La anonimización para proteger los datos personales
  • Datos personales

La anonimización para proteger los datos personales

En la actualidad a nivel mundial, es frecuente que las organizaciones del sector público y privado realicen tratamientos masivos de datos para el uso de big data, machine learning o inteligencia artificial, entre otros, lo cual implica considerar medidas para preservar la privacidad y el derecho a la protección de datos personales cuando en el conjunto de datos que serán utilizados se encuentra información personal.

La Real Academia Española define anonimizar como expresar un dato relativo a entidades o personas, eliminando la referencia a su identidad, de tal forma que el proceso de anonimizar tiene como objetivo eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo  la veracidad de los resultados del tratamiento.

El proceso de anonimización debe garantizar dos elementos principales:

  • Evitar la reidentificación
  • Evitar la distorsión de los datos reales

 

El principal reto de la anonimización es por tanto mantener un balance adecuado entre el nivel de privacidad y utilidad de los datos.

A través de la anonimización se pueden convertir datos personales en datos anonimizados mediante la aplicación de técnicas de anonimización.

Los datos anonimizados son aquellos que ha experimentado una transformación por una técnica de anonimización en combinación con una evaluación de riesgos de reidentificación.

Anonimización y seudonimización en el RGPD

 

Sobre la seudonimización y anonimización el Reglamento General de Protección de Datos en el considerando 26 establece:

 

Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para  identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

 

De tal forma que los principios de protección de datos no aplican a la información anónima.

Principios de anonimización

 

En el documento Orientaciones y garantías en los procedimientos de anonimización de datos personales de la Agencia Española de Protección de Datos se establecen 6 principios para la anonimización de los datos, que se presentan a continuación y se ilustran a través de la siguiente infografía:

  • Principio proactivo: la protección de la privacidad el primer objetivo de la anonimización, su gestión debe ser de forma proactiva.
  • Principio privacidad por defecto: granularidad o grado de detalle de los datos anonimizados.
  • Principio de privacidad objetiva: riesgo residual de reidentificación.
  • Principio de plena funcionalidad: utilidad final de los datos anonimizados.
  • Principio de privacidad en el ciclo de vida: medidas de privacidad aplicadas durante el ciclo de vida completo de la información.
  • Principio de información y formación: formación e información del personal con acceso a datos anonimizados (perfiles, obligaciones).

 

De forma adicional te comparto algunos recursos que pueden ser de utilidad para definir un proceso de anonimización adecuado que te permita proteger la privacidad y los datos personales.

Comparing the Benefits of Pseudonymization and Anonymization Under the GDPR

Introducción al hash como técnica para la seudonimización de datos personales 

Guide to Basic Data Anonymisation Techniques – PDPC

La k-Anonimidad como medida de la privacidad

Dictamen 05/2014 sobre técnicas de anonimización

MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa

Ponte en contacto conmigo.

Artículos relacionados

Tipos de Esquemas de Mejores Prácticas
Datos personales

Tipos de Esquemas de Mejores Prácticas

  • octubre 21, 2020
¿Cómo gestionar una vulneración de datos personales?
Datos personales

¿Cómo gestionar una vulneración de datos personales?

  • octubre 13, 2020
Derechos patrimoniales y morales en la PDP
Datos personales

Derechos patrimoniales y morales en la PDP

  • octubre 7, 2020
Sistema de Gestión de Datos Personales
Datos personales

Sistema de Gestión de Datos Personales

  • septiembre 29, 2020
Tratamiento intensivo de datos personales
Datos personales

Tratamiento intensivo de datos personales

  • septiembre 22, 2020
Los estándares que no pueden faltar en tu estrategia PDP
Datos personales

Los estándares que no pueden faltar en tu estrategia PDP

  • septiembre 17, 2020