¿QUÉ ES LA ANONIMIZACIÓN DE DATOS PERSONALES? ¿y LA SEUDONIMIZACIÓN?
Según la RAE anonimizar es expresar un dato relativo a entidades o personas, eliminando la referencia a su identidad. Pero, ¿cómo es posible eliminar esa referencia? ¿qué diferencias existen entre anonimización y seudonimización de datos? Existen muchas dudas respecto a este concepto también conocido como enmascaramiento de datos.
¿QUÉ ES LA ANONIMIZACIÓN?
La anonimización es una técnica que altera de forma irreversible los datos para que el interesado no sea identificable directa o indirectamente.
El concepto clave en este caso es la irreversibilidad ya que gracias a que ella los datos anonimizados no se consideran datos personales; no identifican a ninguna persona ni entidad ni existe la posibilidad de revertir el proceso para obtener el dato original.
¿qué es la seudonimización?
La seudonimización es un proceso que permite sustituir un conjunto de datos original (por ejemplo, un correo electrónico) por un alias o seudónimo. La seudonimización es reversible ya que enmascara los datos pero permite la re-identificación revirtiendo el proceso a través de una llave de conversión. Esta técnica de enmascaramiento también puede pasar a ser irreversible siempre y cuando se destruya la llave de conversión que permite volver a los datos originales.
Por lo tanto, la principal diferencia es que la seudonimización es reversible, miestras que la anonimización no lo es. Como veremos más adelante, esto tiene importante implicaciones a nivel normativo y regulatorio.
Diferencias entre anonimización y seudonimización
Como se detalla en el apartado anterior, la irreversibilidad es la característica principal que diferencia una técnica de enmascaramiento de datos de otra. Esta característica diferencial tiene implicaciones a nivel regulatorio ya que el Reglamento General de Protección de Datos (RGPD) establece un tratamiento diferente para datos anonimizados y seudonimizados.
¿Los datos anonimizados se consideran datos personales?
No. Los datos anonimizados quedan fuera del alcance del RGPD ya que éste únicamente es aplicable al procesamiento de datos personales que permiten la identificación de un individuo directa o indirectamente. Si los datos se anonimizan para que el interesado ya no sea identificable (directa o indirectamente), no serán de aplicación los requerimientos establecidos en la normativa.
¿LOS DATOS SEUDONIMIZADOS SE CONSIDERAN DATOS PERSONALES?
Si. El RGPD sigue considerando los datos seudonimizados como datos personales. ¿Por qué? Tal y como se explica en el considerando 26: «… los datos que se han sometido a seudonimización, que podrían atribuirse a una persona física mediante el uso de información adicional, deben considerarse información sobre una persona física identificable». Por lo tanto, en este caso son aplicables los requerimientos establecidos en la regulación.
¿CUáNDO Y PARA QUÉ UTILIZAR DATOS ANONIMIZADOS?
Una vez entendidas las diferencias entre ambas técnicas la elección entre ambos procedimientos dependerá del cada caso de uso y en definitiva, el objetivo que se persigue mediante el enmascaramiento de los datos sensibles.
Los datos anonimizados quedan fuera del alcance de la normativa protección de datos. No obstante no permiten volver a consultar el dato original. Por ello, es una técnica de masking de datos que se adapta a casos de uso es los que el objetivo principal es garantizar la privacidad y evitar la exposición de datos personales y donde no es necesario para el receptor de la información conocer los datos originales. Por ejemplo:
- Anonimización de datos personales para compartir información con otros departamentos o con colaboradores externos.
- Anonimización de documentos para su posterior publicacIón por motivos de transparencia.
¿CUáNDO Y PARA QUÉ UTILIZAR DATOS SEUDONIMIZADOS?
Gracias a la posibilidad de revertir el proceso para consultar el dato original, la seudonimización resulta la técnica ideal para casos de uso en los que el objetivo es garantizar la privacidad y protección de datos, mientras los datos se encuentran almacenados o son enviados.
- Seudonimización de bases de datos para garantizar la seguridad de la información a nivel dato.
- Seudonimización de datos personales en documentos para su envío y posterior reversión del proceso por parte del receptor.
¿Para qué sirve la anonimización?
Una vez entendidas las diferencias entre las distintas técincas, la pregunta es: ¿cúales son los beneficios de anonimizar o seudonimizar los datos personales?
Además de cumplir con el RGPD y mitigar de este modo el riesgo regulatorio, la anonimización de datos protege la información a nivel dato ante ciberataques o fugas de datos que tanto preocupan a las empresas en la actualidad. ¿Qué valor tiene la información en manos de terceros si no es posible identificar los datos personales en ella?
Por otro lado, gracias a los distintos métodos de sustitución existentes que van desde el tachado hasta la sustitución de datos sintéticos, la anonimización permite que las organizaciones extraigan el valor de su información sin poner en riesgo los datos personales. ¿Cómo? Habilitando la aplicación de analítica de datos, big data etc sobre información en la que los datos personales han sido previamente anonimizados.