Seudonimización y anonimización de datos personales

Seudonimización y anonimización son dos conceptos que de manera habitual generan confusión.

La gran diferencia radica en las garantías que protegen los derechos de los interesados, el Reglamento General de Protección de Datos (RGPD) no se aplica para los datos anonimizados, siendo de aplicación tanto en el caso de datos seudonimizados, como en relación a la información adicional vinculada con dichos datos.

El RGPD entiende como información anónima al conjunto de datos que no guarda relación con una persona identificada o identificable ( Considerando 26 del RGPD), sin embargo, la información seudonimizada permite, mediante el uso de información adicional, que dichos datos se puedan atribuir a un interesado. Dicha información adicional ha de figurar por separado, estando sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable

Siempre que se transformen datos personales en información anónima o seudonimizada se estará llevando a cabo un tratamiento sobre dichos datos personales. El tratamiento de seudonimización dará lugar a dos nuevos conjuntos de datos : la propia información seudonimizada y la información adicional que permite que dichos datos puedan ser atribuidos a un interesado en concreto. Con respecto al proceso de anonimización únicamente se genera un nuevo conjunto de datos.

Como indicamos anteriormente, los datos anonimizados no están bajo el ámbito de aplicación del RGPD ( Considerando 26), pudiendo estar bajo el ámbito de aplicación de normas como seguridad nacional, salud pública,etc. En este caso hay que tener en cuenta que :

  • Los datos anonimizados quedan fuera del ámbito de aplicación del RGPD siempre que se puede demostrar la no existencia de capacidad material para asociar dichos datos a una persona física en concreto,  directa o indirectamente, ya sea mediante el uso de otros conjuntos de datos, informaciones o medidas técnicas y materiales que pudieran existir a disposición de terceros.
  • El tratamiento que generan los datos anonimizados sí es un tratamiento de datos personales, que puede considerarse compatible con el fin original del tratamiento de datos personales del que proceden los datos 

ANONIMIZACIÓN, SEUDONIMIZACIÓN Y SUS GARANTÍAS

Serán considerados como anónimos aquellos datos que no permitan la identificación de una persona física, teniendo en cuenta el tiempo requerido para llevar a cabo la reidentificación, los costes, así como los medios tecnológicos actuales o futuros usados para revertir el proceso. Siendo la garantía fundamental la robustez del proceso de anonimización contra una posible reidentificación. La reversión de la anonimización supone la plena aplicación del RGPD a los sujetos obligados que traten los datos personales.

Los datos seudonimizados, el tratamiento inicial que los genera, así como la información adicional vinculada a los propios datos seudonimizados se encuentran bajo el ámbito de aplicación del Reglamento General de Protección de Datos, estando protegidos por cuatro tipos de garantías :

  1. El tratamiento de seudonimización que ha de evitar que se pueda reidentificar sin disponer de información adicional.
  2. Los principios y garantías del RGPD y las limitaciones que establece en relación a las finalidades, periodo de conservación,etc.
  3. Las garantías adicionales que lleve el tratamiento de los datos en función del riesgo para los derechos y libertades de las personas físicas.
  4. Las garantías técnicas y organizativas dispuestas de cara a impedir que se produzcan brechas de datos personales, ya sea sobre los datos seudonimizados o sobre la información adicional asociada.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *