Anonimización vs. Seudonimización - BoomerNiX

miércoles, 13 de junio de 2018

Anonimización vs. Seudonimización


Desde la reciente entrada en aplicación del Reglamento General de Protección de Datos (RGPD o GDPR), han surgido muchos debates sobre las diferentes estrategias de adaptación a sus requerimientos. Sin embargo, hay un punto que todavía parece causar bastante confusión, y es el relativo a las medidas de anonimización y seudonimización.

No es raro escuchar que algunas empresas para dar cumplimiento a GDPR están “anonimizando” algunos de sus datos personales, sustituyendo, por ejemplo, los nombres de sus clientes por identificadores numéricos. Esta afirmación, sin embargo, no sería cierta, ya que en este caso no estaríamos hablando de datos anonimizados, sino de datos seudonimizados.

Pero entonces, ¿no es lo mismo? Y aunque fueran “cosas” diferentes, ¿esta diferencia es realmente importante?



La respuesta es “Sí, y mucho”. De hecho, esta diferenciación es tan importante que puede llegar a definir la necesidad de aplicar los principios de GDPR sobre nuestro conjunto de datos o no. Un claro ejemplo lo encontramos en el Considerando 26 del Reglamento, donde se recogen las siguientes frases:

 “Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable.”

“(…) los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo.”

Como se puede intuir por los párrafos anteriores, la principal diferencia entre ambos conceptos reside en la vinculabilidad de los datos con sus usuarios originales, pero antes de seguir avanzando con más “palabras complicadas”, vamos a definir cada uno de estos conceptos:

  • La anonimización es una técnica que se aplica a los datos personales con el objetivo de eliminar las posibilidades de identificación de las personas de manera irreversible, pero manteniendo la veracidad de los resultados del tratamiento de los datos.

  • La seudonimización se corresponde al tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Mientras que la anonimización consiste en la desidentificación de los datos personales de manera irreversible, la seudonimización consiste en la sustitución de un atributo (normalmente un atributo único) por otro en un registro. Esto supone que la seudonimización simplemente reduzca la vinculabilidad de un conjunto de datos con la identidad del interesado, pero que no elimine esta vinculación, por lo que seguirá existiendo una alta probabilidad de identificar a la persona física de manera indirecta si se consigue recuperar el atributo inicial.

El resultado de la seudonimización puede ser independiente del valor inicial (tal sería el caso de un número aleatorio generado por el responsable del tratamiento o de un apellido escogido por el interesado) o bien derivarse de los valores originales de un atributo o conjunto de atributos, como por ejemplo en el caso de funciones hash o sistemas de cifrado.

Para determinar si una persona física puede ser reidentificada, el Grupo de Trabajo del Artículo 29 propone la “razonabilidad de medios usados” como criterio para evaluar si el tratamiento de anonimización es suficientemente sólido, y por tanto la identificación de los datos tratados se considera “razonablemente” imposible. Para ello, deben tenerse en cuenta todos los medios que razonablemente puedan ser utilizados para identificar directa o indirectamente a la persona física.

Para verificar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento, como los avances tecnológicos. Además, existen factores que pueden afectar a la identificabilidad de los datos, tales como:

  • La evolución de la tecnología: a medida que avanza el tiempo pueden aparecer nuevas herramientas que faciliten la reidentificación de los datos.
  • La aparición de nueva información o nuevas fuentes: esta información es especialmente accesible a través de internet en redes sociales, blogs, etc.
  • Las propias características de la información: existen datos que pueden vincularse con mayor facilidad a una persona específica que otros.

Este conjunto de circunstancias aumenta lo que se conoce como “riesgo de reidentificación”, que hace referencia a la posibilidad de obtener los datos originales a partir de datos anonimizados.

Como conclusión, hemos visto que, aunque ambas técnicas están estrechamente relacionadas y pueden ser muy útiles a la hora de proteger los datos personales tratados, es necesario conocer sus diferencias y mantener muy presente que la seudonimización es una medida de seguridad útil, pero no se puede considerar en ningún caso un método de anonimización.

No hay comentarios:

Publicar un comentario