Seleccionar página

Hoy en día la información es un recurso fundamental en la sociedad para la toma de decisiones en todos los aspectos y sectores. En mi último post hablé del tratamiento de grandes volúmenes de información y de cómo el big data, puede ofrecer múltiples beneficios, siempre que se vele por el respeto de los derechos de las personas, privacidad y protección de los datos personales.

En este contexto, son muy importantes los términos de anonimización y pseudonimización puesto que ambos adquieren un valor especial como fórmulas que pueden garantizar el avance de la sociedad, así como el respeto de los datos personales en el desarrollo de estudios e investigaciones científicas, sociales o económicas.

Y para los que estéis interesados en la materia, os recomiendo el Dictamen 05/2014 del Grupo de Trabajo sobre Protección de Datos del artículo 29, de 10 de abril de 2014 en el que se realiza una gran labor sobre la efectividad y limitaciones del anonimización.

El RGPD introduce en su artículo 4 el nuevo concepto de pseudonimización (que por cierto, se trata de un concepto nuevo tanto en nuestra legislación, tanto que ni está en el DRAE), haciendo referencia a la separación de información original de tal modo que sin volver a unir o asociarla no es posible identificar a las personas. Este tipo de medida es muy apropiada (y aconsejada) para garantizar un nivel de seguridad adecuado al riesgo puesto que reduce el vínculo existente entre los datos personales y la persona a la que identifican.

La pseudonimización se presenta como una forma excelente de reducir los riesgos derivados del tratamiento de datos de carácter personal de los interesados y a la vez ayudar a los responsables y a los encargados del tratamiento a cumplir con sus obligaciones de cumplimiento de protección de datos.

Un ejemplo de ello es cuando se sustituye el nombre o cualquier dato identificativo o identificable de una persona por un código de manera que sólo aquellos que cuenten con información adicional podrán vincularlo y, por tanto identificarlo. El Grupo de Trabajo 29 en su dictamen recoge las técnicas más relevantes de pseudonimización desde el cifrado con clave secreta hasta la tokenización que consiste en sustituir un número identificativo (por ejemplo, el DNI) por valores de escasa utilidad para un posible hacker a través de un sistema encriptado que genera un número aleatorio.

¿Pero es lo mismo pseudonimizar que anonimizar? La respuesta es no. Sólo estamos ante un dato anónimo cuando en ningún caso sea posible la vinculación del dato o identificación de la persona. Por tanto, evita de forma irreversible la identificación. Y es en este punto dónde más controversia se ha producido, ya que con el uso de big data, al incrementar la cantidad y diversificación de la información facilita la reidentificación de individuos incluso después de haber sido anonimizados. Por el contrario, la pseudonimización aunque se presenta como un técnica de seguridad útil, sigue permitiendo la identificación de alguna manera por lo que entra en el ámbito de aplicación de la normativa de protección de datos. Con la anonimización los datos pierden su condición de datos de carácter personal y por ello quedan fuera de esta normativa. Por lo que es importante ¡no caer en el error de confundirlos!

Hay que tener cuidado al llevar a cabo técnicas de anonimización ya que es necesario “tener en cuenta el estado de la técnica en cada momento” y, debido a los grandes avances, en la práctica es imposible anonimizar bajo riesgo cero, pero sí que al menos ese riesgo sea insignificante para que pueda considerarse dato verdaderamente anónimo. Teniendo en cuenta que existe una proporcionalidad manifiesta entre la capacidad de la tecnología usada para anonimizar al igual que para reidentificar datos anonimizados, ésta se vuelve una tarea realmente compleja sobre la que podríamos dedicar posts enteros.

Pero como he comentado antes, ambas técnicas se presentan como una herramienta válida para garantizar la privacidad y sus limitaciones son inherentes al avance de la tecnología, por lo que habrá que seguir trabajando en ello.

Foto sacada de Flickr Autor Wagner Melo.