¿ANONIMIZACIÓN? ¿DE QUÉ ESTAMOS HABLANDO?
En primer lugar, repasemos algunos conceptos importantes como punto de partida.
- Se entiende por anonimización el proceso mediante el cual los datos personales se convierten en anónimos, en información que no hace referencia a personas identificadas o identificables, o a datos personales que dejan de ser identificables (RGPD).
- Por otro lado, seudonimización es el tratamiento de datos personales de manera que no puedan atribuirse a un interesado sin utilizar información adicional, siempre que ésta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable (RGPD).
EQUÍVOCOS HABITUALES
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía para ayudar a aclarar determinados «malentendidos«. En resu
men, la AEPD explica que:
- La anonimización es lo mismo que la seudonimización – NO. Los datos seudonimizados, al contrario que los primeros, tienen que protegerse igualmente, ya que podrían permitir la identificación de la persona con información adicional y es además un proceso reversible.
- El cifrado es anonimización – NO. Es una herramienta de seudonimización, los datos pueden ser “descifrados”.
- La anonimización es permanente – NO. Este sería el objetivo, pero las circunstancias y la tecnología cambian a largo del tiempo, así como la disponibilidad de información adicional, pueden poner en peligro los procesos de anonimización previos (como ya ha ocurrido).
- Los datos siempre pueden anonimizarse – NO. En ocasiones, si se desea mantener la utilidad de un conjunto de datos para un tratamiento específico, no es posible reducir lo suficiente el riesgo de reidentificación (ejemplo: si el número de sujetos es muy pequeño)
- La anonimización reduce siempre la probabilidad de reidentificación de un conjunto de datos a cero.- NO. Existe siempre una probabilidad de riesgos de reidentificación, asociada a cómo se aplique el proceso.
- La anonimización es un concepto binario que no puede medirse – NO.- Puede analizarse un medirse y, salvo casos muy específicos, el riesgo de reidentificación nunca puede considerarse nulo.
- La anonimización inutiliza los datos.- NO. De hecho, se persigue mantener la funcionalidad de los datos para un fin determinado.
- La anonimización puede automatizarse totalmente.- NO. Siempre es necesaria la intervención de un experto que realice un análisis cauteloso de lo que se quiere conseguir y la forma de hacerlo.
- No existe un riesgo ni interés alguno en saber a quién se atribuyen estos datos – NO. Los datos personales siempre tienen valor y la reidentificación de una persona podría tener graves repercusiones en sus derechos y libertad
- Seguir un proceso de anonimización que otros utilizaron con éxito, hará que nuestra organización obtenga resultados equivalentes.- NO. Estos procesos deben adaptarse a los diferentes tratamientos de datos. También se aplicarán de forma diferente en función de la probabilidad de riesgo para los derechos y libertades de las personas
Ponte en contacto con Grupo SCA y te ayudaremos a que tu empresa cumpla con la legislación vigente.
