Un dato es personal o anónimo según quien lo observe, cual gato de Schrödinger jurídico.
La paradoja de Erwin Schrödinger nos ilustra que, en la mecánica cuántica, un gato en una caja puede estar vivo y muerto a la vez, dependiendo de un evento aleatorio que solo puede determinarse a través de la observación. ¿Quién iba a pensar que tal paradoja sería aplicada alguna vez a los conceptos básicos que definen la protección de datos personales en un ordenamiento jurídico?
La aplicación de un experimento mental de superposición cuántica al mundo de los datos personales, por muy disparatada que suene, tiene hoy cabida gracias a distintos fallos en la Unión Europea que desafían el estándar según el cual la protección legal de los datos personales –y, con ello, el cumplimiento de los deberes en cabeza de responsables y encargados del tratamiento– no se extiende a la información anonimizada.
Particularmente, la sentencia del Tribunal de Justicia de la Unión Europea (C-413/23 P), en el asunto del Supervisor Europeo de Protección de Datos contra la Junta Única de Resolución (EDPS v. SRB, por sus siglas en inglés), así como otros precedentes como Breyer (Caso C-582/14) y Scania (Caso C-319/22), permiten plantear el siguiente escenario: si una base de datos de la Empresa A contiene datos de naturaleza personal que han sido “seudonimizados” (es decir, transformados de manera que no puedan atribuirse a una persona determinada sin el uso de información adicional como llaves o mecanismos de desencriptación), y dicha información es compartida con la Empresa B, este receptor no tendría que tratar esos datos como personales, siempre que sea incapaz, técnica o jurídicamente, de revertir la seudonimización, y no los comparta con terceros que sí puedan reidentificar a la persona.
Esta interpretación plantea una paradoja en la que es posible sostener que la información “seudonimizada” o “despersonalizada” no siempre constituye datos personales para todos los casos ni para todos los sujetos. Dependiendo de las circunstancias, un mismo dato puede ser personal para unos –y, por tanto, sometido a regulación– y, simultáneamente, anónimo para otros y por consiguiente exceptuado de las normas.
De esta forma surge la denominada doctrina relativa del dato personal, según la cual un dato solo será personal para quien cuente con medios razonables para vincularlo con un individuo. Esto contrasta con la doctrina clásica o absoluta, acogida en las definiciones de nuestra legislación, que entiende por dato personal cualquier información que identifique o haga identificable a una persona natural, ya sea de manera directa o indirecta, incluso cuando dicha identificación sea remota o improbable.
Así, la única forma de determinar cuándo una información constituye dato personal –y, por consiguiente, cuándo resultan aplicables los derechos y obligaciones del régimen de habeas data– es evaluar el momento en que dicha información es recolectada o recibida por un sujeto específico, con el fin de establecer si, para este, es posible identificar o hacer identificable a una persona.
De esta manera, la paradoja de Schrödinger se materializa: un dato puede ser personal y no personal al mismo tiempo, hasta que es evaluado y “observado” desde la perspectiva del responsable de la información o su receptor.
Pero ¿qué implicaciones prácticas trae consigo esta interpretación? Son diversas. Si se acoge la tesis planteada por los precedentes mencionados, sobre la Empresa A recaerían todas las obligaciones derivadas del régimen de habeas data en su calidad de responsable del tratamiento conforme a la Ley 1581 de 2012. Sin embargo, en ese mismo escenario, a la Empresa B no le serían exigibles tales deberes, ni siquiera como encargado del tratamiento, puesto que estaría frente a información que no tiene la naturaleza de personal y que, por consiguiente, quedaría excluida del régimen.
Esta aproximación implicaría, por ejemplo, reevaluar la necesidad de celebrar acuerdos de procesamiento o de transmisión de datos cuando se comparta información seudonimizada que, para el receptor, ya sea en Colombia o en otra jurisdicción, no permita técnica ni jurídicamente identificar a un individuo. También llevaría a replantear las medidas de debida diligencia al interior de las empresas o grupos empresariales, pues un mismo dato, por más “seudonimizado” que se encuentre, puede seguir permitiendo la reidentificación del titular mediante el uso de información adicional para ciertos actores, mientras que para otros no necesariamente tendría ese carácter identificable. Incluso podría cuestionar posturas sostenidas por autoridades a nivel global, incluida nuestra Superintendencia de Industria y Comercio, según las cuales una dirección IP constituye un dato personal (Concepto N° 14-268971 y Res. N° 79573/15), en la medida en que no siempre sería posible utilizar ese dato para reidentificar a alguien dadas ciertas limitaciones técnicas o jurídicas.
Las implicaciones no son menores, pues tienen el potencial de determinar la aplicación o exclusión del régimen de protección de datos. Nuestra Superintendencia no puede ser ajena a esta discusión y en algún momento tendrá que tomar partido. La aplicabilidad del régimen de protección de datos conlleva consecuencias significativas, dada su relación estrecha con derechos fundamentales y la protección de la privacidad en un mundo cada vez más globalizado.
