¿Por qué la cláusula rebus sic stantibus ha sido tan importante para los contratos en la pandemia?
4 octubre, 2021
La venta de la nuda propiedad de una vivienda, una alternativa para obtener liquidez
18 octubre, 2021Datos personales, ¿cuál es la diferencia entre anonimización y seudonimización?
En materia de protección de datos, hay determinados casos en los que la información de carácter personal debe ser anonimizada o bien seudonimizada, pero ¿cuál es la diferencia entre anonimización y seudonimización? La antigua Ley Orgánica de Protección de Datos (LOPD) ya recogía el concepto de anonimización y detallaba cómo se tenía que desarrollar dicho procedimiento. Por su parte, el concepto de seudonimización se ha introducido a través del Reglamento General de Protección de Datos (RGPD). A continuación, explicamos sus diferencias y especificidades. Si necesitas asesoramiento en el área de protección de datos, contacta con nuestro abogados. Somos el primer despacho de abogados de España en ofrecer la certificación europea de protección de datos Europrivacy,
- ¿Es un chollo representar a los trabajadores en una empresa?
- DronExpo 2025: Innovación y regulación en el uso de drones sin vulnerar derechos
- ¿En qué se diferencia el derecho de información del socio en una SRL y en una SA?
- ¿Es posible gestionar en España el patrimonio familiar a través de una fundación?
- Permiso retribuido para cuidadores
Parecen sinónimos, pero no lo son y muchas veces se confunden los conceptos de anonimización y seudonimización. La principal diferencia entre ambos son las medidas que garantizan la protección de los derechos de los interesados. Los datos anonimizados, dado que dejan de ser información personal, no se rigen por el RGPD, algo que sí ocurre cuando se trata de datos seudonimizados y de la información adicional vinculada a ellos. La relevancia de ambas medidas estriba en la posibilidad de utilización posterior de los datos: por ejemplo, utilizar datos de tráfico y movilidad urbana obtenidos de dispositivos móviles de forma agregada y hacerlos accesibles y visibles por el resto de usuarios interconectados.
En ambos casos, transformar un conjunto de datos personales en información anonimizada o seudonimizada exige realizar un tratamiento sobre dichos datos personales que será diferente en cada supuesto. Pero habrá que tener en cuenta que en ambos procesos de anonimización y de seudonimización, los derechos y libertades de los interesados continúan igualmente protegidos.
Datos anonimizados
Lo que caracteriza a los datos anonimizados es que se trata de información que ya no guarda relación con una persona física identificada o identificable. Por tanto, la anonimización genera un único y nuevo conjunto de datos que, por sus características de no reversibilidad, no se puede volver a relacionar con las personas.
Si se puede demostrar objetivamente que no es posible asociar los datos anonimizados a una persona física determinada, directa o indirectamente, ya sea mediante el uso de otros conjuntos de datos, informaciones o medidas técnicas y materiales que pudieran existir a disposición de terceros, entonces los datos anonimizados, por no ser en adelante datos personales, quedarían fuera del ámbito de aplicación del RGPD.
¿Cómo se puede concluir que los datos están anonimizados y que no se puede identificar a las personas a las que se refieren? Será necesario evaluar factores como los costes, el tiempo requerido para llevar a cabo la reidentificación o los medios tecnológicos necesarios para conseguir la reversión de la anonimización, también en atención a los posibles avances tecnológicos que en el futuro podrían ayudar a revertir dicha anonimización.
- Lee también: Más noticias sobre Tecnología y Protección de Datos
- Lee también: ¿Qué empresas deben contar con un Delegado de Protección de Datos o DPD?
- Lee también: Cómo designar al Delegado de Protección de Datos: perfil y funciones del DPD
Sin embargo, conviene tener en cuenta que los datos anonimizados sí podrían estar bajo el ámbito de aplicación de otras normas, por ejemplo, las relacionadas con la salud pública, la seguridad nacional o infraestructuras críticas.
La principal garantía para este caso es la solidez del proceso de anonimización para evitar una posible reidentificación. ¿Qué ocurre si se revierte la anonimización? Entonces sí se aplicaría el RGPD a quienes realicen los tratamientos de los datos personales.
Datos seudonimizados
De acuerdo al RGPD, la información seudonimizada es “aquella información que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante información adicional, siempre que ésta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.”
Un ejemplo claro se produce al cambiar el nombre y apellido de un conjunto de personas por un código numérico asignado a cada una de ellas: si se accede a información adicional sobre el vínculo entre dicho código y la persona, se la podrá identificar.
Por tanto, el tratamiento de datos personales para su correcta seudonimización genera dos nuevos conjuntos de datos: por una parte, está la información seudonimizada y, por otra, la información adicional que permite revertir el procesoy, por tanto, permitirá la identificación. Y ambos conjuntos estarán bajo el ámbito de aplicación del RGPD debido a que son datos personales.
Garantías de la seudonimización
¿Qué significa que el RGPD sea directamente aplicable a los datos seudonimizados? Que en el procedimiento de seudonimización, los dos conjuntos de datos – los seudonimizados y la información adicional vinculada a los mismos- contarán con las siguientes garantías:
- El tratamiento de seudonimización debe impedir la reidentificación si no se dispone de la información adicional.
- Las limitaciones que recoge el RGPD respecto de las finalidades, el periodo de conservación o la comunicación de los datos seudonimizados, entre otras.
- Las garantías adicionales que incorpore el tratamiento de los datos seudonimizados en función del riesgo para los derechos y libertades de las personas físicas.
- Las garantías técnicas y organizativas para impedir la materialización de brechas de datos personales, tanto sobre el conjunto seudonimizado como de la información adicional.
Los procesos de seudonimización son de gran utilidad para las actividades diarias de las empresas, que deben manejar numerosos conjuntos de datos personales y es una medida adecuada de protección. Desde la información de Recursos Humanos, campañas de marketing, y hasta ventas e iniciativas comerciales, la seudonimización de los datos personales reduce el riesgo de infracciones de la regulación protectora de los datos personales y, en consecuencia, de sanciones por parte de la Agencia Española de Protección de Datos. Será necesario un asesoramiento personalizado para determinar en qué procesos se puede implementar la seudonimización y para concretar si se cumple o no con la normativa vigente.
Especialistas en protección de datos
En el Bufete Mas y Calvet contamos con un equipo de abogados especializado asesoramiento en todo lo relacionado con el cumplimiento legal sobre la protección de datos personales y privacidad. Las empresas y organizaciones con las que trabajamos cuentan con servicios de Delegado de Protección de Datos (DPD) externo, evaluaciones de impacto y protocolos europeos de protección de datos personales, como es la certificación Europrivacy. También podemos ejercer la defensa en procedimientos sancionadores de la AEPD, transferencias internacionales de datos, etc. Contacte con nosotros y le ayudaremos en todas sus consultas legales.