Anonimizar y seudonimizar son palabras que parecen a simple vista sinónimas, aunque lo cierto es que no es así. La Agencia Española de Protección de Datos elaboró una guía referente a la anonimización de los datos y, posteriormente, ha indicado los 10 malentendidos más comunes que pueden darse alrededor de estos conceptos.
Lo primero que debemos preguntarnos es, ¿qué es la anonimización?
La anonimización es un proceso a través del cual los datos se vuelven anónimos, y en el caso de la seudonimización los datos podrían ser atribuibles a una persona, aunque para llegar a identificarla necesitaremos información adicional. La diferencia esencial entre ellos es que en el caso de la anonimización nunca podremos saber a quién pertenecen esos datos.
Los datos anónimos no hacen referencia a personas que puedan ser identificadas o identificables. Ahora bien, no por ello todos los datos pueden ser anonimizados. En función de la categoría o naturaleza de los datos, podría ser que anonimizándolos no fuera suficiente. Por ejemplo, si una empresa tiene como trabajadores a tres mujeres y un hombre, por mucho que eliminemos los nombres del personal, si hubiera alguna referencia al género de los empleados, podríamos llegar a saber que cierta información es relativa a dicho empleado.
Debemos tener en cuenta que los datos personales tienen valor por sí mismos, sobre todo para los interesados, pero también para terceros. Es por ello que debemos tratarlos con extrema cautela, porque una pérdida, o reidentificación a través de unos datos anonimizados podría tener graves repercusiones en aquello relativo a los derechos y libertades de los interesados.
Si ciframos los datos, ¿éstos son anónimos?
La respuesta es no. Lo que lleva a cabo el proceso de cifrado es evitar que un tercero pueda acceder a la información. En el caso de que un tercero obtuviera la clave para descifrar los datos, podría consultar los datos, y podría acceder a los datos personales contenidos en el archivo cifrado.
¿Cuánto tiempo puedo anonimizar los datos?
Podríamos creer que una vez anonimizamos los datos, éstos quedan anonimizados para siempre. La tecnología avanza a pasos agigantados por lo que, lo que hoy puede ser una medida que garantice la anonimización de los datos, en un futuro podría no serlo. Por ejemplo, en un futuro, los ordenadores cuánticos podrían suponer un gran avance en cuanto a computación, pero también podría ser un arma para aquellos que pretenden hacerse con nuestros datos.
La tecnología avanza, y cada vez puede haber más peligros asociados a ella. Es por ello que debemos ir actualizando periódicamente el estado de nuestra empresa en lo referente a la protección de datos y ciberseguridad, tal y como indica el RGPD.
¿Podemos asegurar al 100 % que si anonimizamos datos no se podrán reidentificar?
Nunca podemos asegurar algo al 100 %, y menos en un ambiente tan cambiante como el que tenemos ahora. Lo que sí podemos conseguir anonimizando los datos es que se reduzcan significativamente las posibilidades de que nos identifiquen a partir de una serie de datos. Lo que también podemos hacer es evaluar el riesgo de reidentificación, para poder gestionarlo y controlarlo a lo largo del tiempo, midiendo así el grado de riesgo que tenemos de que nos reidentifiquen a través de dichos datos.
Siempre deberemos tener en cuenta que puede haber un riesgo residual de reidentificación, y, por tanto, aceptado por la empresa.
¿Puedo usar alguna herramienta para anonimizar los datos?
Siempre es posible valerse de las nuevas tecnologías para llevar a cabo este tipo de procesos, pero siempre necesitaremos del consejo de un experto en la materia, para poder aplicar las medidas técnicas necesarias y reducir los riesgos que se puedan derivar de dicho proceso.
Además, si contamos con dicho experto podremos evitar que en el proceso de anonimizar los datos éstos queden inservibles.
Hoy en día contamos con varios softwares tanto de pago como open source que permiten anonimizar los datos.
¿Debo seguir procesos que hayan usado otras organizaciones, para anonimizar mis datos?
La complejidad de estos procesos hace aconsejable que cada empresa u organización elabore su propio plan de contingencia y de seguridad, donde se integre la anonimización, y siempre teniendo en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y los fines del tratamiento. Para ello, deberán evaluarse los riesgos inherentes a los datos, calculando la probabilidad de que puedan ocurrir y el impacto que podría tener en la empresa dicha brecha de seguridad.
Ya sabéis que, si necesitáis ampliar información u os surge cualquier duda al respecto, estamos a vuestra disposición.
El equipo de Pymelegal