El Comité Europeo de Protección de Datos (EDPB) ha adoptado, el pasado 7 de julio de 2026, sus nuevas Directrices 02/2026 sobre anonimización, sometidas actualmente a consulta pública. El documento actualiza y sustituye, más de una década después, el Dictamen 05/2014 del Grupo de Trabajo del Artículo 29, que hasta ahora era la referencia en materia de anonimización.
Cualquier organización que trate datos personales con la intención de anonimizarlos (ya sea para analítica interna, cesión a terceros, investigación o entrenamiento de modelos de IA), debe tener en cuenta que un dato mal anonimizado sigue siendo dato personal a todos los efectos.
El «test de anonimización»
El artículo 2.1 del Reglamento General de Protección de Datos delimita su ámbito de aplicación al tratamiento de datos personales. Si un conjunto de datos es efectivamente anónimo, queda fuera de su ámbito de aplicación, no obstante, si el proceso de anonimización no se ha llevado a cabocorrectamente, la organización sigue siendo responsable del tratamiento y, consiguientemente, debe seguir aplicando el RGPD.
El EDPB estructura el análisis sobre la anonimización en dos preguntas sucesivas. La primera es si la información se relaciona con una persona física, ya sea por su contenido, por su finalidad o por su efecto sobre esa persona. La segunda es si esa persona está identificada o es identificable. Si la respuesta a cualquiera de las dos es negativa, el dato debe considerarse anónimo.
Lo interesante, y lo que complica el análisis en la práctica, es que la respuesta puede variar según quién esté tratando los datos. Un mismo dataset puede ser personal para una entidad y anónimo para otra, dependiendo de qué medios tenga razonablemente a su alcance cada una para identificar a los afectados. El EDPB recurre a varios casos del TJUE para ilustrarlo, como el caso EDPS contra la Junta Única de Resolución, donde el Tribunal analizó precisamente desde qué perspectiva debe valorarse si una información transferida a un tercero sigue siendo personal.
Esto obliga a las empresas a preguntarse, antes de nada, para quién quieren que los datos sean anónimos: ¿para su propio uso interno? ¿para cualquiera que reciba el dataset? La respuesta condiciona todo el análisis posterior.
Dos formas de hacer el análisis
Las directrices proponen dos maneras de aplicar este test. El enfoque contextual tiene en cuenta las diferencias de capacidad entre las distintas entidades que podrían acceder a los datos, lo que permite un análisis más riguroso y, consiguientemente, más complejo. El enfoque simplificado, en cambio, prescinde de esas diferencias y asume que, si existe algún medio razonablemente posible de reidentificación, cualquiera podría llegar a usarlo. Este segundo enfoque es más conservador -puede llevar a tratar como personales datos que en realidad serían anónimos para la mayoría- pero ofrece mayor seguridad jurídica y resulta más sencillo de aplicar en la práctica. El EDPB reconoce expresamente que combinar ambos enfoques suele ser la estrategia más razonable: empezar por el simplificado y, si detecta algún riesgo teórico, pasar al contextual para matizar el resultado.
Los tres criterios que hay que superar
Técnicamente, hay que cumplir con tres criterios para considerar un conjunto de datos como anónimo. Si se incumple alguno, no significa automáticamente que el dato sea personal, pero obliga a realizar un análisis adicional.
(i) Ausencia de aislamiento de registros (No Record Isolation): se cumple cuando no existe una combinación única de valores que permita distinguir a un único individuo dentro del conjunto de datos. Cuantos más atributos contenga un registro, mayor es el riesgo de que acabe siendo único y, por tanto, identificable por combinación con otros, aunque ninguno de ellos sea por sí solo distintivo.
(ii) Ausencia de vinculación (No Linkage): se cumple cuando la información no se puede correlacionar con datos equivalentes de la misma persona recogidos en otro contexto o por otra vía. Por ejemplo, cuando un conjunto de datos «anonimizado» puede cruzarse con otro conjunto disponible públicamente para reidentificar a los interesados.
(iii) Ausencia de inferencia (No Inference): se cumple cuando no es posible extraer del conjunto de datos una conclusión específica y significativa sobre una persona concreta. Las directrices dedican una atención especial a este criterio, con algunos ejemplos, esto es, no es lo mismo inferir que «a la gente le gusta el color verde» (información general, no personal) que inferir, a partir de datos agregados sobre la nómina de una empresa, cuánto cobra exactamente un empleado concreto por descarte aritmético. Este segundo tipo de inferencia sí vulnera el criterio y convierte los datos en personales.
Qué hacer cuando uno de los criterios no se cumple
El incumplimiento de un criterio no supone directamente la falta de anonimización, pero si obliga a seguir analizando si, pese a todo, la reidentificación sigue siendo insignificante. Aquí deben tenerse en cuenta aspectos como el nivel de dimensionalidad y resolución de los datos, la existencia de restricciones de acceso efectivas, el coste y tiempo necesarios para obtener información adicional, o el estado de la técnica en materia de reidentificación, incluyendo, de forma expresa, el papel creciente de la inteligencia artificial y los agentes autónomos como herramientas que reducen drásticamente el coste y el tiempo de estos ataques.
RECOMENDACIONES PRÁCTICAS PARA LAS EMPRESAS
De la lectura de la guía se extraen varias líneas de actuación recomendables para cualquier organización que realice tratamientos con fines de anonimización:
■ Documentar todo el proceso: el EDPB insiste en que la organización debe poder demostrar tanto la licitud del tratamiento previo a la anonimización como la efectividad técnica de la anonimización en sí misma, y conservar esa documentación una vez completado el proceso.
■ No prometer más de lo que se puede garantizar: la guía advierte expresamente contra el uso de términos como «anónimo», «desidentificado» o «despersonalizado» cuando, en realidad, las personas siguen siendo identificables. Esto tiene una lectura directa en materia de transparencia (artículos 5.1.a y 12 a 15 RGPD).
■ Reevaluar periódicamente: la probabilidad de reidentificación tiende a aumentar con el tiempo, a medida que mejoran las técnicas disponibles y aparece nueva información complementaria. Un dato anonimizado hoy podría dejar de serlo mañana, y buena parte de esa responsabilidad recae en quien lo trata.
■ Tener en cuenta la base jurídica del propio proceso de anonimización: la anonimización es, en sí misma, un tratamiento de datos personales y requiere una base jurídica del artículo 6 RGPD (y, en su caso, una excepción del artículo 9.2 si hay categorías especiales de datos).
■ Vigilar los conjuntos de datos mixtos: si la anonimización solo resulta eficaz para parte de los individuos incluidos en un conjunto de datos, y no para el resto, el conjunto completo debe tratarse como datos personales.
Articulo revisado por Gerard Espuga, abogado especialista en Derecho Digital y Protección de Datos