Blog

Protección de Datos

Consideraciones sobre la anonimización de datos personales

31 mayo, 2021
Consideraciones sobre la anonimización de datos personales.

Este pasado mes de abril, la Autoridad de control (aepd.es) publicó una guía para clarificar varios malentendidos que se cometen habitualmente a la hora de anonimizar datos personales.

Este artículo viene a resumir las consideraciones publicadas por la Agencia Española de Protección de Datos con el objeto de no llevar a cabo interpretaciones inadecuadas de este concepto y evitar vulneraciones de la normativa vigente, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

En primer lugar, es importante dejar claro que el proceso de anonimización consiste en convertir los datos personales en anónimos o no identificables. Concretamente, toda la información que hace referencia a personas físicas identificadas o identificables deja de serlo. En este sentido, los conjuntos de datos que incluyen datos personales son los que permiten la identificación de una persona física, y pueden contener tanto identificadores directos como indirectos.

Los identificadores directos son toda aquella información específica que puede atribuirse a un sujeto en concreto (nombre, número de identificación, etc.) y los indirectos son aquellos datos que pueden utilizarse, de forma individual o combinada, por parte de alguien que tenga conocimientos sobre el individuo con el fin de reidentificarle (datos de geolocalización, opiniones, etc.), es decir, convertir los datos anonimizados en datos personales a través de técnicas de comparación de datos o similares.

La anonimización de datos tiene un papel primordial en muchos sectores, como la medicina, el marketing, la economía, la estadística, etc., y es frecuente que al hacer uso de este proceso se cometan errores a causa de malentendidos. A continuación, se expone un resumen de las aclaraciones publicadas por la Autoridad de control respecto a esta cuestión:

  1. La seudonimización y la anonimización no son lo mismo. Mientras que la seudonimización permite que los datos personales no puedan atribuirse a un sujeto concreto sin hacer uso de información adicional, protegida por medidas técnicas y organizativas, la anonimización hace que una vez los datos son realmente anónimos no se pueden asociar a un individuo en particular, dejando de ser identificables. Por lo tanto, mientras que los datos seudonimizados siguen siendo datos personales, los datos anonimizados pierden esa consideración.
  2. El cifrado no es una técnica de anonimización, sino de seudonimización. El proceso de cifrado hace uso de claves secretas para transformar información y reducir el riesgo, pero estas transformaciones son reversibles a través del proceso de descifrado. Aunque se elimine la clave del cifrado, estos datos pueden volver a recuperarse teniendo en cuenta la solidez del algoritmo de cifrado o clave, los avances tecnológicos, la cantidad de datos cifrados o algunos problemas de implantación.
  3. No siempre es posible reducir al 100% la reidentificación. La anonimización trata de encontrar el equilibrio perfecto entre la reduccióndel riesgo de reidentificación y el mantenimiento de la utilidad del conjunto de datos, pero en función de la naturaleza de los datos o del contexto, los riesgos de reidentificación podrían no mitigarse por completo. Esto sucede en casos en que hay un número de individuos demasiado reducido, cuando las categorías de datos son muy diferentes entre sí o cuando los conjuntos de datos incluyen un elevado número de atributos demográficos o de localización.
  4. La anonimización no es permanente. Hay procesos de anonimización que pueden revertirse en un futuro a raíz de cambio de circunstancias, nuevos avances técnicos y disponibilidad o divulgación de información adicional.
  5. La anonimización no reduce la probabilidad de reidentificación a cero. El proceso de anonimización y la forma en que se aplica tendrá influencia directa en la probabilidad de riesgos de reidentificación. Hay varios factores que pueden influir en el riesgo: controles de mitigación, repercusión en la privacidad de individuos y la capacidad del atacante. En muchos casos la anonimización al 100% no es posible y debe contemplarse un riesgo residual de reidentificación.
  6. El grado de anonimización puede analizarse y medirse. Cualquier proceso sólido de anonimización evaluará el riesgo de reidentificación, que deberá gestionarse y controlarse en el futuro.
  7. La anonimización puede automatizarse, pero, dada la importancia de la evaluación del contexto, no por completo. La intervención humana es siempre necesaria, ya que se requiere un análisis del conjunto de datos original (fines previstos, técnicas y riesgo de reidentificación). El proceso de anonimización debe identificar y eliminar tanto identificadores directos como indirectos, y estos últimos en muchas ocasiones no son obvios ni fáciles de detectar.
  8. La anonimización no inutiliza los datos, sino que mantiene la funcionalidad de los mismos para un fin determinado. El objetivo es evitar que se identifique a los individuos de un conjunto de datos restringiendo las formas en que se puede utilizar este conjunto, pero los datos no pierden su función, sino que su utilidad dependerá de la finalidad y el riesgo de reidentificación que se acepte. En cuanto a la conservación, los datos no pueden almacenarse de forma ilimitada, pero la anonimización permite independizar datos personales del conjunto de datos, haciendo que el conjunto siga conservando un significado útil. Un ejemplo sería el registro de accesos a un sitio web, en caso de conservarse la fecha de acceso, pero no qué usuario ha accedido. En los casos en que la anonimización no se ajuste a la finalidad prevista, el responsable del tratamiento podría decidir en hacer uso de la seudonimización o no tratar datos personales.
  9. No hay un proceso de anonimización válido para todas las entidades. Estos procesos deben adaptarse a la naturaleza, alcance, contexto, fines del tratamiento, riesgos y gravedad para los derechos y libertades de las personas físicas de cada entidad. El riesgo de reidentificación puede tener diferentes umbrales en función de la actividad de la entidad y el tipo de destinatarios. Además, puede haber diferentes conjuntos de datos disponibles en diferentes contextos, y al cruzarse estos con datos anónimos se podrían generar afectaciones al riesgo de reidentificación.
  10. Los datos personales tienen valor en sí mismos, tanto para los propios individuos como para terceros, y la reidentificación de algún individuo podría generar graves repercusiones en cuanto a sus derechos y libertades. Los ataques pueden tener forma de intentos deliberados, involuntarios, brechas de seguridad o divulgación de datos al público. El impacto sobre la vida privada de una persona es muy difícil de evaluar, ya que el mismo dependerá del contexto y la información que se pueda correlacionar.

En DATAX somos una empresa especializada en materia de protección de datos y seguridad de la información.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 16 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en la materia.

 

Jan Bonamusa

Abogado especializado en Protección de Datos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *