Datos Personales y Anonimización: Confusiones y Sugerencias
El Reglamento General de Protección de Datos define a los datos anónimos como aquella “información que no guarda relación con una persona física identificada o identificable”, estableciendo expresamente que sus principios no serán aplicables a dicha información ni a los datos convertidos en anónimos siempre que el titular de los datos no sea identificable[1].
De tal forma, la anonimización es el proceso por el que la información personal deja de asociarse a un individuo en particular y para ello deberá producirse la ruptura de la cadena de identificación de las personas. La identificación de una persona puede hacerse mediante identificadores directos[2] o mediante identificadores indirectos[3] que utilizándose en forma individual o combinada con otros factores por alguien que conociera a esa persona, podría permitir su re identificación cuando los datos hubieran sido anonimizados.
Los datos anónimos desempeñan un importante papel en contextos de investigación y estadística. Por tanto, en el proceso de anonimización que se diseñe deberán preverse mecanismos que no permitan o que reduzcan al mínimo los riesgos de la re identificación, garantizando además que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no impida que los datos puedan ser tratados para los fines previstos.
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una guía en la que identifica diez malentendidos relacionados con la anonimización, con la finalidad de que podamos tener en cuenta dichas sugerencias a la hora de comprobar las afirmaciones sobre la tecnología por la que se llevará a cabo el proceso de anonimización[4].
Entre las cuestiones enumeradas en el documento de la AEPD, se aclara que “la seudonimización no es lo mismo que la anonimización”. Mientras en el caso de la seudonimización[5] podría re identificarse a la persona con el uso de información adicional, los datos anónimos no pueden asociarse a un individuo en particular.
Se destaca además que “el cifrado no constituye una técnica de anonimización, pero (…) puede ser una buena herramienta de seudonimización”. Aunque el proceso de cifrado es utilizado para reducir el riesgo del uso indebido y mantener la confidencialidad por un tiempo determinado, los procesos de cifrado están diseñados para ser reversibles, es decir descifrados, ya que la información original debe ser accesible. En estos casos las claves privadas son la “información adicional” necesaria para que la identificación de los datos sea posible.
Asimismo se menciona que aunque sería deseable que la anonimización redujera a cero la probabilidad de re identificación, en algunos casos ello no es posible, por lo que siempre deberemos contemplar un riesgo residual. El documento menciona que en función del contexto o de la naturaleza de los datos anonimizados, no siempre es posible reducir el riesgo de re identificación por debajo de un umbral definido previamente.
Aclara, además, que la anonimización no es permanente, toda vez que los recursos informáticos o la implementación de nuevas tecnologías podrían estar disponibles en el futuro para un atacante que pretendiera re identificar los datos y poner en peligro los procesos de anonimización utilizados previamente.
Si bien es posible utilizar herramientas automáticas durante el proceso de anonimización, siempre será necesaria la intervención humana a fin de hacer un análisis cauteloso y eliminar no solo los identificadores directos, sino también los indirectos.
Por último, deberemos tener presente que un proceso de anonimización utilizado por una organización podría no ser exitoso en otras organizaciones. El proceso de anonimización que pretenda implementarse en una organización deberá adaptarse a la naturaleza, el alcance, el contexto y los fines del tratamiento de cada organización en particular, así como a los riesgos de una probable afectación para los derechos y libertades de las personas.
[1] Conf. Considerando 26 último párrafo del Reglamento General de Protección de Datos 679/2016
[2] Información específica que puede atribuirse a una persona, como su nombre o número de la seguridad social.
[3] Por ejemplo, la situación geográfica en un momento particular, las preferencias a la hora de comprar un producto o el padecimiento de una determinada enfermedad.
[4] https://www.aepd.es/sites/default/files/2021-04/10-malentendidos-anonimizacion.pdf
[5] El RGPD sí se aplica a los datos seudonimizados toda vez que el individuo puede ser re identificado mediante información adicional.
Miembro del Grupo de Expertos itsm4Privacidad
Team Leader del Grupo de Expertos itsm4Privacidad de itSMF España