Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Sentencia del TJUE 2026: La seudonimización ya no exime del cumplimiento del GDPR

Sentencia del TJUE 2026: La seudonimización ya no exime del cumplimiento del GDPR

by Danielle Barbour updated abril 30, 2026 Cumplimiento de GDPR
Reading Time: 10 minutes

El 4 de marzo de 2026, el Conseil d’État francés confirmó una multa de 40 millones de euros impuesta por la CNIL a la empresa adtech Criteo SA (NASDAQ: CRTO) por múltiples infracciones del GDPR relacionadas con sus prácticas de publicidad comportamental. La actualización de protección de datos de Europa de abril de 2026 de Gibson Dunn sitúa esta decisión en una ola más amplia de aplicación y, lo más importante, destaca la aclaración del TJUE de que los identificadores de cookies seudonimizados vinculados a datos de navegación, direcciones IP e historiales de compras siguen siendo datos personales cuando la reidentificación es factible sin un esfuerzo desproporcionado.

Aspectos clave

  1. El TJUE cerró la laguna de la seudonimización para identificadores en línea. El Tribunal de Justicia de la Unión Europea ha aclarado que los identificadores de cookies seudonimizados vinculados a datos de navegación, direcciones IP e historiales de compras siguen siendo datos personales bajo el GDPR cuando la reidentificación es factible sin un esfuerzo desproporcionado. Esta clasificación determina todas las obligaciones de cumplimiento posteriores.
  2. Francia está aplicando la decisión mediante sanciones, no solo orientaciones. El Conseil d’État francés confirmó la multa de 40 millones de euros de la CNIL contra la empresa adtech Criteo SA el 4 de marzo de 2026, cerrando una batalla legal que comenzó con la sanción de la CNIL en 2023. La postura francesa de aplicación del GDPR en adtech ya no es teórica.
  3. Las implicaciones para los datos de entrenamiento de IA son significativas. Las organizaciones que clasificaron los IDs de cookies, identificadores de dispositivos o huellas comportamentales como «no personales» y usaron esos datos para entrenar modelos ahora enfrentan riesgos retroactivos. El EDPB ya ha sostenido que los modelos de IA entrenados con datos personales no pueden considerarse automáticamente anónimos.
  4. La defensa ante solicitudes de acceso es un nuevo campo regulatorio. El TJUE también aclaró que los responsables pueden rechazar solicitudes de acceso al GDPR «abusivas», pero solo con criterios documentados y defendibles. Las negativas generalizadas ante solicitudes automatizadas masivas serán en sí mismas desencadenantes de sanciones.
  5. La clasificación de datos, no la anonimización, es el control exigible. La respuesta a la decisión no es inventar nuevos esquemas de seudonimización. Es tratar los identificadores en línea como datos personales dentro de los inventarios de datos, aplicar controles de acceso basados en atributos, mantener la residencia de datos dentro de la UE y generar registros de auditoría inalterables que puedan defender las decisiones de procesamiento.

En conjunto, estos dos desarrollos redefinen los límites del cumplimiento del GDPR para cualquier organización que procese identificadores en línea a gran escala. Y para cualquier organización que gestione adtech, analítica comportamental, entrenamiento de IA con datos de clientes o flujos de datos transfronterizos que involucren residentes de la UE, las consecuencias ahora se cuantifican en multas de ocho cifras.

La vía de escape de la seudonimización —la teoría de cumplimiento de que «no tenemos nombres, solo identificadores hasheados, así que el GDPR no aplica»— acaba de cerrarse.

Qué dictaminó realmente el TJUE y por qué importa la clasificación

El TJUE confirmó que la prueba para determinar si los datos son «personales» según el artículo 4(1) del GDPR no es si el responsable posee información directamente identificativa, sino si la reidentificación es factible utilizando medios razonablemente probables. Los identificadores de cookies vinculados a comportamientos de navegación, direcciones IP y datos de compras cumplen con esa prueba porque la combinación crea un perfil identificable incluso sin nombres o correos electrónicos asociados. Esta postura es coherente con orientaciones previas del EDPB y el caso SRB del TJUE de septiembre de 2025 CJEU SRB case, que aplicó un enfoque relativo a la desidentificación.

El impacto operativo es directo. Cualquier conjunto de datos que contenga IDs de cookies, huellas de dispositivos u otros identificadores en línea seudónimos combinados con datos comportamentales ahora está inequívocamente bajo el alcance del GDPR. Todas las disposiciones aplicables a los datos personales le aplican: requisitos de base legal según el artículo 6, minimización de datos bajo el artículo 5(1)(c), derechos de acceso del interesado según los artículos 15 al 22, medidas de seguridad bajo el artículo 32 y obligaciones de notificación de brechas bajo los artículos 33 y 34. Una organización que antes mantenía esos conjuntos de datos fuera de su programa de gobernanza GDPR ahora está retroactivamente fuera de cumplimiento en todas esas disposiciones a la vez.

La decisión también aclara cómo se interpreta «razonablemente probable». No es un ejercicio teórico sobre si la reidentificación es posible en principio. Se pregunta si la combinación de elementos de datos, las técnicas de emparejamiento disponibles y los incentivos económicos hacen que la reidentificación sea un riesgo práctico. Para los ecosistemas adtech, que existen precisamente para identificar y rastrear usuarios entre sesiones y sitios, la respuesta casi siempre es sí. La arquitectura de la publicidad comportamental requiere reidentificabilidad. Ese requisito ahora clasifica toda la cadena de datos como procesamiento de datos personales.

Francia está convirtiendo la decisión en aplicación a gran escala

La multa de 40 millones de euros de la CNIL contra Criteo, confirmada por el Conseil d’État, no fue una excepción. El total de multas europeas del GDPR en 2025 superó los 1.200 millones de euros según la Encuesta de Multas y Brechas de Datos GDPR de DLA Piper, con multas acumuladas desde 2018 por encima de los 5.880 millones de euros y la edición de 2026 documentando un aumento interanual del 22% en notificaciones de brechas.

El patrón de aplicación se centra especialmente en los artículos 5(1)(a) — licitud, lealtad y transparencia — y 5(1)(f) — integridad y confidencialidad. Ambos artículos dependen de la clasificación de los datos como personales. Una vez que los identificadores seudonimizados entran en esa clasificación, toda la cadena de publicidad comportamental se convierte en un problema de base legal, transparencia y derechos de acceso al mismo tiempo.

La velocidad de aplicación en Francia importa a nivel global porque otras autoridades europeas de protección de datos históricamente han seguido el liderazgo francés en adtech y rastreo. La Comisión de Protección de Datos de Irlanda, el Garante italiano y el Landesdatenschutzbeauftragte alemán ya han señalado alineación con la postura de la CNIL. Las organizaciones que consideraban los 40 millones de euros como una peculiaridad francesa y no una referencia europea ahora ven cómo acciones similares se acumulan en Dublín, Roma y Berlín.

Las implicaciones para los datos de entrenamiento de IA son retroactivas

El efecto más relevante de la decisión del TJUE puede estar en el entrenamiento de IA. En los últimos tres años, muchas empresas han construido grandes conjuntos de entrenamiento a partir de lo que sus equipos legales clasificaron como datos «no personales»: identificadores de cookies, huellas de dispositivos, telemetría comportamental, registros de clics e historiales de compras sin nombres asociados. Esos datos alimentaron ajustes finos, desarrollo de motores de recomendación y entrenamiento de modelos personalizados para casos de marketing, detección de fraude y personalización.

La Opinión 28/2024 del EDPB ya estableció que los modelos de IA entrenados con datos personales no pueden considerarse automáticamente anónimos, y que cada caso requiere demostrar resistencia a ataques de extracción y consulta. Combinado con la reafirmación del TJUE de que los identificadores en línea seudonimizados siguen siendo datos personales, el resultado es una reclasificación de cumplimiento: si los datos de entrenamiento eran personales, el modelo entrenado debe evaluarse por riesgo de memorización y extracción, y el entrenamiento original probablemente carecía de base legal adecuada bajo el artículo 6.

Esto es una exposición retroactiva. La multa del Garante italiano, cercana a la ANPD, contra OpenAI a finales de 2024 (luego anulada por un tribunal italiano en marzo de 2026, según Reuters) estableció el modelo regulatorio: multas masivas por procesamiento ilícito de datos de entrenamiento, sin vía práctica de remediación salvo el reentrenamiento del modelo. Las organizaciones que construyeron capacidades de IA en producción sobre conjuntos «seudónimos» ahora arrastran una deuda de cumplimiento difícil de saldar sin cambios arquitectónicos. Reentrenar sobre una base de datos legalmente defendible es costoso. Seguir trabajando con modelos entrenados con datos ahora clasificados como personales es riesgoso.

La sentencia alemana de noviembre de 2025 agrava el problema. Como documenta la evaluación 2026 del Future of Privacy Forum, un tribunal alemán consideró que las letras de canciones estaban «reproducidas y fijadas en los pesos del modelo», tratando los modelos como copias a efectos de propiedad intelectual. Ese enfoque tiene implicaciones obvias para los datos personales. Si un modelo puede reproducir contenido de entrenamiento, y ese contenido contenía datos personales, entonces el modelo en sí contiene datos personales — con todas las obligaciones que esa clasificación implica.

Por qué las empresas se equivocaron con la seudonimización

La creencia generalizada en las empresas de que la seudonimización excluía automáticamente los datos del alcance del GDPR refleja un atajo de cumplimiento que sobrevivió mucho más allá de su utilidad. La seudonimización bajo el artículo 4(5) del GDPR se define como el tratamiento de forma que los datos personales no puedan atribuirse a un interesado sin información adicional. La clave está en la última parte. Los datos seudonimizados siguen siendo datos personales — simplemente están sujetos a salvaguardas adicionales. No son datos anonimizados, y nunca lo fueron.

La confusión surgió por el discurso de la industria adtech. Los ecosistemas de publicidad comportamental describían sus cadenas de datos como basadas en datos «anonimizados» o «seudonimizados» como si fueran equivalentes. Los equipos legales empresariales, buscando una base para excluir conjuntos comportamentales del cumplimiento del GDPR, aceptaron este enfoque. El TJUE ahora lo ha rechazado de forma definitiva para la combinación específica de identificadores y datos comportamentales que utiliza la mayoría del adtech empresarial.

El informe de Soberanía de Datos 2026 de Kiteworks sobre Seguridad de Datos y Riesgo de Cumplimiento encontró que aproximadamente el 15% de los encuestados europeos se describen como «extremadamente preocupados» por la exposición a multas del GDPR, un dato que refleja el peso de sanciones acumuladas que ya superan los 5.880 millones de euros. Sin embargo, la preocupación aún no se ha traducido en arquitectura. Muchas organizaciones siguen gestionando programas de gobernanza de datos paralelos donde los conjuntos «personales» pasan por controles rigurosos y los «seudónimos» por controles laxos. Esa arquitectura ahora es un pasivo.

El campo de batalla de las solicitudes de acceso es la próxima frontera de cumplimiento

La decisión del TJUE no solo restringió la defensa de la seudonimización. También aclaró cuándo los responsables pueden rechazar solicitudes de acceso al GDPR por abuso — y la respuesta es más limitada de lo que muchas organizaciones suponían. Los responsables pueden tratar ciertas solicitudes como abusivas cuando la carga es desproporcionada, la intención es manifiestamente infundada o la automatización coordinada hace que el procesamiento individual sea realmente irrazonable. Pero el Tribunal enfatizó que la carga de probar el abuso recae en el responsable, y las negativas generalizadas no cumplen el artículo 12(5).

Esto importa porque las solicitudes automatizadas y masivas de acceso se han convertido en una herramienta legítima de cumplimiento. Grupos de defensa de la privacidad, periodistas y cada vez más consumidores usando asistentes de IA para generar solicitudes ejercen los derechos del artículo 15 a volúmenes que saturan los flujos manuales de respuesta. Algunas organizaciones han respondido rechazando esas solicitudes de forma categórica. El TJUE ahora ha dicho que ese enfoque en sí mismo genera exposición regulatoria.

La consecuencia operativa es que la infraestructura para solicitudes de acceso de interesados ya no es una función operativa opcional. Es un flujo de trabajo regulado donde cada negativa debe documentarse, cada justificación debe ser demostrable y cada plazo debe cumplir los requisitos del artículo 12(3). Las organizaciones que dependen de procesos manuales y ad hoc para solicitudes de acceso se verán respondiendo a volúmenes inmanejables o generando negativas que serán la base de quejas ante las autoridades de control.

Cómo la gobernanza en la capa de datos resuelve el problema de clasificación

La respuesta arquitectónica a la decisión del TJUE no es reclasificar los datos a posteriori. Es construir infraestructura de gobernanza que trate las combinaciones de identificador y comportamiento como datos personales desde el momento de la recogida y aplique las obligaciones resultantes en la capa de datos. Esto significa inventarios que reconocen IDs de cookies, huellas de dispositivos y huellas comportamentales como datos personales; controles de acceso basados en atributos que limitan quién puede consultar o exportar esos conjuntos; controles de residencia de datos que mantienen los datos personales de la UE dentro de la jurisdicción de la UE; y registros de auditoría que pueden defender cada decisión de procesamiento ante una autoridad de control si se solicita.

Kiteworks opera esta gobernanza en la capa de datos en lugar de la capa de aplicación. Cuatro capacidades son especialmente relevantes para la decisión del TJUE. Primero, el Motor de Políticas de Datos de Kiteworks aplica controles de acceso basados en atributos en cada interacción — los datos pueden etiquetarse como personales, con residencia restringida o limitados por propósito, y los controles se aplican en el acceso, no en la lógica de la aplicación. Segundo, la integración DSPM con las etiquetas de sensibilidad de Microsoft Information Protection permite que la clasificación fluya desde herramientas externas de gobernanza hacia la política operativa, asegurando que los conjuntos de datos de ID de cookies y comportamiento mantengan su clasificación de datos personales en todos los sistemas. Tercero, los controles de geofencing y soberanía de datos configuran sistemas distribuidos para almacenar datos personales de la UE solo en jurisdicciones designadas y enrutar el acceso solo a través de esas jurisdicciones, abordando las obligaciones de transferencia transfronteriza del artículo 44 sin depender de revisiones contractuales caso por caso. Cuarto, el informe de cumplimiento GDPR produce un paquete estructurado de evidencias que mapea los controles operativos a los artículos del GDPR — lo que es la base probatoria para defender decisiones de procesamiento y gestión de solicitudes de acceso durante auditorías de supervisión.

El argumento arquitectónico es que las disputas de clasificación se intensificarán a medida que se acelere la aplicación del GDPR, y la posición defendible no es discutir la clasificación sino construir controles que se apliquen de forma uniforme a todo lo que pueda clasificarse como dato personal. Eso traslada la carga de cumplimiento de la interpretación legal a la aplicación operativa, y sobrevive a la próxima decisión del TJUE, la próxima opinión del EDPB y la próxima actualización de orientación de un regulador nacional.

Qué significa la decisión para tu programa de cumplimiento este año

Primero, audita tu clasificación e inventario de datos según el alcance aclarado por el TJUE. Cualquier conjunto que combine identificadores en línea (IDs de cookies, huellas de dispositivos, IDs de publicidad, direcciones IP, correos electrónicos hasheados) con señales comportamentales (navegación, compras, interacciones de contenido) debe etiquetarse como dato personal. Las Directrices 04/2022 del EDPB sobre el cálculo de multas GDPR consideran la existencia de medidas técnicas y organizativas documentadas como un factor atenuante — pero solo si la clasificación subyacente es correcta.

Segundo, evalúa la procedencia de tus datos de entrenamiento de IA. Para cada modelo entrenado o ajustado con datos que tu programa de cumplimiento clasificó como «seudónimos» o «no personales», reevalúa la clasificación según el razonamiento del TJUE y la opinión del EDPB de diciembre de 2024 sobre anonimato de modelos de IA. Los modelos entrenados con datos personales reclasificados retroactivamente enfrentan tanto un problema de base legal como el problema de que el propio modelo sea considerado dato personal.

Tercero, reconstruye tu infraestructura de gestión de solicitudes de acceso para manejar volumen y defensa contra abusos a la vez. Los flujos manuales que generan negativas generalizadas provocarán quejas ante supervisores. Documenta cada negativa con justificación sustantiva. Automatiza la atención de solicitudes legítimas. Haz seguimiento de métricas sobre tiempos de respuesta, tasa de finalización y tasa de negativas, porque los reguladores pedirán esas métricas durante investigaciones de cumplimiento.

Cuarto, consolida el intercambio de datos sensibles bajo una gobernanza unificada. El informe de Pronóstico 2026 de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks halló que las organizaciones que gestionan herramientas fragmentadas para el intercambio seguro de datos enfrentan sistemáticamente mayor riesgo de cumplimiento y respuestas regulatorias más lentas. Un plano de control consolidado produce aplicación uniforme de políticas, evidencia de auditoría uniforme y cumplimiento uniforme de residencia de datos — lo que equivale a la consistencia arquitectónica que el TJUE está exigiendo de manera implícita.

Quinto, trata la disciplina de transferencias transfronterizas como un control de primer nivel. La decisión del TJUE es parte de una trayectoria más amplia que incluye también la Ley de Datos (vigente desde septiembre de 2025) y la aplicación gradual de la Ley de IA de la UE hasta 2027. Los mecanismos de transferencia — decisiones de adecuación, SCC, BCR — requieren aplicación operativa en la capa de datos, no solo documentación legal en un DPA. Los controles de soberanía de datos y geofencing que realmente enrutan y almacenan datos personales de la UE dentro de la jurisdicción europea son los que superan la auditoría.

Sexto, prepara el paquete probatorio antes de necesitarlo. La diferencia entre una multa de 40 millones de euros y una carta de advertencia suele depender de las medidas técnicas y organizativas que una organización pueda demostrar en el momento en que comienza la acción de cumplimiento. Una organización que puede presentar un informe de cumplimiento GDPR, registros de acceso basados en atributos, evidencia de residencia de datos y registros de auditoría de gestión de solicitudes de interesados en veinticuatro horas está en una posición muy diferente a la que produce la misma evidencia tras seis semanas de búsqueda.

La decisión del TJUE no es el final del debate sobre la seudonimización. Es el inicio de un nuevo ciclo regulatorio en el que la aplicación precede a la orientación, las multas preceden a la claridad política y las organizaciones que construyeron gobernanza operativa navegarán el ciclo con mucha menos fricción que quienes siguen debatiendo la clasificación en memorandos legales.

Preguntas frecuentes

La defensa depende de la base legal y las salvaguardas implementadas. La aclaración del TJUE en 2026 confirma que los IDs de cookies combinados con datos de navegación, IP y compras son datos personales bajo el GDPR. Los programas actuales basados en la teoría «la seudonimización nos exime» están expuestos. Los programas defendibles requieren consentimiento explícito u otra base legal del artículo 6, minimización de datos, avisos de privacidad transparentes e infraestructura para cumplir los derechos de los interesados. La personalización de marketing sigue siendo posible — pero solo aplicando toda la pila de cumplimiento GDPR.

Sí, y el riesgo es relevante. La Opinión 28/2024 del EDPB ya estableció que los modelos de IA entrenados con datos personales no pueden considerarse automáticamente anónimos. Junto con la decisión del TJUE que reclasifica tus datos de entrenamiento como personales, los modelos implementados enfrentan tanto exposición por la base legal del entrenamiento original como obligaciones de modelo-como-dato-personal. Las vías de remediación incluyen reentrenar con datos legalmente defendibles, implementar medidas de resistencia a extracción o restringir el alcance de la implementación.

La decisión intensifica las obligaciones de transferencia transfronteriza. Una vez que los IDs de cookies y datos comportamentales se clasifican como datos personales, cualquier transferencia fuera de la UE requiere un mecanismo del artículo 44 — decisión de adecuación, cláusulas contractuales tipo o normas corporativas vinculantes. El Marco de Privacidad de Datos UE-EE. UU. sigue vigente, pero su aplicabilidad al adtech es discutida. Las organizaciones que dependen del enrutamiento operativo de datos deben implementar controles de geofencing y soberanía de datos que mantengan los datos personales de la UE dentro de la UE.

El rechazo es posible pero está muy limitado. La aclaración del TJUE confirma que los responsables pueden tratar solicitudes como abusivas cuando la carga es desproporcionada o la intención manifiestamente infundada es demostrable. Las negativas generalizadas no sirven. La documentación requerida incluye justificación por solicitud, evidencia de carga real o mala fe y demostración de que las solicitudes legítimas siguen siendo tramitadas. Las organizaciones que rechacen en volumen sin análisis caso por caso enfrentarán quejas ante autoridades de control y probablemente sanciones.

Los controles del artículo 32 deben abordar el alcance reclasificado de los datos personales. Las Directrices 04/2022 del EDPB consideran los controles implementados como factores atenuantes en el cálculo de multas. Se espera como mínimo controles de acceso basados en atributos con aplicación documentada de la base legal, cifrado en reposo con gestión robusta de claves, registros de auditoría inalterables de accesos y decisiones de procesamiento, controles de residencia de datos para obligaciones transfronterizas e informes estructurados de cumplimiento GDPR. Plataformas como Kiteworks ofrecen estos controles en la capa de intercambio de datos.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks