El CEPD arroja luz sobre la anonimización y el raspado web para la IA generativa y adopta la versión final de las directrices sobre blockchain

  • EDPB News

Bruselas, 8 de julio – Durante su último pleno, el CEPD ha adoptado directrices sobre anonimización y directrices sobre el raspado de páginas web en el contexto de la IA generativa. Además, la Junta ha adoptado la versión final de sus directrices sobre el procesamiento de datos personales a través de tecnologías de cadena de bloques.

Comprensión de los datos anónimos

Las nuevas directrices del CEPD aportan claridad al concepto de datos anónimos, teniendo también en cuenta la sentencia del Tribunal de Justicia de la UE en el asunto C-413/23 P, SEPD/JUR, de 4 de septiembre de 2025, y otra jurisprudencia del TJUE.

Las directrices marcan un hito significativo a la hora de aclarar el concepto de datos anónimos, estableciendo normas claras que faciliten el uso de los datos y protejan al mismo tiempo los derechos fundamentales de las personas.

Al desarrollar estas directrices, incorporamos valiosas aportaciones de nuestro evento con las partes interesadas, mostrando, una vez más, nuestro firme compromiso con el diálogo colaborativo, tal como se describe en la declaración de Helsinki del CEPD.

Presidente del CEPD, Anu Talus

Los datos son anónimos si no se refieren a una persona física identificada o identificable. Si este es el caso puede variar de una entidad a otra.

La información puede referirse a un individuo debido a su contenido, propósito o efecto. La existencia de tal vínculo puede no ser inmediatamente obvia y podría requerir un análisis más detallado.

Un individuo se considera "identificado o identificable" si puede distinguirse de otros en un contexto específico utilizando medios razonablemente probables de ser utilizados de una manera que permita tratarlos de manera diferente. La probabilidad razonable de que se utilicen los medios dependerá de la perspectiva de la entidad pertinente y debe evaluarse a la luz de todos los factores objetivos.

Las directrices también proporcionan un marco práctico para que las organizaciones determinen si la anonimización tiene éxito. El marco puede aplicarse de dos maneras: bien evaluando las diferencias de capacidades entre quienes podrían identificar a la persona («enfoque contextual») o, en aras de la simplicidad, no teniendo en cuenta dichas diferencias («enfoque simplificado»), si un responsable del tratamiento así lo decide. El enfoque contextual refleja todos los matices de la norma jurídica para la anonimización. El enfoque simplificado puede ir más allá del estándar legal y puede llevar a un controlador anónimo a tratar los datos como si no fueran anónimos, incluso si realmente lo fuera para algunas entidades relevantes, pero este enfoque puede ser más conveniente y proporcionar una mayor confianza en que los datos son realmente anónimos.

El marco utiliza tres criterios para comprobar si los datos son anónimos: 1) ningún aislamiento de registro, 2) ninguna vinculación , y 3) ninguna inferencia. Si se cumplen los tres criterios, los datos pueden considerarse anónimos de forma segura. Si no se cumple alguno de estos criterios, se debe realizar un análisis adicional para determinar si los datos pueden considerarse anónimos.

Las directrices estarán sujetas a consulta pública hasta el 30 de octubre de 2026, lo que ofrecerá a las partes interesadas la oportunidad de formular observaciones y comentarios.

Aclarar las implicaciones de la protección de datos del raspado web para el desarrollo de la IA

El raspado web es un proceso automatizado de extracción de datos a gran escala que a menudo funciona sin que las personas lo sepan y que puede plantear riesgos significativos para la protección de sus datos personales. En sus directrices sobre el raspado web en el contexto de la IA generativa*, el Comité aclara diversos aspectos del cumplimiento del RGPD del raspado web, incluida la base jurídica de dichas actividades y las condiciones en las que pueden tratarse categorías especiales de datos en este contexto.

El RGPD se aplica al raspado web cuando incluye operaciones de tratamiento de datos personales, como la recogida, el almacenamiento, la organización y la recuperación.

Al basarse en el raspado de la web, debe prestarse especial atención al principio de limitación de la finalidad y al principio de transparencia. Sin embargo, dependiendo de cómo se diseñe con precisión el procesamiento de datos, es posible que el controlador no tenga que informar personalmente a las personas si esto resulta imposible o requiere un esfuerzo excesivo.

El CEPD recomienda raspar los datos solo de fuentes fiables, registrar la marca de tiempo y validar los datos antes de utilizarlos en el entrenamiento de IA para garantizar el cumplimiento del principio de exactitud. Las directrices también aconsejan sobre las medidas que el responsable del tratamiento debe aplicar para cumplir el principio de minimización de datos.

Sobre la base del dictamen del CEPD sobre los modelos de IA, las directrices ofrecen aclaraciones y ejemplos adicionales sobre el uso de la base jurídica del interés legítimo en el contexto específico del raspado web para el entrenamiento en IA.

Por último, el CEPD recuerda que el tratamiento de categorías especiales de datos personales está, en principio, prohibido. Si el raspado web implica dichos datos, se requiere tanto una base legal en virtud del artículo 6 del RGPD como una excepción en virtud del artículo 9, apartado 2, del RGPD. El CEPD sugiere que la sentencia del Tribunal en el asunto GC & Otros (C-136/17) puede ser pertinente para la recogida incidental o residual de categorías especiales de datos personales, siempre que el responsable del tratamiento actúe dentro del «marco de sus responsabilidades, competencias y capacidades» y aplique las medidas técnicas y organizativas adecuadas para evitar la recogida y difusión de dichos datos. La Sala subraya que no existe una exención general de los requisitos del artículo 9 del RGPD y que cada asunto debe evaluarse individualmente para determinar si es aplicable el razonamiento del Tribunal de Justicia.

Las directrices estarán sujetas a consulta pública hasta el 30 de octubre de 2026, lo que ofrecerá a las partes interesadas la oportunidad de formular observaciones y comentarios.

Directrices sobre cadenas de bloques finalizadas tras una consulta pública

Tras la consulta pública, el CEPD ha adoptado la versión final de sus directrices sobre las tecnologías de cadena de bloques. Las directrices ayudan a las organizaciones que utilizan tecnologías blockchain a cumplir con el GDPR. El CEPD explica cómo funcionan las cadenas de bloques, evaluando las diferentes arquitecturas posibles y sus implicaciones para el tratamiento de datos personales.

En consonancia con el objetivo de la declaración de Helsinki de reforzar el diálogo con las partes interesadas, el Comité también ha publicado un informe sobre el resultado de la consulta pública específica, así como una versión de las directrices para hacer un seguimiento de los cambios.

Nota a los editores: 
*La IA generativa es una tecnología que tiene como objetivo crear nuevo contenido mediante el aprendizaje de patrones a partir de datos existentes. Utiliza modelos especializados de aprendizaje automático diseñados para producir una amplia y general variedad de salidas como texto, imagen o audio.

Esta es una traducción automática y puede contener errores. No sustituye a la versión oficial en inglés.

Relevant topics
Anonimización y seudonimización
Inteligencia artificial
Tecnología
Responsabilidad proactiva
Principios básicos

Latest news

  • EDPB News

EDPB and AMLA to develop Joint Guidelines on partnerships for information sharing

  • EDPB News

One-Stop-Shop case digest on right to object and right to erasure updated

  • EDPB News

Supporting GDPR consistency: EDPB launches dedicated form