La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, por lo que con el Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679) se crea un marco más sólido y coherente para la protección de datos en la Unión Europea, adaptando la legislación a los avances tecnológicos.
El Reglamento, ya en vigor, será de aplicación a partir del 25 de Mayo de 2018 por lo que es recomendable que las empresas vayan desarrollando los sistemas y procedimientos de trabajo para su implantación ya que las exigencias son notables.
El uso de datos de carácter personal de manera abierta en procesos como el Open Data, Big Data o la transparencia del sector público, exige un ejercicio constante de ponderación entre el derecho a la información y el derecho a la protección de los datos personales.
Es por ello que además de ampliar el concepto de dato personal, incluir la figura del Data Protection Officer (DPO), las evaluaciones de impacto en protección de datos (EIPD) y establecer nuevos derechos para los titulares de datos (supresión, limitación y portabilidad), el Reglamento se caracteriza por promover la SEUDONIMIZACIÓN.
¿Qué es la seudonimización?
La seudonimización se encuentra definida en el Art. 4.5) del Reglamento, como la información que, sin incluir los datos denominativos de un sujeto afectado permiten, a través de la asociación con información adicional, determinar quién es el individuo que está detrás de los datos seudonimizados.
Por tanto, podemos considerar la seudonimización como una barrera técnica u organizativa para gestionar el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
El fundamento es reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos.
Cabe subrayar que la seudonimización, como medida encaminada a la reducción de riesgos que dificulta la identificación posterior, es un concepto especialmente relevante en procesos de Cloud Computing y Big Data.
Las técnicas de seudonimización más habituales son:
Cifrado con clave secreta, un tipo de encriptación en el que el poseedor de la clave de desencriptación puede revertir el proceso en cualquier momento.
Cifrado determinista o función hash con clave de borrado de clave; genera un número aleatorio a modo de seudónimo para cada atributo de la base de datos y, posteriormente, al borrado de la tabla de correspondencia
Descomposición en tokens. Remplaza los números de identificación de tarjetas por valores que son de poca utilidad para aquellos que quieran acceder de forma fraudulenta a los datos personales
Función hash. Los hash o funciones de resumen son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos).
Función con clave almacenada. Es un tipo de función hash que hace uso de una clave secreta a modo de valor de entrada suplementario (la ejecución de la función se podría reproducir con el atributo y la clave secreta).
Conclusiones y conceptos clave
Como podemos observar, en plena era de la globalización, la rápida evolución tecnológica nos plantea nuevos retos para la protección de los datos personales.
Nos encontramos ante potentes herramientas tecnológicas para la protección de datos en el ecosistema digital del siglo XXI.
La identificación, habría que llevarla a cabo a través de la asociación con información adicional, para así determinar quién es el individuo que está detrás de los datos seudonimizados.
Simplificando el concepto, la seudonimización consiste en sustituir un atributo por otro en un registro, de tal forma que a pesar de que siga existiendo la posibilidad de vincular a la persona física de manera indirecta con el conjunto de datos origen, se dificulta tal acción.
Así pues, constituye una poderosa herramienta que permite cumplir con mayor facilidad con ciertas exigencias del nuevo reglamento europeo y con uno de los mayores retos incluidos en el mismo, el control del riesgo. Mediante su uso, podremos demostrar que hemos adoptado y desarrollado medidas destinadas a controlar este factor.
Como podemos apreciar, la legislación es cada vez más exigente e incluso tiende a profesionalizar aún más la figura de los responsables de seguridad en los sistemas. El mundo académico no se queda atrás y ya existen másteres oficiales en protección de datos así como programas específicos orientados al desarrollo de la figura del DPO (Data Protection Officer) y del CO (Compliance Officer).
Los datos son el oro del siglo XXI para muchas empresas por lo que el derecho fundamental de la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales (incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención), es objeto de un acto jurídico específico a nivel de la Unión Europea.
No es lo mismo anonimato que seudonimización, ya que la anonimidad implica la imposibilidad de conectar los datos con la persona a la que pertenecen - https://xcasinobonuses.net/casino-news/microgaming-online-casino.html.
Es por tanto recomendable que las organizaciones se tomen en serio la nueva legislación en la materia, que llega con sanciones de hasta el 4% de la facturación anual o hasta 20 millones de euros (optándose por la de mayor cuantía).
Como sociedad debemos concienciarnos de la importancia que tienen los datos personales y lo vulnerables que somos si no tenemos en cuenta muchos de los aspectos mencionados.
Y por supuesto, las organizaciones deben implantar la cultura de la seguridad informática y la gestión responsable de los datos personales, desarrollando las medidas apropiadas de gestión y control, ya que el Reglamento General de Protección de Datos es más exigente que la LOPD. Así pues, se inicia una nueva era con mayores derechos para los usuarios y obligaciones para las empresas y organizaciones que hace necesario desarrollar una responsabilidad activa basada en la ética, la seguridad, la evaluación y el control en la gestión de los datos personales de los usuarios.
Abraham Muinelo
Director BvQ Consulting
Director de Marketing y Comunicación estratégica de la WCA
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación