Si todavía no conoces las diferencias entre anonimización y seudonimización, te invito a leer este artículo dónde podrás aprender el significado de ambos términos así como sus diferencias y algunos ejemplos.
Empezamos con el significado literal. Si nos dirigimos al diccionario de la RAE y buscamos la palabra anonimización y la palabra seudonimización, el resultado es 0. Por eso, desde Nymiz os queremos explicar de manera sencilla las diferencias entre las técnicas de anonimización y seudonimización de los datos personales.
Para aquellos que no estén familiarizados con este segundo término, es muy importante tener en cuenta que el RGPD establece diferencias notables entre estos dos métodos. Ambos son muy recomendables, pero la elección dependerá de muchos factores: el caso de uso, el grado de riesgo, la forma en que se procesan los datos dentro de cada empresa empresa, etc.
Tabla de Contenidos
¿Qué es la anonimización?
La anonimización es una técnica que altera de forma irreversible los datos para que el interesado ya no sea identificable directa o indirectamente. Estos datos ya no se consideran datos personales (a diferencia de la técnica de seudonimización).
¿Qué es la seudonimización?
La seudonimización es un proceso que le permite cambiar el conjunto de datos original (por ejemplo, el correo electrónico) por un alias o seudónimo. La seudonimización es un proceso reversible, que de-identifica los datos pero permite la reidentificación más adelante si es necesario. Este proceso también se puede hacer irreversible, si se destruye la llave de conversión para volver a los datos originales.
Esta es una técnica de gestión de datos bien conocida que es altamente recomendada por el Reglamento General de Protección de Datos (GDPR) como uno de los métodos de protección de datos.
Por tanto, la principal diferencia es que la seudonimización es un proceso reversible, a diferencia de la anonimización que no lo es. La seudonimización facilita que los procesadores de datos procesen la información personal sin temor a exponer datos confidenciales al personal y empleados que no deberían tener acceso a ellos.
Diferencias entre anonimización y seudonimización
Consideremos una hoja Excel que contiene datos confidenciales que se envían por correo electrónico. Aunque el remitente y el destinatario de los correos electrónicos están autorizados para tener acceso a esa información, el equipo de soporte IT de la empresa también tiene acceso a esos correos electrónicos. Ahora imaginemos que esa información es sobre los salarios de la empresa.
Cuando los datos están seudonimizados, hay muchas menos posibilidades de exponer datos personales, ya que un seudónimo hace que el registro de datos no sea identificable mientras sigue siendo adecuado para el procesamiento y análisis de datos.
¿Qué es un seudónimo? En este contexto, un seudónimo es un identificador. Son datos personales que se asocian con un individuo. Un seudónimo todavía se considera un dato personal según el RGPD, ya que el proceso es reversible y con una clave adecuada puede identificar a la persona.
¿Los datos anonimizados todavía se consideran datos personales?
El RGPD solo se refiere al procesamiento de datos personales que se relacionan con una persona física que permite la identificación de un individuo directa o indirectamente a través de esa información. Si los datos se anonimizan para que el interesado ya no sea identificable (directa o indirectamente), el RGPD ya no los ve como datos personales. Sin embargo, anonimizar los datos supone destruir el valor que tienen los datos para su organización.
¿Los datos seudonimizados siguen siendo datos personales?
En comparación con la anonimización, la seudonimización es una opción más sofisticada ya que le deja la clave para «desbloquear» los datos. De esta forma, los datos no se consideran identificativos directamente y tampoco se anonimizan. Para un DPO o un responsable de los datos, esta opción es muy interesante. Hace que los datos sean identificables si es necesario, pero inaccesibles para usuarios no autorizados.
En el artículo 4 del RGPD, el proceso de seudonimización se define como: “El procesamiento de datos personales de tal manera que los datos personales ya no se puedan atribuir a un sujeto de datos específico sin el uso de información adicional siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyen a una persona física identificada o identificable”.
El RGPD requiere que tomen todas las medidas y pasos apropiados para proteger los datos personales, y aunque la seudonimización por sí sola no es un método suficiente, permite a las empresas proteger los datos, separando los identificadores directos de los datos, mientras que la utilidad de datos sigue siendo la misma
Sin embargo, el RGPD sigue considerando los datos seudonimizados como datos personales. ¿Por qué? Tal y como se explica en el considerando 26: «… los datos que se han sometido a seudonimización, que podrían atribuirse a una persona física mediante el uso de información adicional, deben considerarse información sobre una persona física identificable». Por lo tanto, siempre que pueda identificar a una persona mediante otros identificadores, el RGPD los considera datos personales.
El siguiente ejemplo muestra el resultado final de la seudonimización y anonimización de los datos. Los datos anonimizados no nos dicen nada, mientras que los datos seudonimizados están enmascarados, todavía tienen un identificador específico que permite acceder a los datos.
¿Por qué deberíamos utilizar la seudonimización?
En las operaciones del día a día de cualquier empresa, muchos conjuntos de datos confidenciales pasan por muchas manos diferentes (datos de RR.HH., información de marketing, datos confidenciales de los empleados …), y la seudonimización puede ayudarlo a reducir el riesgo y evitar cualquier posible violación de datos, que además pueden llegar a convertirse en sanciones importantes.
Contexto actual. ¿Qué pasó con el contrato de Messi? ¿Y, con el de Astrazéneca?
Últimamente nos estamos encontrando con varias noticias en prensa que están generando mucho debate en torno a la privacidad y más concretamente a la anonimización de los datos personales. Dos claros ejemplos de ello son, la errata de la Unión Europea tras publicar su contrato con AstraZeneca que está trayendo cola. Según el diario alemán Der Spiegel, un fallo en el blacklining del documento ha permitido conocer datos confidenciales. Esta es, sin duda, una de las noticias del año sin dejar de lado el bombazo de El Mundo ofreciendo una exclusiva mundial con todas las cifras variables y condiciones del contrato de Messi firmado con FC Barcelona.
Conclusión
Muchas empresas se están enfrentando al problema de “ocultar” los datos de sus usuarios, empleados, clientes, proveedores y parte de la problemática radica en que sus herramientas no están pensadas para eso y están poniendo en juego su reputación. Porque los datos son el oro del siglo XXI y no podemos destruirlos sin más.
¿Quieres probar a anonimizar los datos personales de tu empresa? Pincha AQUÍ y consigue tu free trial.