Dentro de la investigación en diferentes ámbitos la anonimización de los datos ha ido adquiriendo una mayor importancia. Los datos anonimizados se utilizan en áreas diferenciadas que van desde la medicina hasta la estadística, pasando por otros campos relevantes como el marketing, la economía o la demografía. Sin embargo, dicho uso ha creado un gran número de confusiones. ¿Cuáles son esos malentendidos y cómo se aclaran? Aquí en Gesprodat te los aclaramos.
Dudas y respuestas relacionadas con la protección de datos
De acuerdo con el Reglamento General de Protección de Datos (RGPD), los datos anónimos son los que no hacen identificable a su portador. Es decir, la persona física en ningún caso debe ser identificable. No obstante, se han cometido muchos errores que han hecho que la Agencia Española de Protección de Datos (AEPD) nos aclare los malentendidos más frecuentes.
1. No siempre es posible anonimizar
No siempre es posible anonimizar los datos sin que los mismos pierdan toda su utilidad en el campo de investigación en el que se van a utilizar. Lo importante, de acuerdo con la AEPD es que mantengas un equilibrio adecuado entre los dos aspectos: el riesgo de identificación y la utilidad. Anonimizar datos, si se realiza de forma adecuada, hace que la funcionalidad de la información con respecto a su fin se mantenga.
Además, otro aspecto que destaca la AEPD es que el proceso mencionado siempre tiene una influencia directa sobre la minimización del riesgo, según la forma en que se aplique, pero nunca se reduce a cero. Siempre es fundamental la intervención de un experto que analice el conjunto de datos, sus objetivos, las técnicas y el riesgo.
2. Lo que le valió a otros no tiene por qué servirte a ti
Que anonimizar datos mediante un proceso concreto les haya servido a otros no significa que tu empresa vaya a tener el mismo éxito. Cada procedimiento tiene que estar adaptado al contexto concreto, así como a los fines del tratamiento, al alcance, a la naturaleza y a los riesgos de vulneración de la protección de datos personales. Igualmente, siempre hay que considerar que la información personal de un individuo siempre tiene valor, pudiendo generar su revelación una grave repercusión en sus derechos y libertades.
3. Seudonimización y anonimización
La importancia de distinguir conceptos es fundamental. La seudonimización es el tratamiento de datos de modo que no se puedan atribuir a una persona física sin tener el resto de la información. En la anonimización, ni siquiera con el resto de la información se podrá identificar al individuo. Igualmente es importante saber que el cifrado es una técnica de seudonimización. Otro elemento relevante que es necesario que conozcas es que, al contrario de lo que se suele pensar, anonimizar no es un concepto binario. Puede medirse y analizarse, y no es un proceso permanente, sino reversible.
Algunos ejemplos sobre anonimizar mal
Son aquellos que, por estar incompletas y por no realizarse correctamente, han permitido una reidentificación. Por ejemplo, te exponemos el caso de la Comisión de Taxis y Limusinas en Nueva York, que publicó una lista de viajes individuales con origen y destino. Los números de licencias no se anonimizaron correctamente y se podía identificar incluso a los conductores. También ocurrió con la publicación de una lista de clasificación de películas, que permitió identificar a medio millón de usuarios.
La anonimización de datos es uno de los aspectos más relevantes del RGPD. En parte, porque muchas veces los datos que se tratan son sensibles, como es el caso de la medicina, o porque se tratan a gran escala. Pero también por la frecuencia con la que resulta necesario dicho proceso de anonimizar debido a su habitual uso en diversos campos de investigación.