Las «beneficios» que en materia de protección de datos conllevan la aplicación de técnicas de seudonimización, hacen que siempre que el estado de la técnica, los costes de aplicación y la naturaleza del tratamiento lo permitian, sea aconsejable que las organizaciones valoren la implementación de procedimientos que contengan este tipo de medidas.
Antes de enumerar esas consecuencias positivas, vamos a definir en que consisten los procesos de anonimización y seudonimización, y en qué se diferencia una técnica de la otra.
La anonimización de datos personales la podríamos definir como el proceso por el que se produce una ruptura total de los datos personales que vamos a tratar con los datos identificativos, para que no se puedan asociar de ninguna manera con la persona titular de los mismos, es decir, para que no se pueda asociar a una persona ni identificarla; y por tanto quedarían fuera del ámbito de aplicación de la normativa de protección de datos.
Este concepto ya se contemplaba en la anterior normativa, tanto en la LOPD 15/1999 y su Reglamento de desarrollo el RD 1720/2007, como en la directiva 95/46; aunque el proceso de disociación que según la anterior normativa permitía obtener el dato anónimo, y por tanto eximía del cumplimiento de la misma, en mi opinión estaría más próximo al concepto de seudonimización que al de anonimización.
La actual normativa de protección de datos, esto es el Reglamento (UE) 2016/679 (GDPR) también exime del cumplimiento de la misma a los datos anónimos (los que obtenemos ya con este atributo) o anonimizados (los que obtenemos tras un proceso de anonimización), así establece en su considerando 26: “(…) Los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo(…)”.
Aunque ya el GT29 abordaba el concepto de seudonimización y técnicas para llevarlo a cabo en el Dictamen 05/2014 sobre técnicas de anonimización (WP216); no es hasta la entrada en vigor del GDPR, cuando se contempla en la normativa.
El GDPR en su art. 4.5) define la seudonimización como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. Esto es el proceso por el cual se reemplazan los identificadores de los datos personales por un atributo no público o un código aleatorio que no permitan reconstruir el identificador inicial y por tanto conocer el dato original; pero que de la misma forma y cuando sea necesario se pueda recuperar el dato personal original.
Resumiendo un dato anonimizado en ningún caso es posible su vinculación con la persona a la que inicialmente identificaba, quedando fuera del ámbito de aplicación del GDPR y siendo un proceso irreversible. En cambio, la seudonimización lo que hace es limitar mediante técnicas la vinculación entre el dato personal y la persona física cuya identidad queda asociada al mismo, por tanto, es un proceso reversible. Y en este caso será pues fundamental la custodia de la información adicional que permita vincular el dato seudonimizado con el titular del mismo (considerando 29 GDPR). Los datos seudonimizados se consideran aún datos personales, con la potencialidad de poder identificar a los interesados mediante la información adicional que se genera para ellos, por lo que les es de aplicación el GDPR.
Vistas las diferencias entre uno y otro proceso, y teniendo en cuenta que no es posible considerar que los procesos de anonimización garanticen totalmente la no reidentificación de las personas cuyos datos han sido anonimizados, es decir, la misma capacidad de la tecnología para anonimizar datos personales puede ser utilizada para la reidentificación de las personas; nos vamos a centrar en la seudonimización, que creemos que a día de hoy es una medida técnica de seguridad esencial en un sistema de cumplimiento de la normativa de privacidad, suponiendo una buena práctica para garantizar un tratamiento de datos más seguro y fundamental en el concepto de privacidad desde el diseño.
En este sentido la normativa de protección de datos y las autoridades de control de alguna forma “incentivan” el uso de la seudonimización, estableciendo obligaciones menos estrictas para los responsables y encargados del tratamiento que adopten este tipo de medida técnica de seguridad, así si utilizamos técnicas de seudonimización:
- Junto a otros requisitos (relación entre los fines, contexto de recabo de los datos, categoría de datos y consecuencia para los interesados) nos permitirá tratar datos personales con una finalidad distinta a la inicial, sin basar este tratamiento ulterior en el consentimiento del interesado o en una obligación legal (art. 6.4.e GDPR).
- Unida a otras medidas técnicas y organizativas (cifrado, confidencialidad, integridad y disponibilidad) y verificación de las mismas; nos ayudará a garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos personales que se vaya a llevar a cabo (artículo 32.1.a GDPR).
- Además de ayudarnos a cumplir con nuestras obligaciones de protección de datos, reduciremos los riesgos para los interesados afectados (considerando 28 GDPR); de esta forma en caso de una brecha de seguridad (por ejemplo un ciberataque), si las técnicas de seudonimización empleadas, impiden al ciberdelincuente la reversión de los datos personales afectados por el ciberataque a los datos originales, unidas a otras medidas técnicas y organizativas, en principio el incidente no deberá suponer riesgo para los derechos y libertades de los interesados afectados, por lo que pese a que en cualquier caso sería conveniente notificarlo a la AEPD, las posibilidades de que esta iniciara un procedimiento sancionador serían menores. En cualquier caso, podría ser una de las eximentes a la obligación de tener que notificar una brecha de seguridad en los datos personales a los interesados afectados (artículo 34.3.a GDPR).
- Junto con otras medidas técnicas y organizativas constituirán las garantías adecuadas que nos permitirá el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo. (artículo 89 GDPR).
- Dándose unas condiciones (separación técnica y funcional entre investigadores y personal que seudonimice, accesibles a investigadores solo con compromiso expreso de confidencialidad y de no reidentificar, y medidas específicas que eviten reidentificación y accesos no autorizados), se considera lícito el uso de datos personales con fines de investigación en salud y, en particular, biomédica. (disposición adicional decimoséptima LOPDGDD).
- Se podrán llevar a cabo transferencias internacionales de datos personales en base a las garantías adecuadas del artículo 46 del GDPR, al estar incluida como medida técnica adicional dentro de la lista (no exhaustiva) del anexo 2 de las Recomendaciones 1/2020 del Comité Europeo de Protección de Datos (EDPB) que complementan estos instrumentos para llevar a cabo transferencias internacionales garantizando el cumplimiento del nivel de protección de datos personales de la UE.