En la actualidad a nivel mundial, es frecuente que las organizaciones del sector público y privado realicen tratamientos masivos de datos para el uso de big data, machine learning o inteligencia artificial, entre otros, lo cual implica considerar medidas para preservar la privacidad y el derecho a la protección de datos personales cuando en el conjunto de datos que serán utilizados se encuentra información personal.
La Real Academia Española define anonimizar como expresar un dato relativo a entidades o personas, eliminando la referencia a su identidad, de tal forma que el proceso de anonimizar tiene como objetivo eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento.
El proceso de anonimización debe garantizar dos elementos principales:
- Evitar la reidentificación
- Evitar la distorsión de los datos reales
El principal reto de la anonimización es por tanto mantener un balance adecuado entre el nivel de privacidad y utilidad de los datos.
A través de la anonimización se pueden convertir datos personales en datos anonimizados mediante la aplicación de técnicas de anonimización.
Los datos anonimizados son aquellos que ha experimentado una transformación por una técnica de anonimización en combinación con una evaluación de riesgos de reidentificación.
Anonimización y seudonimización en el RGPD
Sobre la seudonimización y anonimización el Reglamento General de Protección de Datos en el considerando 26 establece:
Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.
De tal forma que los principios de protección de datos no aplican a la información anónima.
Principios de anonimización
En el documento Orientaciones y garantías en los procedimientos de anonimización de datos personales de la Agencia Española de Protección de Datos se establecen 6 principios para la anonimización de los datos, que se presentan a continuación y se ilustran a través de la siguiente infografía:
- Principio proactivo: la protección de la privacidad el primer objetivo de la anonimización, su gestión debe ser de forma proactiva.
- Principio privacidad por defecto: granularidad o grado de detalle de los datos anonimizados.
- Principio de privacidad objetiva: riesgo residual de reidentificación.
- Principio de plena funcionalidad: utilidad final de los datos anonimizados.
- Principio de privacidad en el ciclo de vida: medidas de privacidad aplicadas durante el ciclo de vida completo de la información.
- Principio de información y formación: formación e información del personal con acceso a datos anonimizados (perfiles, obligaciones).
De forma adicional te comparto algunos recursos que pueden ser de utilidad para definir un proceso de anonimización adecuado que te permita proteger la privacidad y los datos personales.
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.