La antigua Ley Orgánica de Protección de Datos (LOPD), ya recogía la anonimización, que pretendía romper la posibilidad de identificar a una persona física rompiendo la cadena de datos que llevaban a ella. No obstante, en el Reglamento Europeo de Protección de Datos (RGPD) se define también qué es la seudonimización, un concepto que cada vez adquiere más relevancia a nivel nacional e internacional.
Conceptos claves de la seudonimización en la protección de datos
Con la seudonimización, el RGPD pretende que los datos de las personas físicas, que sean de carácter personal, se puedan seguir tratando compatibilizando dos aspectos: que estos de por sí no identifiquen al interesado pero, a su vez, que no se suprima la vinculación entre la información personal y su titular. Un ejemplo muy típico que se está comenzando a utilizar, por ejemplo en hospitales, es sustituir los nombres y apellidos por secuencias numéricas y de letras, es decir, un seudónimo.
¿Qué es?
La seudonimización es, según el RGPD, aquella información que permite identificar a una persona física, pero sin llegar a utilizar sus datos denominativos. Es decir, se llega al sujeto mediante cierta información extra que está por separado. Además, siempre se garantiza que esa información de más esté sometida a ciertas medidas de control que garanticen la privacidad, y que sean tanto de carácter técnico como organizativo.
¿Cómo afecta a la protección de datos?
La seudonimización afecta a la protección de datos de una forma muy positiva, ya que supone una mayor protección de la información personal de la persona física sin llegar a suponer una traba real para el tratamiento efectivo de sus datos. Los procesos de seudonimización tan solo impiden la identificación directa de una persona física, reemplazando el conjunto de datos.
No obstante, el tratamiento se puede llevar a cabo igual, ya que en última instancia se puede averiguar cuál es la identidad de la persona cuyos datos estamos tratando, aunque no sea de forma directa. Tan solo, se reemplaza una parte del total de datos que ostentas por información adicional que no tenga carácter personal.
Es decir, el RGPD enmascara datos como el nombre o el apellido, el DNI, la fecha de nacimiento o la residencia de una persona física, pero no el resto de información sobre el mismo sujeto, siempre y cuando no sea tan relevante. Con esa información de más que queda visible, podríamos llegar a identificar a la persona sin conocer el resto de sus datos, lo cual supone una enorme garantía a la hora de proteger la información vulnerable de un sujeto.
¿Cuáles son sus características?
Las características de la seudonimización se basan, en primer lugar, en mantener el anonimato de la persona física en lo referente a sus datos personales. Por otro lado, es fundamental que utilicemos claves que sean diferentes a la hora de implantar el proceso de seudonimización, de modo que se reduzca la vinculabilidad con el sujeto. Además, deben ser distintas en cada uso y en cada conjunto de usuario.
A su vez, es importante no conservar las claves junto a la información que se esté seudonimizando, ya que se podrían vincular con la persona física. Es decir, es importante cifrar adecuadamente los datos y sustituir correctamente, en los registros, los atributos de la persona que se pretendan seudonimizar.
En definitiva, con la llegada del RGPD se ha aclarado qué es la seudonimización, un concepto cada vez más necesario en la protección de datos personales. Especialmente ahora que la necesidad de ampliar la privacidad incrementa cada vez más en el ámbito de las nuevas tecnologías y de la sociedad de la información, especialmente cuando se trata de evitar la vulneración de datos de carácter sensible o de datos en masa.