya difusión se deriven especiales perjuicios y de las personas que no estén constituidas en parte en el proceso constitucional.”

II. ANONIMIZACIÓN Y PSEUDONIMIZACIÓN

Por tanto, ahora cabe preguntarse el modo en el que se produce esta salvaguarda de las partes inmersas en un procedimiento sobre el que ha recaído ya sentencia. Hemos de tornar la mirada, nuevamente, al RGPD y más concretamente al Considerando (26) que, de una forma muy clara, explica por que hablar de anonimización y de pseudonimización no es referirse al mismo concepto.

Por ser más concretos, podemos extraer estas dos ideas clave:

1.- Los datos pseudonimizados[4], al no suponer la eliminación de la totalidad de variables, parámetros o identificadores que pueden ir asociados, puede que, toda vez se pongan estos datos en relación con otras fuentes de información, sea posible identificar a una persona física potencialmente identificable (en relación con el art. 4.1º del RGPD).

2.- Cuando hablamos de información o datos anonimizados, no cabe referir a la protección emanada del RGPD en tanto, como manifiesta el Considerando (26) in fine, al tratarse de información no susceptible de ser relacionada con una persona identificada o identificable por ningún medio técnico posible, el Reglamento no aplica en el tratamiento de información anónima.

La anonimización no deja de ser, visto con un ejemplo gráfico, la ruptura de eslabones de una cadena que, en su totalidad, suponen la posible identificación de una persona concreta. Con esta fractura, varios eslabones quedan totalmente separados, la cadena desvencijada y sin posibilidad de unificarlos o reordenarlos para obtener la cadena original[5].

La pseudonimización sería un procedimiento cuya finalidad última es la misma que la del proceso de anonimización pero, a través de técnicas que intentar opacar la reordenación de estos datos adicionales (identificadores). No obstante, es posible, atendiendo a técnicas de análisis, tratamiento y reordenación de datos y a tecnologías íntimamente vinculadas al Big Data y a la Inteligencia Artificial (plasmada en sistemas que hacen uso del Machine-Learning) dificultar estas labores de salvaguarda y garantía de preservación de la privacidad.

No obstante, no es posible afirmar con rotundidad que los procesos de anonimización supongan un muro de contención pleno frente a la posibilidad de garantizar la no reidentificación de personas. Las técnicas implementadas para lograr hacer efectivo este proceso de anonimización fueron planteadas y estudiadas por el ya “extinto” Grupo de Trabajo del artículo 29[6] (ahora rebautizado en el European Data Protection Board[7] o EDPB) en su Dictamen 05/2014 (WP216) sobre técnicas de anonimización, adoptado el 10 de abril de 2014.

De igual forma, la Agencia Española de Protección de Datos (en adelante AEPD), en su Guía sobre Orientaciones y garantías en los procedimientos de ANONIMIZACIÓN de datos personales[8], publicada en 2016, realizaba un selección de algunas de las técnicas de anonimización. Entre ellas se encontraban:

  • Algoritmos de Hash
  • Algoritmos de cifrado
  • Sello de tiempo
  • Capas de anonimización
  • Perturbación de datos
  • Reducción de datos

En esta Guía, la AEPD desarrolla una noción de cada una de estas técnicas (en opinión de un servidor, los algoritmos de Hash y de cifrado son muy interesantes para una lectura inicial al respecto de su implementación como mecanismo de anonimización) y pone en relación la plasticidad de éstas así como la posibilidad de hibridar distintas técnicas con el objetivo de alcanzar esas cotas superlativas de protección.

III. CONCLUSIÓN

A modo de resumen, de todo lo comentado en esta publicación, considero que es posible inferir al menos tres conclusiones clave que, a continuación, procederé a enunciar:

PRIMERO.  La protección de los datos personales de las partes implicadas en un procedimiento judicial, toda vez que recaiga sentencia y ésta sea publicada, con carácter general, quedan salvaguardados y anonimizados para que no pueda identificarse a las personas físicas. En el caso de las personas jurídicas esta norma no aplica.

SEGUNDO. No obstante, esto no sucede en la totalidad de los órganos judiciales. Encontramos excepciones como es el caso del Tribunal Constitucional que, con carácter general, publica los datos identificativos de las partes implicadas en el proceso.

TERCERO. El concepto de anonimización y el concepto de pseudonimización se refieren a dos situaciones diferentes y no han de entenderse como sinónimos puesto que; mientras en el primero, es técnica y objetivamente (casi) imposible poder reidentificar a una persona identificable, se trata de información que no puede ser asociada a un particular; en el segundo, a pesar de salvaguardar la protección de los datos personales mediante medidas técnicas y organizativas, es posible reidentificar a un sujeto particular toda vez que se acuda a información adicional.

Anonimización de los datos personales en resoluciones judiciales

 

[1] En este punto, es necesario aludir al Considerando (14) del RGPD que establece de forma expresa que el ámbito regulatorio del mismo excluye a aquellos datos personales relativos a personas jurídicas, particularmente a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto. Por ello, es posible que, cuando una resolución judicial aluda a una persona jurídica o a una mercantil concreta, en la propia sentencia se publique el nombre y la forma societaria real de la misma sin que se hubiera procedido a la anonimización o pseudonimización. Uno de tantos ejemplos sería la reciente STS 4064/2022, de 2 de noviembre de 2022 (Rec. 5760/2021).

[2] El Reglamento 1/2005, de los aspectos accesorios de las actuaciones judiciales (Acuerdo de 15 de septiembre de 2005, del Pleno del Consejo General del Poder Judicial, por el que se aprueba el Reglamento 1/2005, de los aspectos accesorios de las actuaciones judiciales) establece en su artículo 7 el proceder que ha de seguirse a la hora de realizar la publicación oficial de las sentencias y otras resoluciones, bien del Tribunal Supremo, bien del resto de órganos judiciales, para velar por su integridad, autenticidad y acceso cumpliendo con las salvaguardar normativas aplicables, entre ellas la protección de los datos de las partes implicadas.

[3] Disponible en: https://www.boe.es/buscar/pdf/2015/BOE-A-2015-8372-consolidado.pdf

[4] El Considerando (26) ha de ser interpretado en relación con los Considerandos (28), (29) y (30), de igual importancia y envergadura a la hora de establecer la importancia de los procesos de pseudonimización, de las medidas técnicas a adoptar para proveer de garantías a los datos personales que se ven sometidos a este procedimiento y, en el caso del último Considerando referido, la importancia de delimitar el concepto de identificador.

[5] La AEPD, en su nota técnica “La K-Anonimidad como medida de la privacidad” define el proceso de anonimización como el consistente en disociar de los identificadores el resto de los datos más genéricos asociados a un sujeto como la fecha de nacimiento, el municipio de residencia, el género, etc. Documento recuperado de: https://www.aepd.es/es/documento/nota-tecnica-kanonimidad.pdf

[6] El Grupo de Trabajo del artículo 29 (GT Art. 29) es el grupo de trabajo europeo independiente que se ha ocupado de cuestiones relacionadas con la protección de la privacidad y los datos personales hasta el 25 de mayo de 2018 (entrada en aplicación del RGPD).

[7] En fecha de 11 de junio de 2018 se hizo pública la noticia de la extinción del Grupo de Trabajo del Artículo 29, “THE ARTICLE 29 WORKING PARTY CEASED TO EXIST AS OF 25 MAY 2018”. Recuperada de: https://ec.europa.eu/newsroom/article29/items/629492/en

[8] Recuperada de: https://www.aepd.es/es/documento/guia-orientaciones-procedimientos-anonimizacion.pdf

Share this content: