Anonimización y RGPD: encontrar un equilibrio entre privacidad y seguridad

Anonimización y RGPD: encontrar un equilibrio entre privacidad y seguridad

Los datos se han convertido en un recurso esencial para prácticamente todas las compañías, posicionándose como un activo imprescindible para ellas. 

Algunos autores consideran que el Siglo XXI es el “siglo de la privacidad”, y esta opinión tiene una base realmente sólida. Nuevas formas de tecnología están teniendo lugar a una velocidad cada vez mayor, y nuevas formas de recolectar, almacenar, tratar y analizar datos personales también se están desarrollando de forma paralela. Los consumidores (y los ciudadanos en general) están cada vez más concienciados acerca de su privacidad, y están desarrollando más y más preocupaciones mientras la tecnología sigue evolucionando sin precedentes.  

Las regulaciones en materia de protección de datos entran en acción para asegurar la privacidad de las personas, y para proteger a los consumidores y ciudadanos por todo el mundo. La tecnología trae consigo numerosos beneficios, así como algunas desventajas, especialmente en términos de privacidad, y estas regulaciones se erigen como verdaderos portadores de los derechos de los interesados, otorgando un marco general de protección en relación a sus datos personales.

Así que, una vez que hemos dicho todo esto, ¿Cómo pueden las compañías de todo el mundo encontrar un equilibrio entre la privacidad de sus clientes y sus derechos más fundamentales, con sus propios intereses empresariales? 

Tenemos que decir al respecto que técnicas como la Anonimización pueden jugar un rol muy importante en la protección de los datos personales, asegurando los principios en materia de protección de datos, y permitiendo por tanto a las empresas llevar a cabo sus actividades de manera lícita y transparente. 

En este contexto, las compañías FinTech pueden tener cierta importancia, ya que como discutimos en un post anterior en relación a las FinTech, estas compañías pueden llegar a tratar datos realmente sensibles para diferentes finalidades, y asegurar los principios básicos de protección de datos y cumplir con las vigentes regulaciones en la materia puede resultar realmente complejo. 

En la Unión Europea, desde la entrada en vigor del Reglamento General de Protección de Datos, las empresas han ido utilizando diferentes técnicas para cumplir con sus obligaciones legales, y para encontrar un equilibrio entre privacidad y seguridad. Cumplir con el RGPD se ha convertido en una tarea realmente desafiante, siendo de gran importancia hacerlo para las compañías del sector.

En Seifti ayudamos a las compañías a utilizar el cumplimiento de las obligaciones de protección de datos como una ventaja competitiva, a través de una tecnología simplificada y automatizada de protección de datos y privacidad.

Si bien es cierto que la utilización de técnicas tales como la Anonimización pueden resultar muy efectivas para superar los desafíos que impone el RGPD, tenemos que decir que “no es oro todo lo que reluce”. 

Sólo un pequeño porcentaje de empresas utilizan esta técnica de manera adecuada para proteger la información actualmente, y con ello están dejando escapar sus principales beneficios. Por todo ello, ¿cuáles son los conceptos clave que necesitan ser entendidos y cómo funciona realmente la Anonimización según el RGPD?

Comprendiendo conceptos clave relacionados con la Anonimización

Como hemos dicho, la anonimización puede resultar muy útil para las empresas por muchas razones, como por ejemplo, para lograr la confidencialidad de los datos. Pero, ¿qué significa este concepto exactamente y para que puede utilizarse? ¿Qué se entiende por información anonimizada según el RGPD? ¿Le afecta el RGPD?

Debemos decir que existen numerosos malentendidos en relación a este concepto, y muchos estudios tratan de poner dicha situación de manifiesto, con la intención de aportar conocimiento y dar a conocer mejor esta técnica. 

Por ejemplo, la Agencia Española de Protección de Datos (AEPD), ha dicho en su estudio titulado “10 malentendidos relacionados con la Anonimización” que “tanto entidades públicas como privadas consideran la anonimización como un instrumento para compartir datos sin perjudicar los derechos fundamentales de los individuos”, pero que existen numerosos malentendidos al respecto. 

Sobre estos malentendidos, nos vamos a centrar en en dos de ellos, ya que nos van a resultar muy ilustrativos: “la pseudoanonimización es lo mismo que la anonimización” y “la anonimización siempre es posible”. 

En relación a la primera afirmación, es momento de que mencionemos la perspectiva que tiene el RGPD en relación a la información anonimizada. Para esta regulación, los principios de la protección de datos que se establecen en el mismo aplicarán a cualquier información que se refiere a una persona física viva identificada o identificable.

Para el reglamento, la pseudonimización es aquella técnica en el tratamiento de datos personales donde no pueden ser atribuidos a un individuo específico sin utilizar información adicional. Esto implica que, utilizando esta información adicional, podemos llegar a identificar a los interesados involucrados, y esta es la razón principal por la cual los datos pseudonimizados están sujetos al RGPD. 

Sin embargo, con la anonimización no dejamos que lo anterior suceda (en teoría), ya que la información no se refiere en ningún sentido a una persona física viva identificada o identificable y el interesado no es ni puede ser identificado. 

Los datos anonimizados son “información que no se refiere a una persona identificada o identificable, de tal manera que no podemos ya identificar a los interesados”. 

Y si hemos dicho que el RGPD aplica a cualquier información que se refiere a una persona física viva identificada o identificable, podemos deducir que no afectará al tratamiento de datos personales anónimos, incluyendo finalidades estadísticas o de investigación. 

Mapa del mundo con personas comunicadas por líneas sobre fondo de mano sobre teclado de portatil

Acerca de la segunda afirmación de que “la anonimización siempre es posible” refleja cómo de importante es para las compañías entender el contexto y los riesgos del tratamiento de los datos personales. 

Como decíamos al comienzo, esta técnica puede tener un rol muy importante en proteger los datos personales, asegurar los principios en materia de protección de datos, y permitir a las empresas desarrollar sus actividades.

Beneficios y desventajas

Tal y como comentábamos al principios, técnicas como la anonimización permiten a las compañías utilizar datos personales de manera segura, así como cumplir con el RGPD al mismo tiempo (encontrando ese equilibrio que también mencionábamos antes).

Sin embargo, hay ciertos riesgos involucrados en el proceso, como por ejemplo la re-identificación, la cual está muy asociada con la creencia de que la “Anonimización siempre es posible”. 

Tenemos que tener en cuenta que, para poder “esquivar” al RGPD con la anonimización, la información necesita no referirse a una persona física identificada o identificable o a datos personales procesados de tal manera que no puedan ser de ninguna manera identificables nunca más.

Así que, en este sentido, se requiere que la información no pueda ser re-identificada (y este puede ser desde luego el talón de Aquiles para muchas compañías). 

La re-identificación supone convertir información anónima en datos personales, y las compañías deben preocuparse de cómo esto puede afectarles a la hora de asegurar los derechos en materia de protección de datos de sus clientes. 

El Recital 26 del RGPD establece que para “determinar si existe probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, así como los costes y el tiempo necesario para la identificación, teniendo en cuenta la tecnología disponible en el momento del tratamiento, como los avances tecnológicos”. 

Las empresas necesitan comprender que la anonimización no es siempre posible, y que no pueden reducir o mitigar siempre el riesgo de re-identificación, y es crucial para ellas analizar el contexto y la naturaleza de dicha información personal. 

Necesitan, por tanto, estar alerta acerca de cómo terceras partes con fines maliciosos pueden intentar re-identificar información e interesados, y que incluso cuando la información es completamente anónima y no se refiere a una persona física  identificada o identificable, no pueden estar siempre seguras del todo.

Por todas estas razones, es crucial para las empresas entender los conceptos clave acerca de la anonimización, y recordar que si los interesados son identificados a través de cualquier vía, su información se verá afectada por el RGPD.

Solo entonces, estas técnicas resultarán efectivas y útiles para encontrar ese equilibrio entre alcanzar metas comerciales y cumplir con las regulaciones en materia de privacidad. 

1 Comment

Post a Comment

Ir al contenido