Cada día nos encontramos con más noticias alertando de grandes pérdidas de información, que dejan al descubierto una gran volumen de datos de carácter personal. Los datos personales se han convertido en un recurso muy importante para la toma de decisiones de las empresas. Por tanto, es ahora cuando más y mejor se deben proteger, adquiriendo gran importancia la denominada anonimización.
1. ¿Qué es anonimizar?
Anonimizar es un proceso por el cual se desvincula un dato de interés de un dato personal, hasta el punto que la identificación personal, a partir del dato anonimizado, no resulte posible.
La Agencia Española de Protección de Datos, en su guía de Orientaciones y garantías en los procedimientos de anonimización de datos, nos da un poco más de luz, indicando que la finalidad primordial del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, y que además de evitar la identificación de las personas, deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad no conlleve una distorsión de los datos reales.
En el proceso de anonimización se deberá producir la ruptura de la cadena de identificación de las personas. Esta cadena se compone de microdatos o datos de identificación directa y de datos de identificación indirecta. Los microdatos permiten la identificación directa de las personas y los datos de identificación indirecta son datos cruzados de la misma o de diferentes fuentes que pueden permitir la reidentificación de las personas, como la información de otras bases de datos del mismo u otro responsable, de las redes sociales, buscadores, blogs, etc.
2. Principios básicos para realizar un proceso de anonimización
Existen una serie de principios que debemos de tener en cuenta a la hora de realizar este proceso.
– Principio de privacidad por defecto: Los procesos de anonimización se deben de enfocar desde el concepto de protección de datos desde el diseño, lo que significa que los requisitos de privacidad serán tenidos en cuenta desde las etapas iniciales del diseño del sistema o proyecto anonimización y mantenerse durante todo el ciclo de vida.
– Proactividad: Este principio está muy ligado al anterior, la protección de la privacidad es el primer objetivo de la anonimización y su gestión debe realizarse de forma proactiva. Una vez que se inicia un proyecto se debe contar con la privacidad del mismo, no debemos de pensar en ello a posteriori ya que podría llegar a dificultar mucho la tarea y haría que se elevaran los riesgos.
– Principio de privacidad objetiva: En un proceso de anonimización siempre debemos de contar con que existirá un riesgo residual de reidentificación de los datos que debe de asumir el responsable del tratamiento.
– Principio de plena funcionalidad: Siempre deberemos de tener cuenta la utilidad final de los datos anonimizados. En la medida de lo posible, debemos de garantizar la inexistencia de distorsión con relación a los datos no anonimizados. De esta manera, garantizaremos la utilidad de los datos anonimizados.
– Principio de privacidad en el ciclo de vida de la información: Las medidas que garantizan la privacidad deben de aplicarse durante el ciclo completo de vida de la información partiendo de la información sin anonimizar. Eliminaremos todos los datos identificativos que no sean necesarios y que no fuera posible anonimizar.
– Principio de información y formación: Todas las personas implicadas en el proceso de anonimización deben de tener la adecuada información y formación sobre sus obligaciones.
3. Protocolo de actuación
En todo proyecto de anonimización debemos establecer un protocolo de actuación que debe de contener las siguientes fases:
– Creación de un equipo de trabajo, donde se definan las funciones del personal según su perfil y su rol en el proceso. Dentro de este equipo deberá existir una independencia de funciones. Para ello se recomienda elaborar un documento donde aparezcan definidas las funciones que debe de realizar cada miembro del proyecto.
– Realización de un análisis de riesgos antes de realizar el tratamiento, con la finalidad de gestionar y mitigar los riesgos que resulten del mismo con la aplicación de medidas técnicas y organizativas adecuadas.
– Establecimiento de objetivos a cumplir según los intereses de los destinatarios. En el caso de que la información sea de uso restringido se debe firmar los acuerdos de confidencialidad que resulten necesarios para cumplir con la privacidad.
– Finalmente, se elaborará un informe sobre la viabilidad de ese proyecto de anonimización donde se establecerán los motivos y las condiciones para poder llevarlo a cabo.
4. Técnicas de anonimización
– Data Masking: También llamado enmascaramiento de los datos. Trata de un proceso de transformación de los datos en el que prima mantener la realidad de los datos que no se pueda retroceder y recobrar los datos de los que partimos inicialmente. Podría resumirse en un “reemplazo” de la información inicial, manteniendo la misma calidad y el mismo sentido que tenían en su origen.
– Seudanonimización: Técnica consistente en la asignación seudónimos a los datos con los que se identifica al individuo. La identificación de esa persona solo es posible por parte de los implicados en el desarrollo de la tarea. Puede hacerse de diversas maneras, como por ejemplo, asignando directamente un seudónimo que reemplace los datos identificativos.
En el caso de que se utilicen seudónimos a nivel externo tienen que ser distintos de los seudónimos utilizados de manera interna.
Siempre que busquemos una correcta seudoanonimización debemos de utilizar técnicas criptográficas.
– Algoritmos de Hash: Sistema por el cual, partiendo de un dato concreto, se genera una clave única que puede usarse para representar ese dato, es decir, esa clave reemplaza al dato original y hace casi imposible que pueda reconstruirse ese dato original.
– Cifrado: Procedimiento que utiliza un algoritmo de cifrado con cierta clave para transformar un mensaje, sin atender a su estructura lingüística o significado, de tal forma que sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la clave secreta del algoritmo.
– Reducción de los datos: Esta técnica consiste en reducir el número de datos originales, pero sin modificar los mismos. Puede hacerse mediante:
– Supresión de datos sensibles que pueden ser identificadores directos.
– Supresión de registros que permitan que los sujetos sigan siendo identificables.
– Agrupar varias categorías de datos en una única categoría para reducir las posibilidades de reidentificación.
– Eliminar registros de datos que permitan identificar a los sujetos.
El Grupo de Trabajo del artículo 29, emitió en su Dictamen 05/2014 un análisis técnico acerca de la robusted, debilidad y garantías de las técnicas de anonimización. En este Dictamen se muestran algunos de los límites, riesgos y errores que pueden tener lugar como resultado de las técnicas de anonimización utilizadas.
