Consideraciones sobre la anonimización de datos personales

Consideraciones sobre la anonimización de datos personales
julio 26, 2021| Protección de datos

✔ La Agencia Española de Protección de Datos – AEPD publicó una guía para clarificar varios malentendidos que se cometen habitualmente a la hora de anonimizar datos personales. En este artículo se pretende dejar en claro los conceptos y resumir las consideraciones de la  AEPD para evitar interpretaciones inadecuadas y posibles vulneraciones de la normativa vigente, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

El proceso de anonimización consiste en convertir los datos personales en anónimos o no identificables. Concretamente, toda la información que hace referencia a personas físicas identificadas o identificables deja de serlo. En este sentido, los conjuntos de datos que incluyen datos personales son los que permiten la identificación de una persona física, y pueden contener tanto identificadores directos como indirectos. Los identificadores directos es la información específica que puede atribuirse a un sujeto en concreto (nombre, número de identificación, etc.) y los identificadores indirectos son aquellos datos que pueden utilizarse, de forma individual o combinada, por parte de alguien que tenga conocimientos sobre el individuo con el fin de reidentificarle (datos de geolocalización, opiniones, etc.), es decir, convertir los datos anonimizados en datos personales a través de técnicas de comparación de datos o similares.

El primer error es considerar que La seudonimización y la anonimización son lo mismo. La diferencia es tan simple como que los datos seudonimizados siguen siendo datos personales y los datos anonimizados pierden esa consideración. Los efectos son trascendentales, a los primeros se le aplicará la normativa de protección de datos y a los segundos, no. La seudonimización permite que los datos personales no puedan atribuirse a un sujeto concreto sin hacer uso de información adicional, protegida por medidas técnicas y organizativas y la anonimización hace que una vez los datos son realmente anónimos no se pueden asociar a un individuo en particular, dejando de ser identificables.

El cifrado no es una técnica de anonimización, sino de seudonimización. El proceso de cifrado hace uso de claves secretas para transformar información y reducir el riesgo, pero estas transformaciones son reversibles a través del proceso de descifrado. Aunque se elimine la clave del cifrado, estos datos pueden volver a recuperarse teniendo en cuenta la solidez del algoritmo de cifrado o clave, los avances tecnológicos, la cantidad de datos cifrados o algunos problemas de implantación.

No siempre es posible reducir en su totalidad la posibilidad de reidentificación. La anonimización trata de encontrar el equilibrio perfecto entre la reducción del riesgo de reidentificación y el mantenimiento de la utilidad del conjunto de datos, pero en función de la naturaleza de los datos o del contexto, los riesgos de reidentificación podrían no mitigarse por completo. Esto sucede en casos en que hay un número de individuos demasiado reducido, cuando las categorías de datos son muy diferentes entre sí o cuando los conjuntos de datos incluyen un elevado número de atributos demográficos o de localización.

La anonimización no es permanente. Hay procesos de anonimización que pueden revertirse en un futuro a raíz de cambio de circunstancias, nuevos avances técnicos y disponibilidad o divulgación de información adicional. La anonimización no siempre es total, es decir que la reducción de posibilidades de reidentificación no es cero. El proceso de anonimización y la forma en que se aplica tendrá influencia directa en la probabilidad de riesgos de reidentificación. Hay varios factores que pueden influir en el riesgo: controles de mitigación, repercusión en la privacidad de individuos y la capacidad del atacante. En muchos casos la anonimización al 100% no es posible y debe contemplarse un riesgo residual de reidentificación.

La anonimización puede automatizarse, pero nunca por completo. La intervención humana es necesaria, ya que se requiere un análisis del conjunto de datos original (fines previstos, técnicas y riesgo de reidentificación). El proceso de anonimización debe identificar y eliminar los identificadores directos como indirectos, y estos últimos en muchas ocasiones no son obvios ni fáciles de detectar. El grado de anonimización puede analizarse y medirse. Cualquier proceso sólido de anonimización evaluará el riesgo de reidentificación, que deberá gestionarse y controlarse en el futuro.

La anonimización no inutiliza los datos, sino que mantiene la funcionalidad de los mismos para un fin determinado. El objetivo es evitar que se identifique a los individuos de un conjunto de datos restringiendo las formas en que se puede utilizar este conjunto, pero los datos no pierden su función, sino que su utilidad dependerá de la finalidad y el riesgo de reidentificación que se acepte. En cuanto a la conservación, los datos no pueden almacenarse de forma ilimitada, pero la anonimización permite independizar datos personales del conjunto de datos, haciendo que el conjunto siga conservando un significado útil. Un ejemplo sería el registro de accesos a un sitio web, en caso de conservarse la fecha de acceso, pero no qué usuario ha accedido. En los casos en que la anonimización no se ajuste a la finalidad prevista, el responsable del tratamiento podría decidir en hacer uso de la seudonimización o no tratar datos personales.

No hay un proceso estándar de anonimización válido para todas  las empresas, lo que puede servir y tener éxito para unas, no lo garantiza en otras. Por ello, deben adaptarse los procesos de anonimización a la naturaleza, alcance, contexto, fines del tratamiento, riesgos y gravedad para los derechos y libertades de las personas físicas de cada entidad. El riesgo de reidentificación puede variar según la actividad y el tipo de destinatarios.

Los datos personales tienen valor en sí mismos, ya sea para los propios individuos y para terceros y la reidentificación de las personas podría generar graves repercusiones en sus derechos y libertades. El impacto sobre la vida privada de una persona es muy difícil de evaluar, ya que el mismo dependerá del contexto y la información que se pueda correlacionar. Los ataques pueden tener forma de intentos deliberados, involuntarios, brechas de seguridad o divulgación de datos al público.

⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.