Consideracions sobre l’anonimització de dades personals
31 maig, 2021Consideracions sobre l’anonimització de dades personals.
Aquest passat mes d’abril, l’Autoritat de control (aepd.es) va publicar una guia per a aclarir diversos malentesos que es cometen habitualment a l’hora d’anonimitzar dades personals.
Aquest article ve a resumir les consideracions publicades per l’Agència Espanyola de Protecció de Dades amb la fide no dur a terme interpretacions inadequades d’aquest concepte i evitar vulneracions de la normativa vigent, el Reglament (UE) 2016/679 de 27 d’abril de 2016 (GDPR) i la Llei orgànica 3/2018, de 5 de desembre (LOPDGDD).
En primer lloc, és important deixar clar que el procés d’anonimitzacióconsisteixen convertir les dades personals en anònims o no identificables. Concretament, tota la informació que fa referència a persones físiques identificades o identificables deixa de ser-ho. En aquest sentit, els conjunts de dades que inclouen dades personals són els que permeten la identificació d’una persona física, i poden contenir tant identificadors directes com indirectes.
Els identificadors directes són tota aquella informació específica que pot atribuir-se a un subjecte en concret (nom, número d’identificació, etc.) i els indirectes són aquelles dades que poden utilitzar-se, de manera individual o combinada, per part d’algú que tingui coneixements sobre l’individu amb la finalitat de reidentificar-lo (dades de geolocalització, opinions, etc.), és a dir, convertir les dades anonimitzades en dades personals a través de tècniques de comparació de dades o similars.
L’anonimització de dades té un paper primordial en molts sectors, com la medicina, el màrqueting, l’economia, l’estadística, etc., i és freqüent que en fer ús d’aquest procés es cometin errors a causa de malentesos. A continuació, s’exposa un resum dels aclariments publicats per l’Autoritat de control respecte aquesta qüestió:
- La seudonimització i l’anonimització no són el mateix. Mentre que la seudonimització permet que les dades personals no puguin atribuir-se a un subjecte concret sense fer ús d’informació addicional, protegida per mesures tècniques i organitzatives, l’anonimització fa que una vegada les dades són realment anònimes no es puguin associar a un individu en particular, deixant de ser identificables. Per tant, mentre que les dades seudonimitzades continuen sent dadespersonals, les dades anonimitzades perden aquesta consideració.
- El xifratge no és una tècnica d’anonimització, sinó de seudonimització. El procés de xifratge fa ús de claus secretes per a transformar informació i reduir el risc, però aquestes transformacions són reversibles a través del procés de desxifrat. Encara que s’elimini la clau del xifratge, aquestes dades poden tornar a recuperar-se tenint en compte la solidesa de l’algorisme de xifratge o clau, els avanços tecnològics, la quantitat de dades xifrades o alguns problemes d’implantació.
- No sempre és possible reduir al 100% la reidentificació. L’anonimització tracta de trobar l’equilibri perfecte entre la reducció del risc de reidentificació i el manteniment de la utilitat del conjunt de dades, però en funció de la naturalesa de les dades o del context, els riscos de reidentificació podrien no mitigar-se per complet. Això succeeix en casos en què hi ha un nombre d’individus massa reduït, quan les categories de dades són molt diferents entre sí o quan els conjunts de dades inclouen un elevat nombre d’atributs demogràfics o de localització.
- L’anonimització no és permanent. Hi ha processos d’anonimització que poden revertir-se en un futur arran de canvi de circumstàncies, nous avanços tècnics i disponibilitat o divulgació d’informació addicional.
- L’anonimització no redueix la probabilitat de reidentificació a zero. El procés d’anonimització i la forma en què s’aplica tindrà influència directa en la probabilitat de riscos de reidentificació. Hi ha diversos factors que poden influir en el risc: controls de mitigació, repercussió en la privacitatd’individus i la capacitat de l’atacant. En molts casos l’anonimització al 100% no és possible i ha de contemplar-se un risc residual de reidentificació.
- El grau d’anonimització pot analitzar-se i mesurar-se. Qualsevol procés sòlid d’anonimització avaluarà el risc de reidentificació, que haurà de gestionar-se i controlar-se en el futur.
- L’anonimització pot automatitzar-se, però, donada la importància de l’avaluació del context, no per complet. La intervenció humana és sempre necessària, ja que es requereix una anàlisi del conjunt de dades original (fins previstos, tècniques i risc de reidentificació). El procés d’anonimització ha d’identificar i eliminar tant identificadors directes com indirectes, i aquests últims en moltes ocasions no són obvis ni fàcils de detectar.
- L’anonimització no inutilitza les dades, sinó que manté la funcionalitat de les mateixes per a un fi determinat. L’objectiu és evitar que s’identifiqui als individus d’unconjunt de dades restringint les formes en què es pot utilitzar aquest conjunt, però les dades no perden la seva funció, sinó que la seva utilitat dependrà de la finalitat i el risc de reidentificació que s’accepti. En quant a la conservació, les dades no poden emmagatzemar-se de manera il·limitada, però l’anonimització permet independitzar dades personals del conjunt de dades, fent que el conjunt continuï conservant un significat útil. Un exemple seria el registre d’accessos a un lloc web, en cas de conservar-se la data d’accés, però no quin usuari ha accedit. En els casos en què l’anonimització no s’ajusti a la finalitat prevista, el responsable del tractament podria decidir a fer ús de la seudonimització o no tractar dades personals.
- No hi ha un procés d’anonimització vàlid per a totes les entitats. Aquestsprocessos han d’adaptar-se a la naturalesa, abast, context, fins del tractament, riscos i gravetat per alsdrets i llibertats de les persones físiques de cada entitat. El risc de reidentificació pot tenir diferents llindars en funció de l’activitat de l’entitat i el tipus de destinataris. A més, pothaver-hi diferentsconjunts de dades disponibles en diferents contextos, i en creuar-se aquests amb dades anònimes es podrien generar afectacions al risc de reidentificació.
- Les dades personals tenen valor en sí mateixes, tant per als propis individus com per a tercers, i la reidentificació d’algun individu podria generar greus repercussions en quant als seus drets i llibertats. Els atacs poden tenir forma d’intents deliberats, involuntaris, bretxes de seguretat o divulgació de dades al públic. L’impacte sobre la vida privada d’una persona és molt difícil d’avaluar, ja que el mateix dependrà del context i la informació que es pugui correlacionar.
A DATAX som una empresa especialitzada en matèria de protecció de dades i seguretat de la informació.
Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.
Més de 16 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.
Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.
Jan Bonamusa
Advocat especialitzat en Protecció de Dades