La anonimización de los datos personales
Paula Garralón, Servicios Jurídicos de Ecix Group; experta en protección de datos
Cuando se hace alusión a los datos de carácter personal, ello supone hablar de la idea jurídica de la privacidad, que son dos conceptos que caminan de la mano y encontrar el equilibrio justo entre ambos se ha convertido en el principal objetivo de los profesionales de este sector.
El uso de datos de carácter personal de manera abierta en procesos como el Open Data, Big Data o la transparencia del sector público, exige un ejercicio constante de ponderación entre el derecho a la información y el derecho a la protección de los datos personales.
En este contexto surge la anonimización como una herramienta para mitigar los riesgos que presentan la obtención y tratamiento masivo de los datos de carácter personal, consistente en un proceso que permite identificar y ocultar la información sensible contenida en los documentos, permitiendo su divulgación sin que ello implique vulnerar los derechos a la protección de datos de las personas y organizaciones que se puedan referenciar en los mismos.
Marco Normativo
Antes de adentrarnos en la materia, resulta imprescindible conocer las leyes que regulan el proceso de anonimización.
En primer lugar, a la luz de la normativa europea, en concreto la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos, así como la Directiva 2002/58/CE sobre la protección de la intimidad en las comunicaciones electrónicas, entendemos que la anonimización es el resultado de un tratamiento de datos personales realizado para evitar de forma irreversible su identificación.
En la legislación española, pese a que no encontramos la palabra anonimización, se reconoce el dato disociado, como aquel que no permite la identificación de un afectado o interesado. Así mismo el artículo 3.f de la LOPD define el procedimiento de disociación como todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Por tanto, cuando los datos pierden su condición de personal y dejan de estar vinculados a un titular concreto, quedan fuera del ámbito de aplicación de la normativa de protección de datos.
Pese a que parece tarea sencilla, disociar los datos de manera irreversible no lo es, hacen falta sistemas de gran complejidad de manera que la identificación exija esfuerzos desproporcionados y que en la práctica sea equivalente al borrado permanente.
Resulta muy ilustrativo en este punto, el Informe 0283/2008 de la Agencia Española de Protección de Datos en el que estableció que será suficiente la mera posibilidad, incluso remota, de que, mediante la utilización, con carácter previo, coetáneo o posterior de cualquier medio (proceso informático, programa, herramienta del sistema, etc), la información concerniente a los titulares de los datos, pueda revelar la identidad de los mismos, para que quede plenamente sometida a la Ley Orgánica de Protección de Datos.
Por tanto, un procedimiento de disociación efectivo es aquel por el que resulte imposible identificar por ningún medio a una persona física concreta, una vez los datos hayan sido disociados, haciendo uso de esfuerzos proporcionados. Sólo así el tratamiento de esos datos queda fuera de la aplicación de la normativa de protección de datos.
La razonabilidad de los medios usados es el criterio que desde Europa se propuso en la Directiva 95/46 CE para evaluar si el tratamiento de anonimización es suficientemente sólido, ello se traduce en una obligación para los responsables del tratamiento, quienes deben centrar su atención en los medios concretos que serían necesarios para revertir el proceso de anonimización, teniendo en cuenta el coste y los conocimientos asociados al uso de dichos medios y a la evaluación de la probabilidad y gravedad de su uso.
A las disposiciones europeas y españolas mencionadas, se añade el Dictamen 05/2014 sobre técnicas de anonimización publicado hace un año por el Grupo de Trabajo del Artículo 29 integrado por las Autoridades de Datos de todos los Estados miembros, que resulta esclarecedor en esta materia ya que formuló recomendaciones para la gestión de las técnicas de anonimización.
La anonimización
En primer lugar, al analizar el proceso de anonimización, atendiendo a la LOPD, surge un debate en torno a su naturaleza por constituir en sí mismo un tratamiento de datos.
Atendiendo al principio de calidad de los datos, se exige que la anonimización sea compatible con el tratamiento original. Una de las soluciones adoptadas en este sentido ha sido considerar éste como un caso particular de “tratamiento posterior” de datos personales y se condiciona la compatibilidad con el fin original del tratamiento, si el proceso de anonimización genera fiablemente información anonimizada. Se dice, que existe un interés legítimo en el tratamiento.
Desde el punto de vista técnico, el Dictamen 05/2014 declaró el riesgo implícito del proceso de anonimización, el cual ha de tenerse en cuenta al evaluar la validez del mismo. En concreto dispuso que han de tenerse en cuenta la identificabilidad, el contexto y las circunstancias particulares de cada caso, es decir, no basta con eliminar los elementos que pueden servir para identificar directamente a una persona sino que harán falta medidas adicionales para evitar dicha identificación.
Riesgos
Los responsables del tratamiento deben tener en cuenta una serie de riesgos asociados al uso de datos anonimizados:
Un error frecuente es pensar que la seudonimización es lo mismo que la anonimización.
Los datos seudonimizados se utilizan para ocultar identidades por ejemplo en los ámbitos estadístico e investigador y, normalmente, suele quedar un rastro entre el seudónimo y la identidad con la que corresponde, de manera que permiten singularizar a los interesados y vincularlos entre conjuntos de datos diferentes. Por ejemplo, los datos cifrados a los que se asigna una clave para descifrarlos. Este tipo de datos entra dentro del ámbito de aplicación del régimen jurídico de la protección de datos.
Otra creencia errónea es pensar que los datos correctamente anonimizados quedan fuera del ámbito de aplicación de la Directiva sobre protección de datos y que privan a las personas de cualquier tipo de protección.
Es necesario hacer dos aclaraciones en este sentido; el primer lugar que pese a que los datos hayan sido correctamente anonimizados de manera que cumplan con todas las exigencias técnicas y legales, ante la menor inconsistencia frente a técnicas de inferencia o cuando se presente una posibilidad de reidentificación han de operar las garantías de la Ley de protección de datos.
En segundo lugar, el hecho de que en determinados supuestos se excluya la aplicación de la normativa de protección de datos, no significa que otros actos legislativos no sean aplicables al uso de esos datos, como por ejemplo la protección de la confidencialidad de las comunicaciones.
Finalmente, el Dictamen advierte sobre los posibles efectos que puede tener sobre las personas el uso de los datos adecuadamente anonimizados. En este sentido, hablamos de supuestos en los que un conjunto de datos anonimizados se entrega a un tercero para que este lo use para sus propios fines, por ejemplo, algo que hoy en día está tan de moda como es el uso de wearables con los que se monitorean nuestros datos de salud. Los datos que obtiene el fabricante de estos dispositivos puede venderlos a compañías de seguros para que éstas creen patrones sobre hábitos de salud de una determinada área geográfica y llevar a cabo estudios de negocio por poner un ejemplo. La persona que compró el wearable para medir sus pulsaciones o distancias recorridas probablemente no pensó que la información recogida fuese a ser útil para la toma de decisiones de una empresa en otro sector. En estas circunstancias, pese a que los datos del consumidor se anonimizan y son tratados de manera masiva junto con otros (Big Data), el uso de los mismos puede implicar una pérdida de privacidad.
Una vez expuestas las creencias erróneas más frecuentes entre responsables de tratamiento, se plantean los tres riesgos claves de la anonimización:
· Por un lado la Singularización, consistente en la posibilidad de extraer de un conjunto de datos algunos registros que identifican a una persona.
· En segundo lugar la Vinculabilidad, como la capacidad de vincular como mínimo dos registros de un único interesado o de un grupo de interesados, ya sea en la misma base de datos o en dos bases de datos distintas.
· Por último la Inferencia que es la posibilidad de deducir con una probabilidad significativa el valor de un atributo a partir de los valores de un conjunto de otros atributos.
Teniendo en cuenta los riesgos técnicos descritos, se deja a elección del responsable la técnica de anonimización que estime oportuna ya que la legislación europea no contiene ninguna norma prescriptiva al respecto. Las dos familias de técnicas de anonimización más usadas son la aleatorización, consistente en modificar la veracidad de los datos a fin de eliminar el estrecho vínculo existente entre los mismos y la persona, y por otro lado, la generalización que trata de generalizar y diluir los atributos de los interesados modificando las respectivas escalas u órdenes de magnitud.
El Dictamen 05/2014 describe las concretas técnicas de anonimización existentes dentro de los dos grupos mencionados junto con las características de las mismas, cuya explicación no se corresponde con el humilde objetivo de este artículo que no es otro que aportar nociones básicas sobre el concepto de anonimización desde un punto de vista jurídico. En lo que a nosotros concierne, el responsable o encargado de tratamiento ha de estudiar caso por caso qué técnica aplicar al conjunto de datos, teniendo en cuentas las ventajas e inconvenientes de cada una.
Conclusiones
El valor de la anonimización es innegable si se tienen en cuenta las oportunidades de negocio que presenta el Big Data en un futuro inmediato, responde a la necesidad de hacer compatible el tratamiento masivo de datos con la protección de los titulares de los mismos.
Ahora bien, como ya han puesto de manifiesto los expertos, las técnicas actuales no cumplen al cien por ciento los criterios de una anonimización efectiva. Todas, en mayor o menor medida, entrañan algún riesgo por lo que es imprescindible diseñar cuidadosamente cada técnica dependiendo de la naturaleza de los datos y el uso que se vaya a hacer del conjunto anonimizado.
Los riesgos inherentes al proceso de anonimización se unen al incesante avance de las tecnologías que permiten nuevos descubrimientos en materia de reidentificación. Con ello pretendo echar abajo la creencia instalada de que una vez que un dato es anonimizado el responsable puede olvidarse del mismo. La anonimización no puede plantearse como un proceso esporádico sino como un proceso continuo en el que el responsable evalúa regularmente los riesgos existentes y toma medidas al respecto.