¿Qué es la anonimización y la seudonimizacion de datos?

Para cumplir el RGPD en tu empresa debes realizar una gestión responsable de los datos personales que procesas cuando alguien interacciona con tu negocio. Este es un proceso aún más delicado cuando hablamos del canal digital.

Dentro de este apartado de la protección de datos existen peligros y zonas grises relacionados con el acceso a esa información por parte de terceros. Es ahí donde entran en juego conceptos tan importantes como la anonimización y la seudonimización de datos. En este artículo te explicamos en qué consiste y cuándo aplicarlos.

La anonimización es una técnica de desidentificación que implica la eliminación completa e irreversible de cualquier información de un conjunto de datos que podría conducir a la identificación de una persona, ya sea a partir de la propia información eliminada o mediante la combinación de dicha información con otros datos en poder de tu empresa o de un tercero. Este proceso hace que los datos sean permanentemente anónimos, y no se puede revertir para volver a identificar a los usuarios.

Trabajar en este sentido supone “eliminar las posibilidades de identificación de las personas”, tal y como indica la Agencia Española de Protección de Datos (AEPD) en su "Guía de orientaciones y garantías en los procedimientos de anonimización de datos personales". Te dejamos aquí un enlace al documento para que puedas consultarlo en detalle.

Para obtener datos anonimizados, se deben eliminar suficientes elementos del conjunto de datos. La información totalmente anonimizada no es información personal y, por lo tanto, no está cubierta por las leyes y regulaciones de privacidad y protección de datos.

Al considerar todos los medios que pueden utilizarse, es importante valorar la técnica específica de anonimización, el estado actual de la tecnología y los riesgos de singularización, vinculabilidad e inferencia.

Una solución de anonimización efectiva evita que todas las partes identifiquen a un individuo en un conjunto de datos, vinculen dos registros dentro de un conjunto de datos y deduzcan cualquier información. Se trata de un listón muy alto, y puede ser muy difícil de lograr en la práctica.

La seudonimización es una técnica de optimización de privacidad que hace que los datos no sean completamente anónimos ni directamente identificables. Los identificadores directos en el conjunto de datos se reemplazan con identificadores artificiales, o seudónimos (de ahí el nombre de la técnica), de modo que el vínculo con la identidad original de un sujeto no sea posible si no se conoce la relación entre los identificadores y los seudónimos.

Esta estructura, por norma, se mantiene por separado y no se comparte con las personas que trabajan con el conjunto de datos. Los datos seudonimizados se pueden volver a identificar aplicando el proceso a la inversa, por lo que la seudonimización no da como resultado un conjunto de datos anónimo.

Para seudonimizar cualquier conjunto de datos, se deben reemplazar suficientes elementos con seudónimos de modo que quien acceda no pueda usar el conjunto de datos para identificar a un sujeto.

Es muy habitual que estos dos conceptos se suelan confundir. La principal diferencia, desde el punto de vista del cumplimiento del RGPD es que los datos seudonimizados y la información asociada debe cumplir el Reglamento de protección de datos, mientras que los datos anonimizados no se encuentran sujetos a esa legislación.

Desde un punto de vista técnico, la principal diferencia entre la anonimización y la seudonimización es que con la primera técnica se procede a la eliminación completa de la información que podría conducir a la identificación de una persona de manera irreversible (con la tecnología actual), mientras con la segunda sí es posible deshacer el proceso de desidentificación.

Como hemos visto, este aspecto del RGPD no es para nada sencillo y es muy fácil cometer errores. Consciente de ello, la AEPD ha recogido en un documento los diez malentendidos más frecuentes. En este apartado te resumimos los más importantes y te enlazamos la documentación original para que puedas consultarla.

Hasta aquí nuestro resumen sobre este aspecto tan delicado de la RGPD. ¿Tienes ya claro para qué sirven estos dos procesos y cuáles son sus diferencias? ¿Estás aplicando el correcto en tu empresa?

Si tienes dudas y buscas orientación profesional sobre este tema, recuerda que en nuestro portal encontrarás expertos en protección de datos que pueden ayudarte. Pídeles presupuesto sin compromiso y ellos te ofrecerán la solución que necesitas para garantizar que tu empresa cumple la normativa con todas las garantías.