¿Es la seudonimización la vía de escape al RGPD?

El 25 de mayo de 2018 no es un día cualquiera. Es el día en el que el Reglamento General de Protección de Datos (RGPD) empezará a ser aplicable en toda la UE y, para entonces, las empresas que trabajen con datos personales de residentes europeos tienen que haber ajustado sus políticas internas al Reglamento.

Debido al gran cambio que el RGPD supone en la legislación europea, son muchos los artículos y directrices que se han escrito en los últimos meses sobre la normativa. Y, no es para menos, ya que a partir de ahora los datos personales solo podrán recopilarse si se cumple una serie de bases legales.

Pero… ¿qué sucede con la información de un sujeto que ya no permite su identificación? ¿Hay que seguir ajustándose a los requisitos RGPD para el tratamiento de los datos? Para resolverlo es necesario definir estos dos conceptos:

Anonimización o Disociación

Es el proceso por el cual los datos se eliminan de manera irreversible. Con la anonimización, el dato personal se disociará por completo, por lo que un sujeto no podrá ser identificado. Desde ese momento, su tratamiento no entraría dentro del ámbito del Reglamento General de Protección de Datos.

Como consecuencia, el responsable del tratamiento podrá hacer uso de esa información ya que no afecta a la privacidad del individuo. Al ser imposible conocer su identidad, esa información pasa a ser un dato empresarial en lugar de personal. Sin embargo, el uso de la anonimización es muy limitado y hay que saber muy bien cómo realizarlo y cuándo se puede llevar a cabo.

La Agencia Española de Protección de Datos (AEPD) señala en su guía ‘Orientaciones y garantías en los procedimientos de anonimización de datos personales’ que “el artículo 9 del RGPD recomienda la existencia de un equipo para el estudio de la viabilidad del proceso de anonimización, especialmente si se trata de datos protegidos”. Además, “el personal implicado debe conocer y cumplir todos los aspectos relacionados con la nueva normativa de protección de datos.”

Seudonimización

El artículo 4.5) del RGDP define la seudonimización como “aquella información que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional, siempre que ésta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.”

La seudonimización solo reemplaza parte del conjunto de datos y no permite la identificación directa del sujeto. Sin embargo, se puede averiguar la identidad del sujeto a través de informaciones adicionales. Por tanto, la seudonimización está sujeta al RGPD.

Por ejemplo, se puede cambiar el nombre, la dirección o la fecha de nacimiento de un sujeto, pero no todos sus datos estarán “enmascarados”. Con informaciones complementarias se puede llegar a identificar a ese sujeto, lo que nos sitúa dentro del ámbito de los datos personales y, por consiguiente, del Reglamento europeo.

Según el Dictamen 05/14 del Grupo de Trabajo sobre Protección de Datos de Carácter del artículo 29, las técnicas de seudonimización más frecuentes son: el cifrado con clave secreta, la función hash, la función con clave almacenada, el cifrado determinista o función hash con clave de borrado de clave y la descomposición en tokens.

¿Quieres conocer más detalles sobre estos aspectos RGPD? Para conseguir más información sobre la nueva normativa y saber cómo tratar los datos personales en general o en torno a la seudonimización y la anonimización, te recomendamos nuestro toolkit gratuito sobre el Reglamento, un juego de herramientas muy útil y sencillo para preparar su cumplimiento. Solo disponible en inglés.

Consigue aquí tus herramientas de prueba RGPD >>  

One Response

  1. Manuel 18th julio 2018

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.