¿Cómo distinguir entre datos anónimos y seudonimizados?

Como complemento de nuestro artículo DataCOVID-19: Vigilancia de datos de teléfonos móviles de ciudadanos en la gestión del coronavirus queremos hoy centrarnos en qué debe entenderse por datos anónimos, datos seudonimizados y datos personales.

La diferencia puede parecer banal, pero es crucial distinguir entre unos y otros para saber si será de aplicación el Reglamento general de protección de datos personales (RGPD o GDPR por sus siglas en inglés).

Datos anónimos

Son aquellos datos en los que no existe posibilidad de identificación de la persona física detrás de ellos.

A la luz del Dictamen 05/2014 sobre técnicas de anonimización del grupo de trabajo del artículo 90, la anonimización es el resultado de un tratamiento de los datos personales realizado para evitar de forma irreversible su identificación.

Como observación preliminar, debemos destacar que los principios de protección de datos personales  recogidos en el RGPD no se aplican a los “datos anónimos” o al tratamiento de este tipo de datos. En este sentido, el considerado 26 del RGPD es claro al establecer de forma rotunda que:

(…) los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

Lo esencial en este debate es determinar si un grupo determinado de datos puede ser considerados anónimo conforme a lo establecido legalmente, esto es, si es posible o no la reidentificación de la persona física detrás de esos datos.

Existen numerosas técnicas de anonimización, algunas de ellas mencionadas en el dictamen del grupo de trabajo del artículo 29 junto con sus ventajas e inconvenientes.

  • si procesas datos anónimos → El RGPD no se aplica a tu proceso y por lo tanto no debes considerar las obligaciones en él impuestas.
  • si procesas datos personales → debes aplicar las disposiciones del RGPD y cumplir con los principios y obligaciones definidos.

El Supervisor Europeo de Protección de Datos Personales (European Data Protection Supervisor, EDPS por sus siglas en inglés) ha señalado en numerosas ocasiones la complejidad de asegurar la total completa y anonimización de los datos.

Datos seudonimizados

Es aquellos datos sobre personas físicas indirectamente identificables. Estos datos suponen la posibilidad de seguir un rastro hasta llegar a la identidad de la persona, aunque sólo en determinadas condiciones. Un ejemplo de este tipo de datos serían los datos cifrados.

Mientras que el proceso de anonimización es un proceso irreversible por el que se produce la disociación de los datos de la persona física a la que se refieren, destruyendo definitivamente los datos de la persona concreta, la seudonimización se refiere a aquellos datos en los que el vínculo no se destruye de forma irreversible, permitiendo la reidentificación posterior de la persona física.

Para este tipo de datos, son aplicables las normas de protección de datos, pero, atendiendo a que el riesgo de identificación de la persona concreta es menor que en el caso de datos personales, se considera, en principio, que justificaría que estas normas se aplicasen de manera más flexible.

Si partiendo de los datos que tenemos, es posible la reidentificación de una persona concreta, no podrían considerarse estos datos como anónimos.

El considerando 26 del RGPD establece con respecto a este tipo de datos que “Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, (…), que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.

Para determinar si existe una probabilidad razonable de que se pueda producir la reidentificación de una persona física, deben tenerse en cuenta:

  • los costes,
  • el tiempo necesario para la identificación y
  • la tecnología disponible en el momento del tratamiento.

Datos personales

Aquellos datos relativos a una persona física identificada o identificable.

Como hemos visto en muchas ocasiones, este tipo de datos son objeto de la normativa vigente en materia de protección de datos personales y por lo tanto es necesario aplicar los derechos y obligaciones en él impuestas.

Más información:

Dictamen 05/2014 sobre técnicas de anonimización – Grupo de trabajo del artículo 29, adoptadas el 10 de abril de 2014 revisadas por el Comité europeo de protección de datos

¿Qué se consideran datos personales?

Datos personales, datos públicos o datos sensibles en materia de protección de datos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: