El 18 de mayo de 2026, InDiCo-Global organizó un seminario web que marcó un hito significativo: una década desde la adopción del RGPD. La sesión — «RGPD y anonimización: De la legislación a las soluciones técnicas y la definición de normas» — reunió a expertos en defensa de los consumidores, práctica jurídica, normalización técnica y consultoría en materia de datos para examinar cómo se entiende y aplica en la práctica la anonimización, y si los enfoques actuales siguen el ritmo del cambio tecnológico.
El debate puso de manifiesto que la anonimización no es solo una cuestión técnica. Ocupa un lugar central en el Derecho, la protección de los consumidores, la responsabilidad organizativa y el desarrollo de normas. Si bien el RGPD sigue siendo deliberadamente neutro desde el punto de vista tecnológico, los oradores destacaron que la falta de orientaciones concretas hace que tanto los consumidores como los responsables del tratamiento de datos se enfrenten a una incertidumbre significativa.
El seminario web fue acogido favorablemente y presentado por Francesco Panella, analista político y consultor en Martel Innovate, con Xavier Piednoir, coordinador del proyecto InDiCo-Global? enmarcar los temas principales de la sesión. Xavier señaló que la protección de datos no es un reto exclusivamente de la UE, sino que refleja los valores de la UE que InDiCo-Global pretende integrar en las normas digitales, y que las cuestiones digitales no reconocen las fronteras.
Una década después: balance de la situación
En la sesión se analizó la relación histórica entre el desarrollo del RGPD y las prácticas de anonimización de datos del momento, examinando en qué medida la legislación y la innovación técnica han evolucionado gradualmente desde entonces. La respuesta, desde todos los puntos de vista, fue variada. El RGPD estableció un marco histórico, pero su diseño deliberadamente neutro desde el punto de vista tecnológico dejó sin resolver cuestiones críticas de aplicación, y tanto las normas jurídicas como las técnicas han tenido dificultades para seguir el ritmo de la evolución del panorama de datos. Como Xavier observamos que, diez años después, el ámbito sigue trabajando a través de estas mismas cuestiones fundacionales.
La perspectiva de los consumidores
Chiara Manfredini, responsable de asuntos jurídicos y políticos de la Oficina Europea de Uniones de Consumidores (BEUC), representa a más de 40 grupos miembros, abiertos subrayando el poder que se enmarca en una única definición jurídica. El RGPD solo se aplica cuando se tratan datos personales, lo que significa que, sin esa clasificación, no se aplica la protección de datos concedida por el Reglamento. La definición de datos personales es el punto de partida de toda protección.
El RGPD no define explícitamente los datos anónimos, dejando la frontera entre datos anónimos y seudónimos a una evaluación caso por caso. La propuesta «ómnibus digital» de la Comisión Europea, de noviembre de 2025, intentó aportar claridad, pero la Comité Europeo de Protección de Datos y Supervisor Europeo de Protección de Datos (CEPD y SEPD) advirtió de que los cambios propuestos podrían restringir el concepto de datos personales.
La perspectiva del responsable del tratamiento
Dra. Magdalena G � ralczyk, jefe de Protección de Datos en White Label Consultancy, llevó la perspectiva del responsable del tratamiento a la mesa. Trabajando principalmente con grandes organizaciones mundiales, observó que las empresas y los consumidores están unidos por la misma frustración: la frontera entre los datos personales y los anónimos sigue siendo controvertida, tanto desde el punto de vista jurídico como técnico.
El RGPD presenta a los responsables del tratamiento un sistema binario: o bien los datos son personales y se aplica todo el peso del Reglamento, o bien son anónimos y la ley no se aplica en absoluto. No existe una base intermedia, un marco intermedio ni orientaciones oficiales sobre lo que constituye una anonimización suficiente. Los responsables del tratamiento deben realizar esta determinación por sí mismos, a diario, con graves consecuencias jurídicas si la obtienen mal.
Destaca cuatro categorías de medidas técnicas disponibles:
- Reducción de la identificabilidad directa: hash, enmascaramiento, toquenización y cifrado: se entiende universalmente que produce datos seudónimos en lugar de datos verdaderamente anónimos.
- Reducción de la identificabilidad indirecta: abordar los cuasiidentificadores, como el código postal combinado con la edad, que pueden identificar a las personas dentro de poblaciones más grandes.
- Modelos de protección de la privacidad: la privacidad diferencial y la generación de datos sintéticos, que permiten el análisis sin exponer a las personas, aunque investigaciones recientes han demostrado que incluso los conjuntos de datos sintéticos pueden someterse a ingeniería inversa para recuperar los datos originales.
- Medidas organizativas y arquitectónicas: restricciones contractuales y cifrado sin claves de descifrado, que modifican el entorno de datos en lugar del propio conjunto de datos.
Las mejores prácticas implican combinar medidas en las cuatro categorías, pero una mayor protección suele implicar una menor utilidad de los datos. Sin embargo, la ausencia de un marco técnico legalmente reconocido para definir cómo debe llevarse a cabo la anonimización de los datos crea incertidumbre para los responsables del tratamiento.
La perspectiva jurídica
Frederick Richter, director de la Fundación Alemana para la Protección de Datos, exploró el panorama jurídico en torno a la anonimización. A pesar de ser fundamental para el funcionamiento del RGPD en la práctica, la anonimización nunca se define ni guía explícitamente en el propio Reglamento, mientras que la seudonimización recibe un tratamiento explícito y se debate en el Directrices de 2025 sobre seudonimización por el CEPD. Esto significa que las organizaciones que desean anonimizar los datos de manera responsable actualmente no tienen normas jurídicamente seguras que seguir. El panorama se complica aún más con la llegada de la Ley de Datos, que introduce solapamientos con el RGPD.
Las orientaciones específicas más recientes sobre anonimización, que se remontan a 2014, son anteriores al RGPD y, si bien el CEPD ha estado trabajando en una actualización, aún no están disponibles. Por lo tanto, las organizaciones deben hacer sus propias peticiones de juicio.
Seguridad jurídica: un interés común
Uno de los mensajes clave del panel es que la claridad y la seguridad jurídica son de interés común para los agentes clave afectados por las políticas y la legislación en materia de protección de datos. En un marco regulador claro, todos los agentes pueden beneficiarse: los responsables del tratamiento pueden garantizar el cumplimiento y actuar de manera responsable, los interesados son conscientes de sus derechos y las autoridades encargadas de velar por el cumplimiento de la ley pueden tener un mandato más claro para examinar las buenas y malas prácticas.
También se produjo una importante convergencia entre las perspectivas: el RGPD no es una prohibición del tratamiento de datos, sino un marco para hacerlo de forma segura. La seguridad jurídica es, en última instancia, buena para todos: si las empresas pueden cumplirla con claridad y confianza, sigue la confianza de los consumidores.
Perspectivas
El seminario web concluyó con un mensaje clave: el principal reto para la protección de los consumidores no es la falta de normas, sino más bien la necesidad de garantizar una aplicación sólida y proporcionar orientaciones prácticas actualizadas. Los oradores piden una colaboración más estrecha entre las comunidades jurídicas y técnicas. La actualización de las orientaciones sobre anonimización del CEPD — a escala europea en lugar de nacional- se consideró una prioridad.
¿Se perdió el seminario web? Ver la grabación aquí.
Acceda a las presentaciones aquí:
ES 
EN 
FR