La Distinción de 20 Millones de Euros
El Artículo 83 del GDPR establece multas máximas de 20 millones de euros o el 4% de los ingresos anuales globales, lo que sea mayor, para las violaciones más graves. La distinción entre anonimización y pseudonimización determina si el GDPR se aplica a un conjunto de datos en absoluto — y si se aplica la exposición máxima a multas.
El Considerando 26 del GDPR define el umbral de anonimización: "Los principios de protección de datos no deben aplicarse, por lo tanto, a la información anónima, es decir, información que no se relaciona con una persona física identificada o identificable o con datos personales que se han hecho anónimos de tal manera que el interesado no sea o ya no sea identificable." La frase clave: "no o ya no identificable" — por cualquier medio razonablemente probable de ser utilizado, por el controlador de datos, cualquier procesador o cualquier tercero.
El Artículo 4(5) del GDPR define la pseudonimización: "el tratamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un sujeto de datos específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado." Los datos pseudonimizados no son explícitamente anónimos — "ya no pueden atribuirse... sin el uso de información adicional." Los datos pseudonimizados siguen siendo datos personales bajo el GDPR.
La implicación práctica: una organización que cree que su conjunto de datos de análisis está "anonimizado" (fuera del GDPR) cuando en realidad está "pseudonimizado" (dentro del GDPR) tiene entradas incorrectas en el Artículo 30 ROPA, procedimientos insuficientes de derechos de los interesados, períodos de retención inadecuados, falta de salvaguardias de transferencia de datos para cualquier procesamiento de análisis transfronterizo, y ningún mecanismo para responder a las solicitudes de derecho a la supresión. Cada una de estas deficiencias es una violación independiente del GDPR.
La Señal de Cumplimiento del CEF
El Marco de Cumplimiento Coordinado de la EDPB de 2025 identificó específicamente "técnicas de anonimización ineficientes utilizadas como alternativa a la eliminación" como un fallo recurrente en el cumplimiento. Este hallazgo señala que las DPAs están evaluando la calidad de la anonimización, no solo la presencia o ausencia de un paso de anonimización.
El Caso de Uso de la Empresa de Análisis de Datos de los Países Bajos ilustra el enfoque correcto: una empresa que ofrece conjuntos de datos de clientes "anonimizados" a investigadores de terceros utiliza el método Redact (eliminación permanente de PII sin mapeo de tokens). El conjunto de datos resultante no tiene un camino hacia la reidentificación — sin clave, sin tabla de tokens, sin preimagen de hash — cumpliendo con el umbral del Considerando 26 del GDPR. El DPO documenta esta determinación en el DPIA: método utilizado, tipos de identificadores cubiertos, base de irreversibilidad, evaluación del riesgo residual de reidentificación. El conjunto de datos está fuera del alcance del GDPR. Las obligaciones del GDPR (incluidos los derechos de los interesados, límites de retención y salvaguardias de transferencia) no se aplican a las copias de investigación de terceros.
Selección de Método por Objetivo de Cumplimiento
Fuera del alcance del GDPR (verdadera anonimización): Utilizar Redact (eliminación permanente) o Hash (de valores de alta entropía, no adivinables). Documentar la base de la anonimización. No se aplican obligaciones del GDPR al resultado.
Dentro del alcance del GDPR con riesgo reducido (pseudonimización): Utilizar Replace, Mask o Encrypt. Todas las obligaciones del GDPR continúan aplicándose. La pseudonimización reduce el riesgo de daño por acceso no autorizado pero no elimina el alcance del GDPR.
Reversibilidad controlada (investigación, auditoría, descubrimiento): Utilizar Encrypt con claves mantenidas por el cliente. Se aplica el GDPR. Los arreglos de custodia de claves deben cumplir con los requisitos de separación de claves de las Directrices 05/2022 de la EDPB. Documentar el dominio de pseudonimización.
Fuentes: