Normadat SA Normadat SA
Noticias

Anonimización y seudonimización de datos personales: características y diferencias

Correo electrónico
Detalles
Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Anonimización y seudonimización son dos conceptos esenciales en la gestión de protección de datos personales que todas las empresas debemos tener en cuenta.


Cabe destacar que ambos no son lo mismo: el primero no está previsto en el Reglamento General de Protección de Datos (RGPD) europeo. Por su parte, la seudonimización de conjuntos de datos y la información vinculada a estos sí está contemplada en dicho instrumento legal. Sin embargo, existen otras diferencias claves que trataremos de resumir en las próximas líneas.

Anonimización y seudonimización: definiciones para entrar en contexto

Ciertamente, el tratamiento de datos personales de clientes y potenciales, proveedores y empleados que una organización requiera hacer con cualquier propósito lícito es una tarea delicada. En particular porque dicha gestión debe garantizar un respeto total a los derechos de los interesados definidos en el RGPD. En este sentido, dicho reglamento define como datos personales “toda información sobre una persona física identificada o identificable”; en este caso, “el interesado”. Posteriormente, el texto legal enumera los identificadores mediante los que es posible distinguir a esta persona: nombre, número de identificación, datos de localización, identificadores en línea, distintivos físicos, fisiológicos, genéticos, económicos, culturales y sociales. 

La aplicación de anonimización y seudonimización está entre todas las medidas que deberían tomar las empresas o instituciones responsables del tratamiento de datos. Ambas son técnicas efectivas para mantener la confidencialidad de la información.

Por un lado, la anonimización es un procedimiento irreversible para lograr que determinada información no pueda ser vinculada con una persona física identificada. De este modo, dejaría de ser un dato personal. Y el RGPD no afecta al tratamiento de información anónima, incluyendo aquella con fines estadísticos o de investigación.

Por otra parte, el artículo 4.5 del RGPD define la seudonimización como un tratamiento de datos personales de manera tal que sea difícil de atribuir estos a una persona específica sin requerir información adicional. Eso sí, siempre que tal información adicional esté separada y sujeta a medidas técnicas y organizativas dirigidas a garantizar que los datos personales no puedan atribuirse a una persona física identificada o identificable. Es decir, mientras no ocurra una ruptura de la cadena de identificación que facilite la reidentificación aunque los datos estén disociados.

Principales diferencias entre anonimización y seudonimización

Reducir o eliminar la posibilidad de reidentificación

Teniendo en cuenta el Considerando 26 del RGPD, estaremos ante datos anonimizados mientras no exista una probabilidad razonable de que alguien pueda identificar a una persona física concreta en el conjunto de datos. A los efectos, es necesario evaluar los costes, el tiempo y la tecnología necesarios para efectuar la reidentificación mediante la reversión de la anonimización. Todo ello, estimando estas variables tanto en la actualidad como en el medio plazo.

Sin embargo, la seudonimización es una técnica para la gestión de datos que consiste en reemplazar los campos de información personal en un registro, por seudónimos. En sí, este procedimiento solo permite reducir el vínculo que hay entre los datos personales y el individuo al que identifican. Esto unicamente tendría por objeto facilitar la gestión de los datos para los fines lícitos previstos por el responsable del tratamiento.

El tratamiento de los datos es distinto

Aplicar cualquiera de los dos procesos que nos ocupan a conjuntos de datos personales requiere efectuar tratamientos distintos sobre tal información. En este caso, la diferencia entre anonimización y seudonimización está en que el primer procedimiento crea un conjunto de datos nuevos y únicos. Por el contrario, la seudonimización genera dos conjuntos de datos nuevos: la información seudonimizada y los datos adicionales que permiten la reidentificación.

anonimización

Anonimización y seudonimización también difieren en las garantías que las protegen

En efecto, el RGPD aplica a los conjuntos de datos seudonimizados, así como la información adicional vinculada a estos y al tratamiento que los produce. Por tanto, los datos seudonimizados tienen el respaldo de cuatro tipos de garantías: 

  • El mismo tratamiento de seudonimización en sí mismo que evita la reidentificación al no disponer de la información adicional. 
  • Luego, están los principios y garantías del RGPD: la finalidad del tratamiento, el tiempo de conservación y la comunicación de los datos seudonimizados, entre otros. Los mismos establecen limitaciones. 
  • Además, están las garantías añadidas en función del riesgo que el tratamiento de los datos seudonimizados pueda representar para los derechos y libertades de los interesados. 
  • Por último, y como consecuencia del anterior, están las garantías técnicas y organizativas que el responsable del tratamiento tenga a disposición. Estas últimas tendrán el propósito de impedir la materialización de brechas de datos personales, tanto en el conjunto de datos seudonimizados como en la información adicional.

He aquí una diferencia relevante entre anonimización y seudonimización: según el RGPD, para los conjuntos de datos anonimizados solo aplica un tipo de garantía. Esta es la solidez del proceso de anonimización frente a  la posibilidad de reidentificación. El proceso de identificación y eliminación de identificadores directos es lo que se conoce como “enmascaramiento”. Este conforma la parte más relevante del proceso de anonimización.

Cuando un conjunto de datos está anonimizado, no hay obligación de incorporar las otras tres garantías. Por lo menos, desde la perspectiva del Reglamento citado.

la seudonimización no suprime la vinculación entre los datos para determinar a la persona titular de los mismos  Click to Tweet

Anonimización o seudonimización, ¿qué opción aplicar?

Para escoger entre los procesos de anonimización y seudonimización y saber cuál es el más conveniente para el tratamiento de datos personales en tu empresa es aconsejable hacer un análisis de riesgos. En sí, el objetivo de este análisis es identificar amenazas y posibilidades de que ocurran incidentes como la sustracción, filtración, modificación no autorizada o destrucción de la información. De esta forma, es más sencillo diseñar e implementar los procedimientos y medidas de seguridad más adecuadas para evitar que sucedan tales problemas. O, por lo menos, reducir al mínimo aceptable esas posibilidades. 

Algunas técnicas de anonimización

  1. Generalización. En síntesis, se trata  de transformar los datos individuales de las personas en datos genéricos. Esto es posible empleando magnitudes o escalas más generales y amplias. Esto dificulta la identificación por individuo. Aquí puedes implementar dos opciones:
  • Agregación y anonimato k. Básicamente, consiste en generalizar los valores de los atributos con la intención de que cada individuo comparta el mismo valor (mes de nacimiento, por ejemplo). Para ello se integra a uno o varios grupos k de personas.
  • Diversidad l / proximidad t. Añade mayor complejidad a la técnica anterior, ampliando el anonimato k asignando a cada tipo de equivalencia l distintos valores.
  1. Aleatorización. Con este sistema es factible modificar la veracidad de los datos para eliminar su vínculo con la persona a la que pertenecen. Para ello puedes poner en práctica técnicas como: 
  • Adición de ruido. Es decir, cambiando los atributos de un conjunto de datos para hacerlos imprecisos, pero conservando la distribución general.
  • Permutación. Esto implica mezclar los valores de los atributos de un conjunto de datos con el fin de vincularlo a distintos interesados. Eso sí, evitando modificar la relación lógica predeterminada.
  • Privacidad diferencial. Los datos se recaban de manera general, desconociendo a quién corresponde cada información.
  1. Enmascaramiento de caracteres mediante la sustitución de ciertos caracteres dentro de un mismo valor. Por ejemplo, suprimiendo las primeras cifras del DNI (xxxxx368).

Técnicas de seudonimización

  • Sustitución de cifras y códigos por palabras. En este caso, para interpretar los datos debes disponer de la información adicional. 
  • Codificación de la información y generación de una clave de desencriptación.
  • Almacenar datos bajo un número aleatorio sin relación con la información original.
  • Sustituir cifras y códigos por palabras, contando con una clave para desencriptar la información.
  • Intercambiar un número aleatorio por un conjunto de datos.

¿Alguna duda sobre la anonimización y seudonimización de datos?

En Normadat entendemos la importancia de los datos como palanca de cambio de las organizaciones en esta era tecnológica. Por eso, hemos adquirido la capacidad para suministrar productos y servicios para viabilizar la transformación digital de las operaciones de back office de tu empresa. En consecuencia, podemos asesorarte en el cumplimiento de las normativas de protección de datos. Y también, ayudarte a elegir entre anonimización y seudonimización para proporcionar la seguridad adecuada a la información que gestionas.

Contactamos Contigo:

Nombre *
Empresa *
Cargo en la empresa *
Teléfono
Email *

Acepto Política de Privacidad y comunicaciones Normadat.

Enviar

Artículos relacionados

Teléfono 916 591 311
Formulario de Contacto Contactar a través de email

NOTICIAS

NOTICIAS

La Tienda Normadat

 

ACCEDER A LA TIENDA NORMADAT

RRSS

Soluciones para empresas

Automatización de procesos de negocio

Transformación digital de procesos internos

Externalización de especialistas en gestión documental y back office

Industrias / Sectores

Salud y Farma, Banca y Seguros, Educación, Logística, Construcción, Distribución, Industria, Retail, Financiero, Administración Pública, Utilities, Real Estate, Justicia, Servicios Profesionales, Notarios, Horeca, IT

 

Especialidades

Control de Notificaciones Electrónicas Obligatorias, Cartería y Valija Digital, Control de Homologación de Proveedores, Tratamiento y Portal de Facturas de Proveedores, Digitalización de documentos, Custodia de backup, Tratamiento de archivos y bibliotecas.

Certificaciones

certificado ENS alta - Esquema Nacional de Seguridad

 Normadat certificada en ISO 27001 de Gestión de la Seguridad de la Información Normadat servicio certificado Destrucción Confidencial - Une-EN 15713

Normadat certificada en UNE-EN ISO 14001 GA-2014/0182 de Gestión Medioambiental

 Normadat certificada en ISO 9001 de Gestión de Calidad
    

 

Normadat Proveedor Tecnológico Homologado por la Cámara de Comercio de Madrid
         

Colaboraciones

RSC y Premios

Normadat - Sello solidario Fundación ManantialPremio RSC - Revista Emprendedores

 Premios CEPYME - mejores prácticas de pagoNormadat - Sello finalista Premios Fundación Alares - RSC

 
 
Copyright © 2023 Normadat – Tecnologías para la Gestión Documental, Archivos y Back Office. Todos los derechos reservados.