La Agencia Española de Protección de Datos, en colaboración con el Supervisor Europeo de Protección de Datos han publicado una miniguía ilustrando los 10 principales malentendidos relacionados con la anonimización de datos. Aquí podréis ver un pequeño resumen.
La Agencia Española de Protección de Datos, en colaboración con el Supervisor Europeo de Protección de Datos han publicado una miniguía ilustrando los 10 principales malentendidos relacionados con la anonimización de datos. Aquí podréis ver un pequeño resumen.
Malentendido 1: La seudonimización es lo mismo que la anonimización
La realidad es que la seudonimización no es lo mismo que la anonimiza.
¿Qué es la anonimización de datos?
La anonimización es el proceso de convertir los datos en una forma en que no se pueda identificar a individuos.
La anonimización es una técnica que altera de forma irreversible los datos para que el interesado ya no sea identificable directa o indirectamente. Estos datos ya no se consideran datos personales.
¿Qué es la seudonimización de datos personales?
Según el RGPD la seudonimización es «aquella información que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional, siempre que esta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».
En palabras más simples, consiste en tratar los datos personales sin los datos identificativos del interesado, pero sin suprimir la vinculación entre los datos que consigan determinar la persona titular de los mismos.
Diferencia entre anonimización y seudonimización
La anonimización es un procedimiento donde los datos identificativos se disocian totalmente de los datos personales y es algo irreversible.
La seudonimización desvincula los datos identificativos, pero los datos seudonimizados mantienen datos adicionales que pueden reidentificar a los interesados, por tanto, es un procedimiento reversible.
Malentendido 2: El cifrado es anonimización
La realidad es que el cifrado no constituye una técnica de anonimización, pero puede ser una buena herramienta de seudonimización.
¿Qué es el proceso de cifrado?
El proceso de cifrado utiliza claves secretas para transformar la información de tal forma que se minimice el riesgo de uso indebido.
El cifrado no es más que una manera de criptografía. Se trata de un proceso que emplea cálculos y algoritmos para codificar texto plano de forma más eficiente y compleja.
¿Porqué el cifrado no es anonimización?
La información original debe ser accesible, las transformaciones aplicadas por los algoritmos de cifrado están diseñadas para ser reversibles, lo que se conoce como descifrado.
En teoría, podría considerarse que la eliminación de la clave de cifrado de los datos cifrados los convertiría en anónimos, pero no es así. Hay muchos factores que afectan a la confidencialidad entre los que se encuentran:
- La solidez del algoritmo de cifrado y de la clave.
- Las fugas de información.
- Los problemas de implantación
- La cantidad de datos cifrados.
- Los avances tecnológicos.
Malentendido 3: Los datos siempre pueden anonimizarse
La realidad es que no siempre es posible reducir el riesgo de reidentificación por debajo de un umbral definido de forma previa y mantener, al mismo tiempo, la utilidad de un conjunto de datos para un tratamiento específico.
La anonimización es un proceso que trata de encontrar el equilibrio adecuado entre la reducción del riesgo de reidentificación y el mantenimiento de la utilidad de un conjunto de datos. Sin embargo, en función del contexto o la naturaleza de los datos, los riesgos de reidentificación podrían no mitigarse lo suficiente. Esta situación puede darse cuando:
- El número total de posibles individuos es demasiado reducido.
- Las categorías de datos son tan diferentes entre los individuos que es posible individualizarlos.
- Los conjuntos de datos incluyen un elevado número de atributos demográficos.
Malentendido 4: La anonimización es permanente
La realidad es que existe un riesgo de que ciertos procesos de anonimización puedan revertirse en el futuro. Las circunstancias pueden cambiar a lo largo del tiempo y los nuevos avances técnicos y la disponibilidad de información adicional pueden poner en peligro los procesos de anonimización previos.
Malentendido 5: La anonimización siempre reduce la probabilidad de reidentificación de un conjunto de datos a cero
La realidad es que el proceso de anonimización y la forma en que se aplique tendrán una influencia directa en la probabilidad de riesgos de reidentificación.
Un proceso de anonimización sólido tiene como objetivo la reducción del riesgo de reidentificación por debajo de un determinado umbral. Dicho umbral dependerá de varios factores, como:
- Los controles de mitigación existentes.
- La repercusión en la privacidad de los individuos en caso de reidentificación.
- Los motivos y la capacidad de un atacante para reidentificar los datos.
Aunque una anonimización del 100% es el objetivo más deseable desde el punto de vista de la protección de los datos personales, en algunos casos no es posible y debe contemplarse un riesgo residual de reidentificación.
Malentendido 6: La anonimización es un concepto binario que no puede medirse
La realidad es que el grado de anonimización puede analizarse y medirse.
La expresión «datos anónimos» no puede entenderse como si los conjuntos de datos pudieran etiquetarse como anónimos o no. Existe una probabilidad de que los registros de cualquier conjunto de datos se reidentifiquen en función de la posibilidad de individualizarlos.
Excepto en casos específicos en los que los datos estén muy generalizados, el riesgo de reidentificación nunca puede considerarse nulo.
Malentendido 7: La anonimización puede automatizarse totalmente
La realidad es que es posible utilizar herramientas automáticas durante el proceso de anonimización. Pero, dada la importancia del contexto en la evaluación de dicho proceso, la intervención del experto humano es necesaria.
La automatización podría ser clave en algunos pasos del proceso de anonimización. Como la eliminación de identificadores directos o la aplicación coherente de un procedimiento de generalización sobre una variable. Por el contrario, parece poco probable que un proceso totalmente automatizado pueda identificar cuasiidentificadores en diferentes contextos o decidir cómo maximizar la utilidad de los datos aplicando técnicas específicas a variables concretas.
Malentendido 8: La anonimización inutiliza los datos
La realidad es que un proceso de anonimización adecuado mantiene la funcionalidad de los datos para un fin determinado.
El objetivo de la anonimización es evitar que se identifique a los individuos de un conjunto de datos. Las técnicas de anonimización siempre restringirán las formas en que se puede utilizar el conjunto de datos resultante. Esto no significa que los datos anónimos sean inútiles, sino que su utilidad dependerá de la finalidad y del riesgo de reidentificación que se acepte.
Malentendido 9: Seguir un proceso de anonimización que otros utilizaron con éxito hará que nuestra organización obtenga resultados equivalentes
La realidad es que los procesos de anonimización deben adaptarse a la naturaleza, el alcance, el contexto y los fines del tratamiento, así como a los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.
La anonimización no puede aplicarse como si se siguiera una receta, porque el contexto difiera de una circunstancia a otra y de una organización a otra.
Malentendido 10: No existe un riesgo ni interés alguno en saber a quién se atribuyen estos datos
La realidad es que los datos personales tienen un valor en sí mismos, para los propios individuos y para terceros. La reidentificación de un individuo podría tener una repercusión grave en lo relativo a sus derechos y libertades.
Para más información, puedes acceder al documento, “10 Malentendidos relacionados con la anonimización”.
Conclusión
El objetivo de la anonimización es evitar que se identifique a los individuos de un conjunto de datos. Su utilidad dependerá de la finalidad y del riesgo aceptado.