Hoy en día, los datos son un activo clave y gracias a las nuevas tecnologías cada vez hay más formas de recogerlos, procesarlos y compartirlos.
Lo que nunca hay que olvidar es el derecho individual a la privacidad y la protección de los datos personales. Por ello, en ocasiones es necesario desvincular los datos personales de los datos identificativos, y es aquí donde entran en juego los procedimientos de anonimización y seudonimización.
Definición
Aunque puedan parecer sinónimos, la diferencia entre uno y otro concepto es básica:
- La seudonimización trata de cambiar la denominación de los datos por seudónimos, de manera que se reduzca la posibilidad de identificar directamente a los interesados a través de estos datos, sin información adicional. La clave es que no se elimina el vínculo entre los datos personales y los titulares, por lo que es un procedimiento reversible y aunque los datos están desidentificados, permite la reidentificación más adelante si fuera necesaria.
Por ejemplo, si se cambia el nombre y apellidos del interesado por una clave numérica, solo quien posee la información adicional que establece el vínculo entre los datos personales y el interesado, puede llegar a identificar a la persona.
- La anonimización, en cambio, es un procedimiento irreversible y en ningún caso será posible la vinculación del dato con la persona a la que hubiese identificado, porque se produce la disociación completa entre la identidad del interesado y los datos personales recogidos del mismo.
En conclusión, los datos anonimizados ya no son considerados datos personales, mientras que los datos seudonimizados sí, con las consecuencias legales que esto tiene.
Procedimientos
En ambos casos, transformar un conjunto de datos personales en información anonimizada o seudonimizada exige realizar un tratamiento diferente sobre los datos personales, pero siempre se protegerán los derechos y libertades de los interesados.
Ambos deben ser llevados a cabo por el responsable y por el encargado de tratamiento. Es importante destacar que, aunque no son obligatorios, ayudan a aplicar un elemento de protección extra frente a la posibilidad de pérdida o robo de datos.
Se tratan, en conclusión, de herramientas con la que se reducen los riesgos asociados a los tratamientos masivos de datos ya que se oculta información sensible, para poder divulgarla sin infringir el derecho a la protección de datos de los titulares de los mismos:
La seudonimización puede ser adecuada para:
- Trasladar datos a un encargado de tratamiento.
- Alojar o compartir datos en la nube.
- Tratar datos sensibles por varias áreas o departamentos de la misma empresa.
La anonimización puede ser adecuada para:
- Tratamientos de Big Data, Business Intelligence.
- Tratamientos con fines históricos, estadísticos o científicos.
- Tratamientos de inteligencia artificial.
- Datos abiertos.
Es especialmente difícil poder garantizar la anonimización absoluta, pero el riesgo de reidentificación se aborda como un riesgo residual, asumido y gestionado, y no como un incumplimiento de la normativa. El objetivo es reducir al mínimo los riesgos de reidentificación de los titulares de los datos, pero sin distorsionar el tratamiento.
Dada la complejidad de estas técnicas, consideramos necesario un asesoramiento personalizado para determinar en qué procesos se puede implementar una u otra y para concretar si se cumple o no con la normativa vigente.
Consulpyme cuenta con legaltech, un equipo experto en todo lo relacionado con el cumplimiento legal sobre la protección de datos personales y privacidad. Todas tus dudas y necesidades legales relacionadas con la protección de datos se simplifican gracias al uso de SoftwareLOPD.