✔ La Agencia Española de Protección de Datos – AEPD publicó una guía para clarificar varios malentendidos que se cometen habitualmente a la hora de anonimizar datos personales. En este artículo se pretende dejar en claro los conceptos y resumir las consideraciones de la AEPD para evitar interpretaciones inadecuadas y posibles vulneraciones de la normativa vigente, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).
El proceso de anonimización consiste en convertir los datos personales en anónimos o no identificables. Concretamente, toda la información que hace referencia a personas físicas identificadas o identificables deja de serlo. En este sentido, los conjuntos de datos que incluyen datos personales son los que permiten la identificación de una persona física, y pueden contener tanto identificadores directos como indirectos. Los identificadores directos es la información específica que puede atribuirse a un sujeto en concreto (nombre, número de identificación, etc.) y los identificadores indirectos son aquellos datos que pueden utilizarse, de forma individual o combinada, por parte de alguien que tenga conocimientos sobre el individuo con el fin de reidentificarle (datos de geolocalización, opiniones, etc.), es decir, convertir los datos anonimizados en datos personales a través de técnicas de comparación de datos o similares.
El primer error es considerar que La seudonimización y la anonimización son lo mismo. La diferencia es tan simple como que los datos seudonimizados siguen siendo datos personales y los datos anonimizados pierden esa consideración. Los efectos son trascendentales, a los primeros se le aplicará la normativa de protección de datos y a los segundos, no. La seudonimización permite que los datos personales no puedan atribuirse a un sujeto concreto sin hacer uso de información adicional, protegida por medidas técnicas y organizativas y la anonimización hace que una vez los datos son realmente anónimos no se pueden asociar a un individuo en particular, dejando de ser identificables.
El cifrado no es una técnica de anonimización, sino de seudonimización. El proceso de cifrado hace uso de claves secretas para transformar información y reducir el riesgo, pero estas transformaciones son reversibles a través del proceso de descifrado. Aunque se elimine la clave del cifrado, estos datos pueden volver a recuperarse teniendo en cuenta la solidez del algoritmo de cifrado o clave, los avances tecnológicos, la cantidad de datos cifrados o algunos problemas de implantación.
No siempre es posible reducir en su totalidad la posibilidad de reidentificación. La anonimización trata de encontrar el equilibrio perfecto entre la reducción del riesgo de reidentificación y el mantenimiento de la utilidad del conjunto de datos, pero en función de la naturaleza de los datos o del contexto, los riesgos de reidentificación podrían no mitigarse por completo. Esto sucede en casos en que hay un número de individuos demasiado reducido, cuando las categorías de datos son muy diferentes entre sí o cuando los conjuntos de datos incluyen un elevado número de atributos demográficos o de localización.
La anonimización no es permanente. Hay procesos de anonimización que pueden revertirse en un futuro a raíz de cambio de circunstancias, nuevos avances técnicos y disponibilidad o divulgación de información adicional. La anonimización no siempre es total, es decir que la reducción de posibilidades de reidentificación no es cero. El proceso de anonimización y la forma en que se aplica tendrá influencia directa en la probabilidad de riesgos de reidentificación. Hay varios factores que pueden influir en el riesgo: controles de mitigación, repercusión en la privacidad de individuos y la capacidad del atacante. En muchos casos la anonimización al 100% no es posible y debe contemplarse un riesgo residual de reidentificación.
La anonimización puede automatizarse, pero nunca por completo. La intervención humana es necesaria, ya que se requiere un análisis del conjunto de datos original (fines previstos, técnicas y riesgo de reidentificación). El proceso de anonimización debe identificar y eliminar los identificadores directos como indirectos, y estos últimos en muchas ocasiones no son obvios ni fáciles de detectar. El grado de anonimización puede analizarse y medirse. Cualquier proceso sólido de anonimización evaluará el riesgo de reidentificación, que deberá gestionarse y controlarse en el futuro.
La anonimización no inutiliza los datos, sino que mantiene la funcionalidad de los mismos para un fin determinado. El objetivo es evitar que se identifique a los individuos de un conjunto de datos restringiendo las formas en que se puede utilizar este conjunto, pero los datos no pierden su función, sino que su utilidad dependerá de la finalidad y el riesgo de reidentificación que se acepte. En cuanto a la conservación, los datos no pueden almacenarse de forma ilimitada, pero la anonimización permite independizar datos personales del conjunto de datos, haciendo que el conjunto siga conservando un significado útil. Un ejemplo sería el registro de accesos a un sitio web, en caso de conservarse la fecha de acceso, pero no qué usuario ha accedido. En los casos en que la anonimización no se ajuste a la finalidad prevista, el responsable del tratamiento podría decidir en hacer uso de la seudonimización o no tratar datos personales.
No hay un proceso estándar de anonimización válido para todas las empresas, lo que puede servir y tener éxito para unas, no lo garantiza en otras. Por ello, deben adaptarse los procesos de anonimización a la naturaleza, alcance, contexto, fines del tratamiento, riesgos y gravedad para los derechos y libertades de las personas físicas de cada entidad. El riesgo de reidentificación puede variar según la actividad y el tipo de destinatarios.
Los datos personales tienen valor en sí mismos, ya sea para los propios individuos y para terceros y la reidentificación de las personas podría generar graves repercusiones en sus derechos y libertades. El impacto sobre la vida privada de una persona es muy difícil de evaluar, ya que el mismo dependerá del contexto y la información que se pueda correlacionar. Los ataques pueden tener forma de intentos deliberados, involuntarios, brechas de seguridad o divulgación de datos al público.
Introducción
En la sociedad de la información en la que vivimos, los procesos de tratamiento de datos a gran escala han cobrado gran importancia en los últimos años. En este contexto, la anonimización de los datos personales ha adquirido un valor esencial como método que garantiza el avance de la sociedad de la información sin menoscabar el respeto a la protección de datos.
Concepto
El Reglamento General de Protección de Datos Personales (en adelante, RGPD), ha señalado respecto a los datos anonimizados:
“Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.
Como podemos observar, el legislador europeo, ha entendido por dato anonimizado aquel que no es posible asociar a personas concretas identificadas o identificables, por haber sido realizado un proceso previo que no permite reversión. La finalidad del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, es decir, además de evitar la identificación de las personas, los datos anonimizados deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva una distorsión de los datos reales
Al respecto, la Agencia Española de Protección de Datos (en adelante, AEPD), ha considerado el proceso de anonimización como la “ruptura de la cadena de identificación de las personas.” En este sentido, es necesario destacar la guía publicada por la AEPD, titulada “Orientaciones y garantías en los procedimientos de anonimización de datos personales”.
Principios aplicables al proceso de anonimización
Tal y como ha estipulado la AEPD, deben tenerse en cuenta los siguientes principios:
- Principio proactivo.
Supone que desde el diseño del sistema de información o producto a utilizar en el proceso de anonimización han de tomarse las medidas necesarias para garantizar la privacidad de las personas.
- Principio de privacidad por defecto.
El primer requisito en el diseño de un sistema de información será garantizar la confidencialidad de los interesados, para lo cual, se deberá tener en cuenta el grado de detalle final que deben tener los datos anonimizados.
- Principio de privacidad objetiva.
Tras el proceso de anonimiazción, siempre va a existir un cierto riesgo de reidintificación. Por lo tanto, este riesgo ha de ser conocido y asumido por el responsable y el encargado a la hora de diseñar el citado proceso.
- Principio de plena funcionalidad.
Es importante tener en cuenta desde el inicio del proceso, la utilidad final de los datos anonimizados, de forma que se garantice en la medida de lo posible la inexistencia de distorsión con relación a los datos no anonimizados.
- Principio de privacidad en el ciclo de vida de la información.
Las medidas que garantizan la privacidad de los interesados han de ser aplicables durante el ciclo completo de la vida de la información partiendo de la información sin anonimizar.
- Principio de información y formación.
Este principio destaca la importancia de que el personal involucrado en el proceso conozca las implicaciones del mismo, siendo convenientemente formados e informados acerca de sus obligaciones. El diseño del sistema de información o producto utilizado para el proceso de anonimización contemplará esta necesidad desde su diseño conceptual, teniendo en cuenta los perfiles y las necesidades de cada uno de los actores involucrados en el proceso de anonimización.
Fases del proceso de anonimización
Los responsables y encargados de tratamiento, han de establecer cómo se va a llevar a cabo el proceso de anonimización de datos. La citada guía, se limita a establecer una serie de orientaciones, indicándose que en ningún caso trata de ser un esquema conceptual u operacional cerrado.
1. Definición del equipo de trabajo e independencia de funciones
Esta primera fase, incide en la importancia de segregar las funciones del proceso, atendiendo a los diferentes perfiles o roles (responsable del tratamiento, delegado de protección de datos, destinatario, equipo de evaluación de riesgos…).
Es recomendable que se garantice que cada uno de los actores obrará, en general, en el ámbito de su competencia con independencia del resto de los actores.
2. Análisis de riesgos.
En esta fase, destaca el hecho de que conviene realizar un análisis de riesgos del proceso de anonimización para posteriormente gestionar los riesgos resultantes con medidas técnicas, organizativas o de cualquier otra índole. Asimismo, se pone énfasis en que ninguna técnica de anonimización puede garantizar en términos absolutos la imposibilidad de la reidentificación, ya que existirá siempre un índice de probabilidad de reidentificación que debemos intentar atenuar mediante la correspondiente gestión de riesgos.
3. Definición de objetivos y finalidad de la información anonimizada.
En este punto, se destaca que el diseño del proceso de anonimización está condicionado por el objetivo final de la información anonimizada dando lugar a información de uso restringido o a datos abiertos.
4. Viabilidad del proceso.
Tal y como señala la AEPD, se recomiendo tener en cuenta la existencia de un equipo para el estudio de la viabilidad del proceso de anonimización.
5. Prreanonimización.
La preanonimización de los es la fase inicial del proceso de anonimización, en la que se determinarán las posibles variables de identificación (directas e indirectas) a tener en cuenta en el diseño de las herramientas de anonimización.
Una vez que se ha realizado una categorización de las variables se establecen los criterios de protección necesarios para garantizar la privacidad de las personas, tratando de minimizar la cantidad de información personal que vaya a ser utilizada durante el proceso de anonimización.
6. Reducción de variables.
El objeto de esta fase es reducir al mínimo necesario la cantidad de variables que permitan la identificación de las personas, restringiendo el acceso a la información confidencial al equipo de trabajo implicado en el proceso y optimizando el coste computacional de las operaciones con datos anonimizados.
7. Selección de técnicas de anonimización.
La AEPD, recomienda las siguientes técnicas:
– Algorismos de HASH.
– Algorismos de cifrado.
– Sello de tiempo.
– Capas de anonimización.
– Perturbación de datos.
– Reducción de datos.
8. Segregación de la información.
En esta fase, se recomienda elaborar un mapa de sistemas de información que garantice entornos separados para cada tratamiento de datos personales o información personal anonimizada.
9. Proyecto piloto.
La AEPD resalta la importancia de elaborar un proyecto piloto con una pequeña muestra de datos de prueba (no reales) en el que puedan obtenerse de forma objetiva conclusiones acerca de la viabilidad de todas las propuestas de los miembros del equipo de anonimización.
10. Anonimización.
Finalmente, en esta último fase de anonimización se realiza la disociación definitiva e irreversible de los datos personales. El proceso de anonimización debe realizarse tantas veces como sea necesario según la finalidad de la información anonimizada y su destinatario.
Leer más: Huella dactilar – Datos biométricos RGPD