Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

15/05/2021

Diferencia entre anonimización y pseudonimización de datos personales: un análisis técnico-jurídico

La anonimización y la pseudonimización son figuras afines que a menudo puede ser difícil delimitar

Autora: Leticia Garcia-Blanch Sanz de Andino. Letrada en De Lawyers

Fuente: Economist Jurist

La utilización de datos personales resulta delicada, puesto que debe garantizarse un total respeto a los derechos de los interesados. En algunos casos, en particular si nos encontramos ante datos “sensibles” (que gozan de una especial protección), las obligaciones derivadas del tratamiento pueden suponer un aspecto muy importante para el agente que los trata.

Ahora bien, todo ello parte del presupuesto de que se están tratando datos personales. El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define estos como aquellos que, en relación con una persona física viva, hacen (o podrían hacer) posible su identificación. En el caso de que no sea posible identificar o unir un dato concreto a la persona de la que procede, ya no sería considerado dato personal, por lo que no sería necesario someter el tratamiento a las limitaciones ligadas a la protección del interesado. Este proceso irreversible es lo que se conoce como anonimización.

El artículo 4.5 del RGPD define la pseudonimización como: “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”. Es decir, que no se produciría la ruptura de la cadena de identificación, por lo que, aunque los datos estuvieran disociados, sería posible llegar a la reidentificación.

La anonimización se distingue de la pseudonimización precisamente en dicha “ruptura de la cadena de reidentificación”[1], que estaría compuesta de datos y microdatos que permitan la identificación directa o indirecta de la persona. La primera sería la que permite conocer por sí mismos la identidad de la fuente (como el nombre o el DNI); mientras que la indirecta es aquella que, cruzándolos con otros, permiten llegar al mismo resultado (por ejemplo, si cruzamos la fecha de nacimiento con datos sobre una enfermedad rara, y con datos sobre las características físicas del afectado, podría llegar a identificarse al paciente).

Es importante destacar que la posibilidad de reidentificación es siempre un riesgo residual, también en la anonimización, y no un incumplimiento de las medidas de seguridad[2]. También destacamos que la ruptura de la cadena de información no debe suponer la distorsión de la misma. El resultado del tratamiento de datos anonimizados debería ser idéntico al obtenido de los mismos datos cuando estos aún son identificables[3]. Algunas de las técnicas que se utilizan para ello pueden provocar una cierta distorsión, pero esto es considerado como un inconveniente a remediar.

En el caso de que no sea posible identificar o unir un dato concreto a la persona de la que procede, ya no sería considerado dato personal, por lo que no sería necesario someter el tratamiento a las limitaciones ligadas a la protección del interesado. Este proceso irreversible es lo que se conoce como anonimización

Por otra parte, es relevante indicar que la información adicional que permite la reidentificación siempre figura por separado, y está ligada a una serie de medidas de seguridad que buscan evitar que se produzca la reidentificación no deseada[4] y, por lo tanto, que un determinado actor no pueda acceder a los datos identificativos no supone la anonimización.

Pongamos un ejemplo práctico: el responsable del tratamiento (A), entrega al encargado de procesar los datos (B) unos datos de salud para un estudio científico, conservando A ficheros en los que se identifica a quiénes corresponden dichos datos, aunque B no llega a entrar en contacto con estos nunca.

B podría pensar que está ante una anonimización, puesto que no tiene nunca ninguna posibilidad de revertir el proceso y volver a unir los datos de salud con las personas a las que pertenecen.

No obstante, así tiene en su poder los ficheros con los datos identificativos de los pacientes. Si A además fuera un hospital o un centro de salud, podríamos señalar que, aunque no se almacenen en el mismo fichero los datos identificativos con los que son proporcionados para el proyecto en cuestión, A tiene en su poder las historias clínicas de todos sus pacientes, lo que en última instancia permitiría la reidentificación. Por lo tanto, nos encontramos exactamente en la situación que hemos detallado unas líneas más arriba: existen unos ficheros que permiten revertir el proceso de disociación, y por lo tanto nos encontramos ante una pseudonimización.

La posibilidad de reidentificación es siempre un riesgo residual, también en la anonimización, y no un incumplimiento de las medidas de seguridad

Para llevar a cabo la anonimización, cabe destacar que no hay una regulación normativa que determine cómo o cuándo ha de realizarse. En relación con el cuándo, la respuesta es bastante lógica: cuanto antes se produzca dentro de la cadena de transmisión, antes podrá dejar de considerarse que se está haciendo un tratamiento de datos personales, y el riesgo asociado será evidentemente menor.

Ahora bien, en cuanto al cómo, existe la Guía de orientaciones y garantías en los procedimientos de anonimización de datos personales, de la AEPD, que establece una propuesta de proceso. En la propia Guía se especifica que no se trata de un sistema obligatorio. Sin embargo, es bastante completo y ha sido adoptado por multitud de marcas y despachos de abogados[5]. También resulta de gran interés el Dictamen 05/2014 sobre técnicas de anonimización, elaborado por el Grupo de trabajo sobre protección de datos del artículo 29 de la Unión Europea. Basándonos en estos dos documentos, vamos a proceder a señalar algunos principios claves que hay que tener en cuenta a lo largo del proceso.

Proteger la privacidad debe ser el objetivo de la anonimización, y no una medida reactiva tomada a consecuencia de un problema

En primer lugar, es necesario apuntar el concepto de “protección de datos desde el diseño”, recogido en el artículo 25 del RGPD y en numerosos documentos de la AEPD. Consiste en que los requisitos de privacidad deben tenerse en cuenta desde que comienza a diseñarse el proyecto, de forma que se incorporen medidas técnicas y organizativas apropiadas, que proactivamente busquen crear un sistema que garantice los derechos de los interesados, y teniendo en cuenta factores como puedan ser el estado de la técnica, los riesgos del tratamiento o el coste de las medidas necesarias para proteger a los interesados[6]. Esto debe prolongarse durante toda la vida del proyecto.

Una vez definido esto, pasamos a indicar los principios que deben regir el diseño del proceso de anonimización:

Proactividad

Proteger la privacidad debe ser el objetivo de la anonimización, y no una medida reactiva tomada a consecuencia de un problema. Una buena medida al comienzo de la planificación del Proyecto es clasificar los datos en función de su nivel de sensibilidad, de forma que haya una tabla que pueda servir como referencia a los encargados del tratamiento.

Privacidad por defecto

El sistema de información debe buscar, ante todo, garantizar la confidencialidad de los interesados. Además, esto permite valorar mejor el nivel de detalle que es necesario que tengan los datos empleados finalmente en el tratamiento.

Privacidad objetiva

Es imposible eliminar al cien por cien el riesgo de reidentificación, pero el índice de riesgo tiene que poder ser considerado como aceptable, y debe ser tenido en consideración a la hora de elaborar el proceso de anonimización.

En el caso de que los resultados obtenidos sean ofrecidos públicamente para su uso, se deberá informar a las personas o entidades que la vayan a utilizar de la existencia de dicho riesgo.

Plena funcionalidad

Ya desde el comienzo del diseño del sistema debe tenerse en cuenta cuál va a ser la finalidad para la que van a ser utilizados los datos, tratando de utilizar un sistema que no los distorsione, evitando que se pierda su utilidad o que puedan arrojar resultados que no se corresponden con la realidad.

En algunos supuestos puede ser necesario realizar algunas distorsiones (por ejemplo, en una investigación sobre personas con una patología extremadamente rara ya que, al ser tan pocas, es posible reidentificarlas con una menor cantidad de datos). Cuando este sea al caso, deberá indicársele al destinatario de la información que se han realizado estas distorsiones, así como el tipo (geográficas, temporales, etc.) explicándole también el motivo por el que han sido introducidas.

Privacidad en el ciclo de vida de la información

La privacidad de los interesados se debe proteger desde antes de llevarse a cabo la anonimización. Por ejemplo, eliminando las variables que permitan facilitar la identificación y que no sean necesarias o que impidan la anonimización, realizando auditorías de verificación del uso de la información, con políticas y procedimientos de actuación para casos de brechas de seguridad, etc.

Información y formación

Es necesario que el personal involucrado en el tratamiento cuente con una adecuada formación al respecto, tanto inicial como proporcionada a lo largo del tratamiento (especialmente en proyectos de investigación, ya que suelen ser bastante largos), de tal forma que se pueda demostrar en una auditoría que los empleados y colaboradores están adecuadamente informados de sus funciones y obligaciones en función de su perfil profesional.

Entre otros factores de los que deben ser informados, destacan:

  • La política de anonimización, variables y técnicas utilizadas
  • Objetivos de la gestión de riesgo
  • Estructura y responsabilidades del equipo encargado del proceso de anonimización
  • Términos de uso y acceso a la información anonimizada
  • Medidas de control implantadas
  • Obligaciones y deberes de cada miembro del personal para el caso de materialización de un riesgo de seguridad[7]

Una vez definidos los principios rectores de la anonimización, vamos a indicar resumidamente el proceso que ha de seguir esta:

  • En primer lugar, la definición del equipo de trabajo. Se debe decidir quién va a intervenir y bajo qué rol, delimitando las funciones y relaciones de dependencia asociadas a cada uno. Esto debe figurar de forma escrita y al alcance de todos los participantes. Además, deberá nombrarse representantes, encargados de evaluar el índice de riesgo como aceptable antes de presentárselo al responsable del tratamiento.
  • A continuación, tenemos que realizar la evaluación de riesgos de reidentificación. Como ya hemos dicho, es imposible que este sea nulo[8]. Y no solo eso, sino que el riesgo aumenta con el paso del tiempo, por la generación de identificadores indirectos proporcionados por el propio interesado o que puedan generarse de forma externa a él[9].
    • Los esfuerzos de recursos empleados para este proceso han de estar en consonancia con los objetivos y los requerimientos del mismo, en función de las medidas que sean necesarias para garantizar la privacidad de los interesados y, evidentemente, en relación con las probabilidades de que se vaya a producir una reidentificación. Para poder adecuar los recursos a las necesidades del proyecto, es necesario realizar una evaluación de riesgos[10]. También sería conveniente que el riesgo residual fuera reevaluado periódicamente.
  • En tercer lugar, se deben determinar y clasificar las variables de identificación más importantes, y luego establecer los correspondientes criterios de protección y reducir al mínimo indispensable el número de variables identificadoras.
  • A continuación, hay que segregar el acceso a los datos, separando técnica y funcionalmente al equipo encargado de tratar los datos personales y a los que van a tratar la información anonimizada.
  • El siguiente paso es, para el caso de que haya microdatos que permitan la identificación de una persona o colectivo determinado, emplear rangos para enmascararlos. Un ejemplo: si se están dando datos sobre personas que residen en una urbanización, se diluiría su información en la de un colectivo de mayor tamaño, por ejemplo, considerando un rango geográfico mayor.
  • En siguiente lugar, se debe elaborar una política de uso de claves para impedir la reidentificación y, por último, conviene realizar auditorías periódicas en las que se compruebe y se genere prueba de que el sistema funciona. Esto es muy relevante sobre todo si se produce una brecha de seguridad, para poder demostrar la diligencia de la organización.

Cuadro de legislación:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Cuadro doctrinal:

  • De Lecuona, Itziar. Orientaciones y garantías en los procedimientos de anonimización de datos personales, Universidad de Barcelona, 2020.
  • AEPD, 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales.
  • AEPD, Código de buenas prácticas en protección de datos para proyectos de Big Data.
  • Grupo de trabajo sobre protección de datos del artículo 29, 2014. Dictamen 05/2014 sobre técnicas de anonimización.

Bibliografía

AEPD, s.f. Código de buenas prácticas en protección de datos para proyectos de Big Data.

AEPD, 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales.

AEPD, 2018. Informe 073667/2018, sobre la incidencia que en el ámbito de la investigación biomédica pudiera producir la plena aplicación del RGPD.

AEPD, 2020. Bioética y derecho, proteger la privacidad en la sociedad digital post COVID-19. [En línea] Disponible en: https://www.youtube.com/watch?v=1x9KXqVlBbY&list=WL&index=42&t=2262s&ab_channel=AgenciaEspa%C3%B1oladeProtecci%C3%B3ndeDatos  (Última consulta: mayo 2021)

De Lecuona, Itziar. Orientaciones y garantías en los procedimientos de anonimización de datos personales, Universidad de Barcelona, 2020.

González-Calero, F., s.f. La anonimización de datos: aclarando conceptos. [En línea] Disponible en: https://www.aec.es/wp-media/uploads/Francisco-Gonz%C3%A1lez-Calero.pdf

Grupo de trabajo sobre protección de datos del artículo 29, 2014. Dictamen 05/2014 sobre técnicas de anonimización.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Muinelo, A., s.f. El Reglamento Europeo de Protección de Datos ¿Qué es la seudonimización? [En línea] Disponible en: http://www.worldcomplianceassociation.com/1348/articulo-el-reglamento-europeo-de-proteccion-de-datos-que-es-la-seudonimizacion.html  (Última consulta: mayo 2021)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

[1] De Lecuona, Itziar. Orientaciones y garantías en los procedimientos de anonimización de datos personales, Universidad de Barcelona, 2020.

[2] AEPD, 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales. p. 7 a 12

[3] Vid. nota 1, páginas 4 a 5.

[4] González-Calero, F., s.f. La anonimización de datos: aclarando conceptos. [En línea] Disponible en: https://www.aec.es/wp-media/uploads/Francisco-Gonz%C3%A1lez-Calero.pdf

[5] Grupo de trabajo sobre protección de datos del artículo 29, 2014. Dictamen 05/2014 sobre técnicas de anonimización, página 25; y AEPD, s.f. Código de buenas prácticas en protección de datos para proyectos de Big Data, y Muinelo, A., s.f. El Reglamento Europeo de Protección de Datos ¿Qué es la seudonimización? [En línea] Disponible en: http://www.worldcomplianceassociation.com/1348/articulo-el-reglamento-europeo-de-proteccion-de-datos-que-es-la-seudonimizacion.html (Última consulta: mayo 2021)

[6] Grupo de trabajo sobre protección de datos del artículo 29, 2014. Dictamen 05/2014 sobre técnicas de anonimización, página 25.

[7] AEPD, 2020. Bioética y derecho, proteger la privacidad en la sociedad digital post COVID-19. [En línea] Disponible en: https://www.youtube.com/watch?v=1x9KXqVlBbY&list=WL&index=42&t=2262s&ab_channel=AgenciaEspa%C3%B1oladeProtecci%C3%B3ndeDatos (Última consulta: mayo 2021)

[8] AEPD, 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales; y Op. cit. Muinelo, A., El Reglamento Europeo de Protección de Datos ¿Qué es la seudonimización?

[9] Vid. nota 1. Página 11.

[10] La evaluación de impacto se encuentra más detallada en: AEPD, 2020. Evaluaciones de impacto de protección de datos. [En línea] Disponible en: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/evaluaciones-de-impacto (Última consulta: mayo 2021)

 


 
Patrocinadores
Colaboradores
Entidades Asociadas