El tratamiento de grandes volúmenes de datos otorga diversos beneficios a cualquiera de los sectores de la sociedad: al sector científico, al educativo, al financiero, al comercial, al judicial, etc. Gracias a esto se pueden obtener avances significativos en el desarrollo de servicios y en el bienestar para la humanidad.
Este tratamiento debe estar siempre enmarcado en el respeto y la protección a la privacidad de los datos personales de todo ser humano, bajo la regulación del Reglamento General de Protección de Datos RGPD. Es la única forma de que pueda verdaderamente servir para el avance de la sociedad.
Un método para garantizar la protección a la privacidad de datos es la anonimización, según el RGPD. De esta forma, se elimina la información que puede identificar a las personas. Pero ¿cómo tratar los datos anonimizados según este reglamento?
¿Qué son los datos anonimizados para el RGPD?
Según el RGPD, los datos anonimizados son los datos que no establecen ninguna relación con alguna persona física, sea está identificada o identificable.
Entendiéndose como:
-
Persona identificada, la que se distingue dentro de una agrupación de personas.
-
Persona identificable, la que es posible identificar, aun cuando no se haya identificado.
Los datos anonimizados se consiguen a través del proceso en el que se desasocian y eliminan los identificadores, directos e indirectos, de los datos personales tratados. Siendo:
-
Los datos identificadores directos, los que muestran una característica exclusiva de la persona, por ejemplo, el nombre, su fotografía o el domicilio.
-
Los identificadores indirectos, los que pueden asociarse a una persona, siempre que se vinculen con otro grupo de información.
Cuando los datos anonimizados no pueden servir para identificar a la persona titular, entonces, no estarán regulados por el RGPD. ¿Por qué? Por el simple hecho de que un dato verdaderamente anónimo no puede ser considerado un dato personal. Por lo tanto, puede ser usado libremente.
Pero para llegar a este término deben cumplirse ciertas normas.
Contenido relacionado:
¿Cómo cumplir con el RGPD con los datos anonimizados?
Para cumplir con los datos anonimizados del RGPD, el proceso de anonimización debe ser irreversible. Esto significa que, identificar a la persona titular con dichos datos anonimizados debe ser un procedimiento imposible para cualquiera, incluso para la empresa que haya prestado el servicio.
Es cierto que puede parecer un requisito sencillo. Pero, lograr una anonimización, según la RGPD, conlleva al establecimiento de procedimientos seguros para que los datos resultantes, los anonimizados, sean imposibles de asociarlos a otra fuente de información e identifiquen al sujeto interesado.
¿Cómo tener la certeza de que una persona pueda ser identificada o no? El mismo RGPD establece que, para ejecutar un proceso de anonimización eficiente, debe evaluarse el riesgo de reidentificación por singularización u otra técnica.
Si el proceso de anonimización no ha sido llevado a cabo de forma eficiente y existe una posibilidad de reidentificación del individuo titular, entonces estamos ante un proceso de seudonimización.
Seudonimización vs anonimización para el RGPD
A diferencia de la anonimización del RGPD, la seudonimización es el procedimiento para el tratamiento de datos personales en el que se reemplazan los identificadores con seudónimos y se salvaguarda la vinculación entre la información y el titular de la misma.
Para, finalmente, obtener: la información tratada o seudonimizada y la información adicional o vinculante.
En la anonimización, según el RGPD, los datos vinculantes o identificadores se eliminan. Mientras que en la seudonimización se resguardan bajo métodos de ocultamiento o encriptación, siendo posible utilizar nuevamente los datos seudonimizados para identificar al titular.
Por lo tanto, los datos seudonimizados continúan siendo información personal y su tratamiento debe ser realizado bajo el cumplimiento de la seudonimización del RGPD.
Esta normativa establece que los datos vinculantes en la seudonimización, después de extraerse, deben mantenerse alejados de la información tratada. Además, deben ser sometidos a ciertas medidas para garantizar su protección.
En contraposición, los datos anonimizados no se regulan por el RGPD. Pero si el responsable de realizar el procedimiento a la información no cumple con una verdadera anonimización, los datos resultantes seguirán siendo datos personales que, al compartirlos, se estaría incurriendo en el incumplimiento del RGPD.
Lectura recomendada:
Consecuencias del incumplimiento con el RGPD con los datos anonimizados
Cuando las organizaciones, empresas o instituciones comparten información anonimizada deficientemente, incumplen con la protección de datos personales del RGPD y, como resultante, se pueden enfrentar a las siguientes consecuencias:
-
La imposición de sanciones y multas administrativas.
-
Las acciones judiciales que puede intentar la persona o grupo de personas afectadas, con el fin del resarcimiento de daños o perjuicios.
-
El daño a la reputación de la empresa, por la divulgación de la negligencia o el mal uso de los datos que ha realizado esta.
Si las empresas que proveen el servicio de anonimización actúan con negligencia, además de afectar al cliente con las consecuencias arriba señaladas, el propio cliente puede emprender acciones legales contra su proveedor.
En definitiva, los datos anonimizados, de forma óptima, no se encuentran regulados por el RGPD. Porque al no poder servir para reidentificar a la persona titular, ya no pueden considerarse datos personales.
Siempre es de suma importancia contar con empresas confiables y expertas que utilicen la más avanzada tecnología en el servicio de anonimización, según el RGPD. Un asesoramiento o servicio deficiente, negligente o con tecnología poco apropiada constituye un riesgo para el correcto cumplimiento de la RGPD.
En Pangeanic somos líderes en los servicios de anonimización de datos, a través del desarrollo de software patentado basado en la tecnología de IA. De esta manera, garantizamos el cumplimiento del RGPD de la Unión Europea y de las normativas de protección de datos en otros ámbitos como Japón y EE.UU.