¿En qué consisten la seudonimización y anonimización de datos personales? ¿Qué supone para el derecho a la protección de datos personales? ¿Quién debe realizar estos procedimientos y por qué motivo? ¿Qué diferencia hay entre anonimización y seudonimización? En este artículo daremos respuesta a estas y otras preguntas relacionadas con los procesos de seudonimización y anonimización.
En este artículo hablamos de:
-
- ¿Qué es la anonimización de datos personales?
- ¿Qué es la seudonimización de datos personales?
- Diferencia entre anonimización y seudonimización
- Ejemplos de datos anonimizados y datos seudonimizados
- Cómo anonimizar datos
- Cómo seudonimizar datos personales
- Los 10 errores de la anonimización según la AEPD
- «Seudonimización y anonimización son lo mismo»
- «El cifrado es lo mismo que anonimizar»
- «Todos los datos pueden anonimizarse»
- «La anonimización es para siempre»
- «La anonimización impide que un conjunto de datos sea reidenditifcado»
- «La anonimización no puede medirse»
- «La automatización completa de la anonimización es posible»
- «A través de la anonimización, los datos se hacen inútiles»
- «Copiar el proceso de anonimización de datos de otro dará resultados iguales»
- «No hay riesgo ni interés en saber a quién pertenecen los datos»
- Preguntas frecuentes de nuestros clientes
- ¿Cuál es la finalidad de la anonimización y seudonimización de datos?
- ¿Quién tiene que realizar estos procedimientos?
- ¿Es obligatorio llevar a cabo los procedimientos de seudonimización y anonimización?
- ¿Se requiere consentimiento del afectado para seudonimizar o anonimizar los datos personales?
- ¿En qué sectores es más común el uso de estos procedimientos?
- ¿Siempre se aplica a estos procesos la normativa de protección de datos?
- Enlace de interés
¿Qué es la anonimización de datos personales?
La anonimización de datos personales, que ya recogía la antigua LOPD, consiste en desvincular completamente los datos personales de los datos identificativos, es decir, cuando se anonimizan datos personales, se produce un nuevo conjunto de datos completamente disociado del individuo al que pertenecen, haciendo imposible que a través de esos datos anonimizados se pueda identificar o reidentificar a dicho individuo.
La anonimización ha sido definida por la AEPD como «la ruptura de la cadena de identificación de las personas».
¿Qué es la seudonimización de datos personales?
Para el RGPD es la seudonimización de datos personales es «aquella información que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional, siempre que esta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».
En palabras más simples, la seudonimización de datos consiste en tratar los datos personales sin los datos identificativos del interesado, pero sin suprimir la vinculación entre los datos que consigan determinar la persona titular de los mismos.
Fue el RGPD y su adaptación en Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD) el que introdujo el seudonimizado de datos personales como una medida válida para la protección de datos.
Diferencia entre anonimización y seudonimización
Vistas las definiciones de ambos conceptos, es evidente que anonimización y seudonimización de datos son lo mismo.
La anonimización es un procedimiento donde los datos identificativos se disocian totalmente de los datos personales, es algo irreversible.
La seudonimización desvincula los datos identificativos, pero los datos seudonimizados mantienen datos adicionales que pueden reidentificar a los interesados, por tanto, es un procedimiento reversible.
Ejemplos de datos anonimizados y datos seudonimizados
Para ilustrar lo visto hasta ahora, os dejamos ejemplos de anonimización de datos y seudonimización:
- Ejemplo de datos anonimizados: Cuando se publican estadísticas con los porcentajes de población activa desempleada por comunidades. Estos datos (los porcentajes) no se pueden usar para identificar a cada individuo que haya hecho la encuesta de población activa. En este tipo de encuestas se recopilan datos de edad, formación, situación de empleo…, de los que después se pueden obtener otros tipos de datos, porcentaje de mejores de 25 años desempleados, porcentaje de personas con formación básica desempleada, etc.
- Ejemplo de seudonimización: Cuando sustituimos los nombres de clientes por un código o por un identificador numérico, es decir, cambiar los datos personales por seudónimos.
Cómo anonimizar datos
Los procedimientos para anonimizar datos personales se inician con un estudio sobre los riesgos que pueden correrse si los datos personales consiguen relacionarse de nuevo con los datos identificativos de la persona, y por ello, se deben considerar las consecuencias que se pueden dar en cada caso concreto y en función de cómo se haya producido la reidentificación.
Normalmente, las reidentificaciones suelen realizarse:
- Por una pérdida de información
- Por falta de protocolo adecuado en el procedimiento de anonimización
- Porque el personal que ha realizado la anonimización no ha actuado de forma diligente
Finalidad
La finalidad de la anonimización consiste en que sea prácticamente imposible la asociación de los datos que se han anonimizado con los datos identificativos de la persona afectada.
Tipos de anonimización
De forma general, podemos hablar de dos tipos de anonimización: la generalización y la aleatorización, dentro de estas, podemos encontrar diferentes formas para anonimizar los datos personales.
- Generalización: Consiste en «convertir» los datos individuales de los interesados en datos genéricos, es decir, se trata de utilizar escalas o magnitudes más amplias y generales, de manera que en vez de datos individuales, tengamos un grupo de datos, que dificulte la identificación por separado. Por ejemplo, en vez de usar todas las notas de un curso, con los nombres de a quien pertenecen, usar solo la media total del curso completo, desvinculada de cualquier nombre de alumno.
- Agregación y anonimato k: Se usa para impedir aislar a un individuo agrupándolo con al menos un grupo k de personas. Aquí los valores de los atributos se generalizan para que cada individuo comparta el mismo valor (por ejemplo, un año de nacimiento).
- Diversidad l / proximidad t: Dota de algo más de complejidad la técnica anterior, ampliando el anonimato k dando a cada clase de equivalencia l valores diferentes.
- Aleatorización: Esta técnica modifica la veracidad de los datos para eliminar el vínculo entre estos y el individuo al que pertenecen. Cuando los datos son lo suficientemente ambiguos, resulta casi imposible que remitan a una persona en concreto. Para ello se emplean diferentes técnicas:
- Adición de ruido: Se modifican los atributos de un conjunto de datos para que sean menos precisos, pero conservando la distribución general.
- Permutación: Se mezclan valores de los atributos de un conjunto de datos para que algunos de ellos se vinculen a distintos interesados, teniendo cuidado de no cambiar la relación lógica existente.
- Privacidad diferencial: Se recogen datos de forma general, pero sin conocer a quién corresponde cada dato.
Equipo de trabajo para la anonimización
La anonimización se lleva a cabo por varios equipos de trabajo.
Estos equipos de trabajo estarán formados por miembros que han de ser independientes los unos de los otros en el desarrollo de sus funciones.
Cada equipo desarrollará una actividad concreta. Estas actividades son:
- Evaluar los posibles riesgos que se pueden derivar de la anonimización, es decir, realizar una EIPD
- Determinar qué técnicas de anonimización van a ser las más adecuadas
- Velar por las medidas de seguridad necesarias para mantener la anonimización
Se deberá informar al personal que vaya a tener acceso a ese tipo de datos de:
- La política a seguir en el uso a dicha información
- Las medidas de control que se deben adoptar en el acceso
- Las obligaciones que se derivaran en los casos en que se produzca la identificación de los interesados.
Además, debe existir un registro con la información que se proporciona y el personal que va a tener acceso.
Cómo seudonimizar datos personales
Se trata de no identificar directamente a una persona física, a través de los datos facilitados. No se puede asegurar completamente que la identidad del titular de los datos pseudo anonimizados no pueda ser averiguada a través de información adicional.
Finalidad
Tiene la misma finalidad que la anonimización, es decir, minimizar en la medida que sea posible, que el interesado pueda ser identificado.
En estos casos lo más importante es determinar cómo se va a proteger la información adicional, ya que será esa información la que permita la identificación del afectado.
Tipos de seudonimización
La seudonimización RGPD se puede realizar por cualquier de las siguientes maneras:
- Mediante la sustitución de cifras y códigos por palabras. Una vez que se ha sustituido, esa información no significa nada y para su correcta lectura se debe estar en posesión de la información adicional
- A través de la codificación de la información. Esta codificación puede ser retornada con la clave de desencriptación
- Cuando la información se almacene bajo un número aleatorio que carezca de relación con la información original
- Existe la sustitución de cifras y códigos por palabras y a la vez se cuenta con una clave para su desencriptación
- Se intercambia un número aleatorio por un conjunto de datos
Los 10 errores de la anonimización según la AEPD
Ahora que ya conocemos en qué consisten los procesos de anonimización y seudonimización, vamos a ver 10 errores de la anonimización que la AEPD ha recogido en una guía para ilustrar la importancia de llevar a cabo estos procedimientos de forma correcta.
«Seudonimización y anonimización son lo mismo»
En los puntos anteriores ya hemos visto la diferencia entre anonimizar datos y seudonimizarlos, sin embargo, todavía podemos encontrar responsables que piensan que ambos procesos cumplen la misma función, cuando no es así.
Recordemos que la seudonimización permite, al usar información adicional, reidentificar a los individuos, lo que lleva a considerar como datos personales los datos seudonimizados. Mientras que la anonimización permite llevar a cabo una completa disociación de datos, que impide identificar a ningún individuo concreto, de manera que los datos anónimos ya no se consideran datos personales.
«El cifrado es lo mismo que anonimizar»
No, el cifrado de datos no es lo mismo que anonimizar datos, sino que se trata de una técnica que se puede emplear para pseudo-anonimización, puesto que a través del uso de claves de cifrado secretas, se puede transforma la información para que esta quede ilegible, sin embargo, aplicando la misma clave (la información adicional que señalábamos más arriba) los datos vuelven a ser legibles.
De manera que el cifrado es una herramienta útil para seudonimización, que mantiene la confidencialidad de la información durante un periodo de tiempo, pero no puede considerarse anonimización, incluso cuando se pierde la clave de cifrado, porque nada asegura que esos datos no puedan ser descifrados en algún momento.
«Todos los datos pueden anonimizarse»
Es un error habitual creer que todos los datos pueden anonimizarse, pero no es así y en algunos conjuntos de datos (por ejemplo, cuando el universo de sujetos es reducido) y en determinados contextos, es posible que la anonimización completa no sea pueda llevar a cabo y exista riesgo de identificación de los individuos.
Además, hay situaciones en la que anonimizar los datos puede hacerlos inútiles para el propósito para el que han sido recogidos.
«La anonimización es para siempre»
Otro error común es pensar que la anonimización de datos es permanente, pero lo cierto es que, especialmente debido al desarrollo de nuevas tecnologías, es posible que en el futuro datos que eran anónimos puedan acabar sirviendo para reidentificar a los individuos a los que están asociados.
Esto también puede ocurrir porque a lo largo de los años se publiquen datos adicionales, por ejemplo, si se produce una filtración de datos personales, que permitan esa reidentificación.
«La anonimización impide que un conjunto de datos sea reidenditifcado»
Aunque lo deseable del proceso de anonimización es conseguir que los datos sean completamente anónimos, el riesgo de reidentificación cero no existe y siempre se debe tener en cuenta ese riesgo residual, para seguir aplicando las medidas de seguridad correspondientes.
«La anonimización no puede medirse»
En línea con el punto anterior, el grado de anonimización sí puede medirse y analizarse, ya que siempre existe esa posibilidad de que los datos anónimos pueden acabar reidentificando a los individuos. Por ese motivo, todos los procesos de anonimización de datos deben evaluar el riesgo de reidentificación para gestionarlo de manera adecuada a lo largo del tiempo.
«La automatización completa de la anonimización es posible»
Si bien es cierto que se pueden utilizar herramientas automáticas durante el proceso de anonimización, hay que tener en cuenta que la intervención humana en él siempre es necesaria, especialmente para analizar y evaluar los riesgos y las posibilidades de reidentificación de los conjuntos de datos. Hay que tener en cuenta que, aunque una herramienta automática puede detectar los identificadores directos, los indirectos puede resultar más complejo y depender del «ojo humano» para ello.
«A través de la anonimización, los datos se hacen inútiles»
Es posible pensar que al anonimizar los datos, estos no resulten útiles para ninguna finalidad, pero la realidad nos dice que si se escoge el proceso de anonimización adecuado, se puede mantener la funcionalidad de los datos para un fin determinado.
Es el responsable del tratamiento el que debe evaluar si el fin para el que requiere los datos puede alcanzarse al anonimizarlos o, por el contrario, es necesario acudir a una técnica de seudonimización y los riesgos y las medidas de seguridad que sea necesario aplicar para garantizar la privacidad de la información.
«Copiar el proceso de anonimización de datos de otro dará resultados iguales»
La anonimización de datos debe siempre adaptarse al contexto, naturaleza, alcance y fines del tratamiento y tener en cuenta los riesgos que puede entrañar el tratamiento para los derechos y libertades de los individuos. Por ese motivo, no se deben copiar los procesos de anonimización de datos de terceros, ya que lo que una finalidad y un contexto y tipos de datos le puede servir, puede ser insuficiente o inadecuado para otro conjunto de datos.
«No hay riesgo ni interés en saber a quién pertenecen los datos»
Aunque pensemos que no pueda existir ningún tipo de interés en atribuir determinados conjuntos datos a los individuos a los que corresponden, lo cierto es que los datos tienen un valor en sí mismos y es muy posible que haya actores interesados en reidentificar ciertos conjuntos datos, bien por mera curiosidad, bien por interés periodístico o científicos o bien para otros fines menos éticos. Además, hay que tener en cuenta que esa reidentificación podría tener efectos sobre los derechos y libertades de los individuos afectados.
Preguntas frecuentes de nuestros clientes
¿Cuál es la finalidad de la anonimización y seudonimización de datos?
Son medidas de seguridad para garantizar la protección de datos de carácter personal que se van a tratar, especialmente cuando hablamos de datos sensibles, como por ejemplo, los relativos a la salud.
¿Quién tiene que realizar estos procedimientos?
Conforme al RGPD, serán llevados a cabo por el responsable del tratamiento y por el encargado del tratamiento.
Además, el responsable y el encargado del tratamiento deben determinar qué personas estarán autorizadas para tener acceso.
¿Es obligatorio llevar a cabo los procedimientos de seudonimización y anonimización?
Según el RGPD, no necesariamente. Su realización es potestativa, ya que pueden haberse adoptado otras medidas de seguridad.
¿Se requiere consentimiento del afectado para seudonimizar o anonimizar los datos personales?
No. Estos procedimientos se realizan como medidas de seguridad que se adoptan a nivel interno por el responsable y/o encargado del tratamiento.
¿En qué sectores es más común el uso de estos procedimientos?
Suelen encontrarse en el ámbito sanitario, como farmacias, clínicas privadas, fisioterapeutas, en el ámbito de la investigación científica y social, etc.
Por regla general, se separa el dato identificativo del dato de salud con el fin de realizar encuestas, estudios, investigaciones, estadísticas, docencia…
Un ejemplo concreto sería el envío de una muestra biológica -sangre, orina…- a un laboratorio para que realicen las investigaciones que se soliciten. En este caso el laboratorio solamente tiene acceso a dichas muestras, en ningún caso podría acceder a los datos identificativos de la persona titular de las muestras.
¿Siempre se aplica a estos procesos la normativa de protección de datos?
Solamente los datos de carácter personal están sujetos a la normativa en materia de protección de datos.
Debemos considerar si la seudonimización y la anonimización tratan datos personales y si se encuentran por ello bajo el paraguas del RGPD.
En la anonimización los datos dejan de ser datos personales y por ello se entiende que no estarían dentro de la ley de protección de datos. Esto se produciría cuando los datos identificativos sean imposibles de asociar a un sujeto determinado.
En la seudonimización, por el contrario, nunca se elimina toda la información relativa al sujeto, se cuenta con información adicional y personal que puede dar lugar a su identificación, por ello aquí resulta claro que la normativa en materia de protección de datos debe aplicarse siempre.