En una sociedad en la que la explotación de datos de carácter personal y la privacidad del usuario pueden llegar a verse enfrentados, resulta necesario establecer mecanismos que permitan que el avance de la sociedad de la información continúe, sin que este pueda suponer un menoscabo de la protección de los datos de carácter personal de los usuarios.
A este respecto se pronunció la Agencia Española de Protección de Datos (en adelante, AEPD) mediante la publicación de una guía que recoge una serie de orientaciones y garantías a tener en cuenta, por parte de responsables y encargados del tratamiento, en los procesos de anonimización de datos de carácter personal. La mencionada guía tiene como fin último, plasmar cómo ha de llevarse a cabo el proceso de anonimización de los datos de carácter personal para eliminar o, en su defecto, reducir al mínimo los riesgos inherentes a la reidentificación de los datos personales previamente anonimizados.
Pero ¿qué es y qué supone, realmente, la anonimización de los datos de carácter personal?
La anonimización ha sido considerada, por la propia AEPD, como “la ruptura de la cadena de identificación de las personas.”. En otras palabras, se trata del proceso mediante el cual, eliminaremos aquellos datos susceptibles de identificar, directa o indirectamente, a personas concretas, manteniéndose, así, sólo aquella tipología de datos que no puedan asociarse, de ninguna manera, con la persona titular de los mismos. Hablamos de datos tales cómo rangos de edad, nivel medio de renta, estudios…etc., que, en definitiva, no afectan a la privacidad personal y que pueden ser usados con fines estadísticos o analíticos.
Es en este punto, donde conviene recordar que los datos anonimizados se encontrarían fuera del ámbito de aplicación de la normativa vigente en materia de protección de datos, esto es, el Reglamento Europeo de Protección de Datos (en adelante, RGPD) y la Ley Orgánica Española de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante, LOPD – GDD). Así lo recoge el propio RGPD en su considerando 26 cuando indica que: “(…), el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.
A este respecto, y para que el tratamiento de esos datos quede fuera de la aplicación del RGPD y la LOPD – GDD, es necesario que el proceso de anonimización sea plenamente efectivo, de tal manera que resulte imposible, o casi, identificar, por ningún medio, a una persona física concreta, una vez los datos hayan sido anonimizados.
No obstante, a día de hoy, y como consecuencia del avance tecnológico, la anonimización absoluta no puede garantizarse. Así lo expresa la AEPD. El motivo radica en que la misma capacidad de la tecnología, que nos permite anonimizar datos personales, puede ser utilizada para la reidentificación de las personas, de tal manera que lo que en un determinado momento podía ser irreversible, tal vez no lo sea en el futuro.
Por ello, la clave sobre la efectividad, o no, del proceso de anonimización de los datos, recaerá en el esfuerzo que le suponga, a la persona o entidad con acceso posterior a la información anonimizada, reidentificar los datos anonimizados. Así, la anonimización adquirirá una mayor fortaleza si este esfuerzo es de tal magnitud, que o bien el coste de dicho proceso no pueda ser asumible, o bien, no compense el beneficio que se obtendría con la reidentificación.
¿Cómo ha de desarrollarse, entonces, el proceso de anonimización?
En primer lugar, la AEPD relaciona, en su guía, un conjunto de seis principios que vertebran el proceso de anonimización de datos de carácter personal en cada una de las etapas del mismo:
1. Principio proactivo. La protección de la privacidad debe llevarse a cabo de un modo proactivo, y no reactivo, lo que conllevará la asunción de las medidas de seguridad necesarias para garantizar la misma, desde el momento en el que se diseñe el sistema mediante el que se llevará a cabo la anonimización de los datos.
2. Principio de privacidad por defecto. El primer requisito en el diseño de un sistema de información será garantizar la confidencialidad de los interesados, para lo cual, se deberá tener en cuenta el grado de detalle final que deben tener los datos anonimizados.
3. Principio de privacidad objetiva. Partimos del hecho de que siempre va a existir un umbral de riesgo, o riesgo residual de reindentificación tras el proceso de anonimización. Así, este riesgo deberá ser conocido y asumido, o no, por el responsable o encargado del tratamiento a la hora de diseñar su proceso de anonimización.
4. Principio de plena funcionalidad, que se sustenta en la necesidad de tener en cuenta la utilidad final de los datos anonimizados, garantizando en la medida de lo posible la inexistencia de distorsión con relación a los datos no anonimizados.
5. Principio de privacidad en el ciclo de vida de la información. Consistirá en seguir aplicando medidas que garanticen la privacidad de los interesados durante todo el ciclo de vida de los mismos.
6. Principio de información y formación; que implica que será necesario garantizar que el personal implicado en el proceso de anonimización de dichos datos cuente, de manera previa a la anonimización, con la formación e información necesaria para cumplir con las medidas de seguridad recogidas en el artículo 32 del RGPD y, de manera posterior a la anonimización, con la información relativa a la existencia de una política vigente en esta materia, los términos de uso de la información anonimizada, la trazabilidad en el tratamiento, así como las obligaciones que deberán cumplirse en caso de ruptura de la cadena de anonimización.
Por otro lado, los responsables y encargados de tratamiento, deberán configurar cómo se va a llevar a cabo el proceso de anonimización de datos. Para ello, la Guía se centra en el desarrollo de las fases del proceso de anonimización que, lejos de ser un esquema de actuación obligatorio o cerrado, serán opciones a tener en cuenta a la hora de elaborar el plan de anonimización:
1. Definición del equipo de trabajo implicado en la anonimización e independencia de sus funciones. Así, se desarrollarán diferentes perfiles de trabajo y las funciones vinculadas a cada rol; garantizando, en la medida de lo posible, que cada perfil desempeñe las funciones que le han sido asignadas de forma independiente al resto (principio de independencia profesional).
2. Evaluación de los riesgos inherentes a la reidentificación de los datos personales anonimizados, en aras de poder identificar los riesgos resultantes del proceso de anonimización de datos y gestionar los mismos, aplicando las medidas técnicas, organizativas o de cualquier otra índole que permitan mitigarlos. Para conocer las etapas implicadas en el análisis de riesgos recomendamos la lectura de un post publicado previamente en nuestro blog mediante el que ya desarrollamos el proceso de realización del análisis de riesgos (aquí).
3. Definición de objetivos y finalidad de la información anonimizada. Para la elaboración del proceso de anonimización, deberán tenerse en cuenta los objetivos que deberá cumplir la información anonimizada en función de los intereses del destinatario.
4. Viabilidad del proceso; sobre todo en aquellos casos en que los datos a anonimizar tengan la consideración de datos especialmente protegidos, deberá valorarse la creación de un equipo dedicado al estudio de viabilidad del proceso de anonimización, cuya labor radicará en la elaboración de un informe de viabilidad que reflejará detalladamente los motivos y condiciones específicas para la anonimización de los datos.
5. Preanonimización. Aquella parte del proceso en la que se determinan las posibles variables que permitirían la identificación del usuario y que se deberán de tener en cuenta en el diseño de las herramientas de anonimización.
6. Fase de eliminación y/o reducción de variables, cuyo objeto es reducir al mínimo necesario la cantidad de variables que permitan la identificación de las personas, restringiendo el acceso a la información confidencial al equipo de trabajo implicado en el proceso y optimizando el coste computacional de las operaciones con datos anonimizados.
7. Elección de la técnica de anonimización. Así, los responsables del tratamiento deberán escoger entre las diferentes técnicas de anonimización de los datos de carácter personal que la propia AEPD recoge en la Guía: algoritmos de Hash, algoritmos de cifrado, sello de tiempo, capas de anonimización … etc.
8. Creación de un mapa de sistemas de información que asegure entornos segregados para cada tratamiento de datos personales, que implique la separación del personal que accede a dicha información.
9. Realización de un proyecto piloto que la AEPD considera recomendable llevar a cabo con una pequeña muestra de datos de prueba, no reales; y mediante el cual puedan obtenerse conclusiones acerca de la viabilidad y efectividad del proceso de anonimización.
10. Fase de anonimización donde se producirá la disociación definitiva, e irreversible, de los datos personales.
No debemos olvidar que este proceso de anonimización habrá de documentarse en una política interna que, a mayor abundamiento, deberá estar accesible a los implicados en el tratamiento de los datos anonimizados. Dicha política será auditada, por personal interno o externo, con una periodicidad variable con el único fin de garantizar su cumplimiento, revisando y verificando las medidas implantadas en el proceso.
Por último, y tomando como base la imposibilidad de que los procesos de anonimización garanticen al 100% la no reidentificación posterior, los responsables y encargados de tratamiento, deberán sustentar la fortaleza del proceso en la aplicación de medidas de seguridad que sirvan para atenuar los riesgos inherentes al mismo y que permitan paliar las consecuencias de que éstos se materialicen.