03
noviembre
2020

Protección de los datos personales (Parte 2)

Desde la entrada en vigor en Europa del Reglamento General de Protección de Datos (RGPD), han sido muchas las técnicas utilizadas por las empresas para cumplir de manera efectiva el tratamiento y protección de datos personales, de tal manera que exista un equilibrio entre la seguridad de la información y el negocio de la organización.

En este sentido, existen conceptos que todavía causan bastante confusión, y que suelen utilizarse indistintamente, cuando en realidad son totalmente diferentes. No todas las empresas, debido a la falta de entendimiento de este tipo de técnicas, utilizan correctamente la Anonimización y Seudonimización para la protección de los datos personales de sus clientes.

En apretada síntesis, la anonimización es una técnica que elimina aquellos atributos de los datos personales que permiten identificar a un individuo, mientras que la seudonimización se corresponde al cambio de atributos identificativos, de forma tal que no sea posible determinar a una persona sin utilizar información adicional sobre dicho cambio.

Entre los riesgos asociados a la protección de datos personales que estas técnicas mitigan, se pueden mencionar a:

  • La identificación: entendido como la posibilidad de extraer de un conjunto de datos algunos registros (o todos) que identifican a una persona.
  • El vínculo: como la capacidad de relacionar al menos dos o más datos referentes al mismo interesado o grupo de estos, ya sea a través de una o varias fuentes de datos.
  • La inferencia: como la posibilidad de deducir a través de datos simples o no críticos, y con una probabilidad significativa, características personales a las que no se deberían tener acceso.

Anonimización de Datos Personales

El proceso de anonimización (o disociación de datos personales), consiste en eliminar o reducir al mínimo el riesgo de identificación de los datos de carácter personal, es decir, se trata de una técnica por la cual se eliminan las posibilidades de identificar al titular de los datos personales, manteniendo la veracidad y exactitud de los resultados del tratamiento de los mismos.

La anonimización debe disociar los datos personales que permiten la identificación de una persona de forma única. Una vez que se ha completado este proceso, el tratamiento de los datos anonimizados no estaría dentro del ámbito del RGPD.

A partir de este momento, el responsable del tratamiento podrá hacer uso de esta información en la forma y modo que necesite, ya que la privacidad de las personas no se encuentra comprometida de ningún modo.

De forma general, existen dos tipos de anonimización:

  • Aleatorización: consiste en modificar la veracidad de un conjunto de datos, con la finalidad de eliminar la conexión existente entre estos y el titular del mismo. Suele emplearse la adición de “ruido”, entendido como la modificación de los valores para que sean menos precisos, aunque conservando su distribución general (los datos son veraces hasta determinado punto), y la permutación o “mezcla” de valores entre dos o más conjuntos, prestando especial atención a no alterar la relación lógica existente.
  • Generalización: consiste en generalizar o diluir los atributos particulares de las personas físicas, modificando sus respectivas escalas o magnitudes. Es efectiva para descartar el riesgo de individualidad, aunque no así para evitar la vincularidad y la inferencia, por lo que suele combinarse con otras técnicas para fortalecer su eficacia, como la agregación, para evitar que un individuo sea aislado, al agruparlo en al menos un grupo y que compartan un mismo valor en algún atributo.

Otras técnicas que pueden utilizarse para llevar a cabo el proceso de anonimización, son:

  • Algoritmos de Hash con clave secreta: esta técnica equivale a generar un número aleatorio para cada atributo de una base de datos personales, y posteriormente al borrado de la tabla de correspondencia (datos reales).
  • Cifrado Homomórfico: permite realizar operaciones con datos cifrados (sin la necesidad de ser descifrado en ningún momento) de tal manera que el resultado de las operaciones no varía con respecto a si las operaciones se realizaran con los datos en claro (sin cifrar). Los resultados brindan valores igualmente cifrados, garantizando la privacidad del tratamiento, pues solo serán accesibles únicamente al poseedor de la clave de descifrado, si es que es necesario. Es oportuno destacar que esta técnica no se encuentra totalmente estandarizada, por lo que debe emplearse con responsabilidad.
  • Sello de tiempo: Se utiliza en el proceso algoritmos de tiempo con el fin de garantizar la fecha y hora en la que la anonimización ha sido realizada, o incluso firma electrónica, para identificar la identidad de quien ha realizado la anonimización.

Seudonimización de Datos Personales

El proceso de seudonimización se corresponde al tratamiento de datos personales de tal manera que estos no puedan atribuirse a un individuo particular sin utilizar información adicional, siempre que dicha información figure por separado y esté sujeta a medidas técnicas y organizativas que garanticen que no se atribuyan a una persona física.

En otras palabras, consiste en tratar información personal sin los datos que permiten la identificación del interesado, pero sin suprimir permanentemente la conexión existente entre estos datos y la posibilidad de identificar al propietario de los mismos.

A pesar de que la información seudonimizada no permite la identificación directa del propietario, no se debe olvidar que dichos datos siguen siendo de carácter personal (ya que es posible averiguar la identidad del interesado a través de información adicional) y, como tal, son objeto de protección de la normativa en materia de protección de datos vigente.

Por ello, es muy importante proteger aquellos sistemas que permiten realizar la traducción inversa, y obtener la identidad de la persona a la cual pertenecen los datos.

La diferencia fundamental entre la anonimización y la seudonimización es que la primera es un proceso irreversible, pues en ningún caso es posible la vinculación de los datos anonimizados con la persona propietaria de los mismos; mientras que la segunda se reduce a limitar la trazabilidad entre el conjunto de datos tratados y la persona física cuya identidad queda asociada a estos, por tanto, es un procedimiento reversible.

Las técnicas de seudonimización más relevantes, son las siguientes:

  • Cifrado con clave secreta: el poseedor de la clave puede reidentificar al interesado fácilmente. Con esta técnica solamente es necesario descifrar el conjunto de datos, debido a que este contiene los datos personales, aunque sea en forma cifrada. Si se aplican los sistemas de cifrado más avanzados, tan solo es posible descifrar los datos si se conoce la clave.
  • Función hash: se trata de una función que devuelve un resultado de tamaño fijo a partir de un valor de entrada de cualquier tamaño (esta entrada puede estar formada por un solo atributo o por un conjunto de atributos). Esta función no es reversible, es decir, no existe el riesgo de revertir el resultado, como en el caso del cifrado; sin embargo, si se conoce el rango de los valores de entrada de la función hash, se pueden pasar estos valores por la función a fin de obtener el valor real de un registro determinado.
  • Función con clave almacenada: es un tipo de función hash que usa una clave secreta como valor de entrada suplementario. El responsable del tratamiento puede reproducir la ejecución de la función con el atributo y la clave secreta.
  • Descomposición en tokens: se trata de una técnica que se usa normalmente en el sector financiero para reemplazar los números de identificación de tarjetas por valores que son de poca utilidad para los atacantes. Suele basarse en la aplicación de mecanismos de cifrado unidireccionales, o bien en la asignación, mediante una función, de un número de secuencia o un número generado aleatoriamente que no derive matemáticamente de los datos originales.

Mitigación de Riesgos

De manera general, las técnicas actuales no cumplen de forma completa los criterios que permitan obtener una anonimización o seudonimización efectivas al ciento por ciento; de una u otra forma todas entrañan o suponen algún riesgo en cuanto a la identificación de un individuo a través de datos gestionados, por lo que se hace imprescindible estudiar y diseñar cada técnica a emplear, prestando especial atención a la naturaleza de los datos y el posterior uso o tratamiento a los mismos.

Para verificar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costos y el tiempo necesarios para la identificación, teniendo en cuenta además la tecnología disponible en el momento del tratamiento. Existen además otros factores que pueden facilitar la reidentificación de los datos, tales como:

  • La evolución de la tecnología: a medida que avanza el tiempo pueden aparecer nuevas herramientas que faciliten la reidentificación de los datos.
  • La aparición de nueva información o nuevas fuentes: esta información es especialmente accesible a través de internet en redes sociales, blogs u otros.
  • Las propias características de la información: existen datos que pueden vincularse con mayor facilidad a una persona específica que otros.

Este conjunto de circunstancias aumenta lo que se conoce como “riesgo de reidentificación”, que hace referencia a la posibilidad de obtener los datos originales a partir de datos anonimizados.

Al no garantizar completamente la no reidentificación de las personas, es importante que los responsables del tratamiento o, en su defecto, los delegados de protección de datos de carácter personal, conozcan bien todas las fortalezas y debilidades de cada una de las técnicas, así como las circunstancias precisas para aplicar una u otra, de tal forma que se garantice en todo momento la privacidad de los datos.

Además, sea cual sea la técnica elegida, el proceso de anonimización y/o seudonimización debe trasladarse a un procedimiento de trabajo de la organización, documentado y auditable en el tiempo por las partes interesadas, donde los responsables del tratamiento de datos evalúen de forma regular los riesgos existentes, e incorporen medidas de seguridad para mitigarlos.

¿Te interesó el artículo? Si deseas conocer más, contáctanos.

Contáctenos