Autora: Leticia Garcia-Blanch Sanz de Andino. Letrada en De Lawyers
Fuente: Economist Jurist
La utilización de datos personales resulta delicada, puesto que debe garantizarse un total respeto a los derechos de los interesados. En algunos casos, en particular si nos encontramos ante datos “sensibles” (que gozan de una especial protección), las obligaciones derivadas del tratamiento pueden suponer un aspecto muy importante para el agente que los trata.
Ahora bien, todo ello parte del presupuesto de que se están tratando datos personales. El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define estos como aquellos que, en relación con una persona física viva, hacen (o podrían hacer) posible su identificación. En el caso de que no sea posible identificar o unir un dato concreto a la persona de la que procede, ya no sería considerado dato personal, por lo que no sería necesario someter el tratamiento a las limitaciones ligadas a la protección del interesado. Este proceso irreversible es lo que se conoce como anonimización.
El artículo 4.5 del RGPD define la pseudonimización como: “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”. Es decir, que no se produciría la ruptura de la cadena de identificación, por lo que, aunque los datos estuvieran disociados, sería posible llegar a la reidentificación.
La anonimización se distingue de la pseudonimización precisamente en dicha “ruptura de la cadena de reidentificación”[1], que estaría compuesta de datos y microdatos que permitan la identificación directa o indirecta de la persona. La primera sería la que permite conocer por sí mismos la identidad de la fuente (como el nombre o el DNI); mientras que la indirecta es aquella que, cruzándolos con otros, permiten llegar al mismo resultado (por ejemplo, si cruzamos la fecha de nacimiento con datos sobre una enfermedad rara, y con datos sobre las características físicas del afectado, podría llegar a identificarse al paciente).
Es importante destacar que la posibilidad de reidentificación es siempre un riesgo residual, también en la anonimización, y no un incumplimiento de las medidas de seguridad[2]. También destacamos que la ruptura de la cadena de información no debe suponer la distorsión de la misma. El resultado del tratamiento de datos anonimizados debería ser idéntico al obtenido de los mismos datos cuando estos aún son identificables[3]. Algunas de las técnicas que se utilizan para ello pueden provocar una cierta distorsión, pero esto es considerado como un inconveniente a remediar.
En el caso de que no sea posible identificar o unir un dato concreto a la persona de la que procede, ya no sería considerado dato personal, por lo que no sería necesario someter el tratamiento a las limitaciones ligadas a la protección del interesado. Este proceso irreversible es lo que se conoce como anonimización
Por otra parte, es relevante indicar que la información adicional que permite la reidentificación siempre figura por separado, y está ligada a una serie de medidas de seguridad que buscan evitar que se produzca la reidentificación no deseada[4] y, por lo tanto, que un determinado actor no pueda acceder a los datos identificativos no supone la anonimización.
Pongamos un ejemplo práctico: el responsable del tratamiento (A), entrega al encargado de procesar los datos (B) unos datos de salud para un estudio científico, conservando A ficheros en los que se identifica a quiénes corresponden dichos datos, aunque B no llega a entrar en contacto con estos nunca.
B podría pensar que está ante una anonimización, puesto que no tiene nunca ninguna posibilidad de revertir el proceso y volver a unir los datos de salud con las personas a las que pertenecen.
No obstante, así tiene en su poder los ficheros con los datos identificativos de los pacientes. Si A además fuera un hospital o un centro de salud, podríamos señalar que, aunque no se almacenen en el mismo fichero los datos identificativos con los que son proporcionados para el proyecto en cuestión, A tiene en su poder las historias clínicas de todos sus pacientes, lo que en última instancia permitiría la reidentificación. Por lo tanto, nos encontramos exactamente en la situación que hemos detallado unas líneas más arriba: existen unos ficheros que permiten revertir el proceso de disociación, y por lo tanto nos encontramos ante una pseudonimización.
La posibilidad de reidentificación es siempre un riesgo residual, también en la anonimización, y no un incumplimiento de las medidas de seguridad
Para llevar a cabo la anonimización, cabe destacar que no hay una regulación normativa que determine cómo o cuándo ha de realizarse. En relación con el cuándo, la respuesta es bastante lógica: cuanto antes se produzca dentro de la cadena de transmisión, antes podrá dejar de considerarse que se está haciendo un tratamiento de datos personales, y el riesgo asociado será evidentemente menor.
Ahora bien, en cuanto al cómo, existe la Guía de orientaciones y garantías en los procedimientos de anonimización de datos personales, de la AEPD, que establece una propuesta de proceso. En la propia Guía se especifica que no se trata de un sistema obligatorio. Sin embargo, es bastante completo y ha sido adoptado por multitud de marcas y despachos de abogados[5]. También resulta de gran interés el Dictamen 05/2014 sobre técnicas de anonimización, elaborado por el Grupo de trabajo sobre protección de datos del artículo 29 de la Unión Europea. Basándonos en estos dos documentos, vamos a proceder a señalar algunos principios claves que hay que tener en cuenta a lo largo del proceso.
Proteger la privacidad debe ser el objetivo de la anonimización, y no una medida reactiva tomada a consecuencia de un problema
En primer lugar, es necesario apuntar el concepto de “protección de datos desde el diseño”, recogido en el artículo 25 del RGPD y en numerosos documentos de la AEPD. Consiste en que los requisitos de privacidad deben tenerse en cuenta desde que comienza a diseñarse el proyecto, de forma que se incorporen medidas técnicas y organizativas apropiadas, que proactivamente busquen crear un sistema que garantice los derechos de los interesados, y teniendo en cuenta factores como puedan ser el estado de la técnica, los riesgos del tratamiento o el coste de las medidas necesarias para proteger a los interesados[6]. Esto debe prolongarse durante toda la vida del proyecto.
Una vez definido esto, pasamos a indicar los principios que deben regir el diseño del proceso de anonimización:
Proteger la privacidad debe ser el objetivo de la anonimización, y no una medida reactiva tomada a consecuencia de un problema. Una buena medida al comienzo de la planificación del Proyecto es clasificar los datos en función de su nivel de sensibilidad, de forma que haya una tabla que pueda servir como referencia a los encargados del tratamiento.
El sistema de información debe buscar, ante todo, garantizar la confidencialidad de los interesados. Además, esto permite valorar mejor el nivel de detalle que es necesario que tengan los datos empleados finalmente en el tratamiento.
Es imposible eliminar al cien por cien el riesgo de reidentificación, pero el índice de riesgo tiene que poder ser considerado como aceptable, y debe ser tenido en consideración a la hora de elaborar el proceso de anonimización.
En el caso de que los resultados obtenidos sean ofrecidos públicamente para su uso, se deberá informar a las personas o entidades que la vayan a utilizar de la existencia de dicho riesgo.
Ya desde el comienzo del diseño del sistema debe tenerse en cuenta cuál va a ser la finalidad para la que van a ser utilizados los datos, tratando de utilizar un sistema que no los distorsione, evitando que se pierda su utilidad o que puedan arrojar resultados que no se corresponden con la realidad.
En algunos supuestos puede ser necesario realizar algunas distorsiones (por ejemplo, en una investigación sobre personas con una patología extremadamente rara ya que, al ser tan pocas, es posible reidentificarlas con una menor cantidad de datos). Cuando este sea al caso, deberá indicársele al destinatario de la información que se han realizado estas distorsiones, así como el tipo (geográficas, temporales, etc.) explicándole también el motivo por el que han sido introducidas.
La privacidad de los interesados se debe proteger desde antes de llevarse a cabo la anonimización. Por ejemplo, eliminando las variables que permitan facilitar la identificación y que no sean necesarias o que impidan la anonimización, realizando auditorías de verificación del uso de la información, con políticas y procedimientos de actuación para casos de brechas de seguridad, etc.
Es necesario que el personal involucrado en el tratamiento cuente con una adecuada formación al respecto, tanto inicial como proporcionada a lo largo del tratamiento (especialmente en proyectos de investigación, ya que suelen ser bastante largos), de tal forma que se pueda demostrar en una auditoría que los empleados y colaboradores están adecuadamente informados de sus funciones y obligaciones en función de su perfil profesional.
Entre otros factores de los que deben ser informados, destacan:
Una vez definidos los principios rectores de la anonimización, vamos a indicar resumidamente el proceso que ha de seguir esta:
AEPD, s.f. Código de buenas prácticas en protección de datos para proyectos de Big Data.
AEPD, 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales.
AEPD, 2018. Informe 073667/2018, sobre la incidencia que en el ámbito de la investigación biomédica pudiera producir la plena aplicación del RGPD.
AEPD, 2020. Bioética y derecho, proteger la privacidad en la sociedad digital post COVID-19. [En línea] Disponible en: https://www.youtube.com/watch?v=1x9KXqVlBbY&list=WL&index=42&t=2262s&ab_channel=AgenciaEspa%C3%B1oladeProtecci%C3%B3ndeDatos (Última consulta: mayo 2021)
De Lecuona, Itziar. Orientaciones y garantías en los procedimientos de anonimización de datos personales, Universidad de Barcelona, 2020.
González-Calero, F., s.f. La anonimización de datos: aclarando conceptos. [En línea] Disponible en: https://www.aec.es/wp-media/uploads/Francisco-Gonz%C3%A1lez-Calero.pdf
Grupo de trabajo sobre protección de datos del artículo 29, 2014. Dictamen 05/2014 sobre técnicas de anonimización.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Muinelo, A., s.f. El Reglamento Europeo de Protección de Datos ¿Qué es la seudonimización? [En línea] Disponible en: http://www.worldcomplianceassociation.com/1348/articulo-el-reglamento-europeo-de-proteccion-de-datos-que-es-la-seudonimizacion.html (Última consulta: mayo 2021)
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
[1] De Lecuona, Itziar. Orientaciones y garantías en los procedimientos de anonimización de datos personales, Universidad de Barcelona, 2020.
[2] AEPD, 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales. p. 7 a 12
[3] Vid. nota 1, páginas 4 a 5.
[4] González-Calero, F., s.f. La anonimización de datos: aclarando conceptos. [En línea] Disponible en: https://www.aec.es/wp-media/uploads/Francisco-Gonz%C3%A1lez-Calero.pdf
[5] Grupo de trabajo sobre protección de datos del artículo 29, 2014. Dictamen 05/2014 sobre técnicas de anonimización, página 25; y AEPD, s.f. Código de buenas prácticas en protección de datos para proyectos de Big Data, y Muinelo, A., s.f. El Reglamento Europeo de Protección de Datos ¿Qué es la seudonimización? [En línea] Disponible en: http://www.worldcomplianceassociation.com/1348/articulo-el-reglamento-europeo-de-proteccion-de-datos-que-es-la-seudonimizacion.html (Última consulta: mayo 2021)
[6] Grupo de trabajo sobre protección de datos del artículo 29, 2014. Dictamen 05/2014 sobre técnicas de anonimización, página 25.
[7] AEPD, 2020. Bioética y derecho, proteger la privacidad en la sociedad digital post COVID-19. [En línea] Disponible en: https://www.youtube.com/watch?v=1x9KXqVlBbY&list=WL&index=42&t=2262s&ab_channel=AgenciaEspa%C3%B1oladeProtecci%C3%B3ndeDatos (Última consulta: mayo 2021)
[8] AEPD, 2016. Orientaciones y garantías en los procedimientos de anonimización de datos personales; y Op. cit. Muinelo, A., El Reglamento Europeo de Protección de Datos ¿Qué es la seudonimización?
[9] Vid. nota 1. Página 11.
[10] La evaluación de impacto se encuentra más detallada en: AEPD, 2020. Evaluaciones de impacto de protección de datos. [En línea] Disponible en: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/evaluaciones-de-impacto (Última consulta: mayo 2021)
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación