Pseudonimización y anonimización de datos: ¿en qué se diferencian?
Tanto la pseudonimización como la anonimización de datos desempeñan un papel importante en el procesamiento de datos, la seguridad de los datos y los procesos de acceso a los datos desde que entró en vigor el Reglamento General de Protección de Datos (RGPD). Esto se debe a que los métodos de protección de datos son necesarios para cumplir la normativa y, al mismo tiempo, poder utilizar los datos para proyectos empresariales.
Estos métodos de protección de datos se clasifican en diferentes categorías según el RGPD. Pero, ¿en qué se diferencian ambos?
¿Qué significan la anonimización y seudonimización? ¿En qué se diferencian?
Tanto la anonimización como la pseudonimización se refieren a ocultar identidades y datos personales, pero de formas diferentes.
En el RGPD, la pseudonimización se define como «el tratamiento de datos personales de tal manera que los datos ya no pueden atribuirse a un sujeto de datos específico sin el uso de información adicional«. De este modo, los datos personales se intercambian con datos no identificativos, y se necesita información adicional para recrear los datos originales. Además, la información adicional debe conservarse por separado.
La pseudonimización hace que la información, como los números de identificación personal y los datos personales, sea menos accesible a usuarios no autorizados, y es una forma de cumplir los requisitos del RGPD.
No obstante, los datos anonimizados se refieren a los datos que se hacen anónimos de tal manera que los registrados ya no pueden ser identificados. Simplemente se eliminan las posibilidades de identificar a una persona, y ninguna información adicional puede restablecer la información original.
La anonimización es difícil y se pierde por completo la conexión entre los datos y el individuo. Sin embargo, puede ser una técnica beneficiosa cuando los datos se utilizan con fines estadísticos o de investigación.
Pseudonimización o anonimización: ¿Cuál elegir para tu empresa?
La distinción legal entre datos anonimizados y pseudonimizados es su categorización como datos personales. Los datos pseudonimizados permiten algún tipo de reidentificación (aunque sea indirecta y remota), mientras que los anónimos no pueden reidentificarse.
Las técnicas de pseudonimización difieren de las de anonimización. Con la anonimización, se elimina de los datos cualquier información que pueda servir para identificar a un interesado. La pseudonimización, sin embargo, no elimina toda la información identificativa de los datos, sino que se limita a reducir la posibilidad de vincular un conjunto de datos con la identidad original de una persona (por ejemplo, mediante un sistema de cifrado).
Tanto la pseudonimización como la anonimización se fomentan en el RGPD y permiten cumplir sus restricciones. Por lo tanto, estas técnicas deberían generalizarse y ser recurrentes. Quienes posean datos personales deberían aplicar una u otra de estas técnicas para minimizar el riesgo, y la automatización puede reducir el coste del cumplimiento.
¿Qué datos deben anonimizarse?
Por definición, las técnicas de anonimización de datos pretenden ocultar la identidad y, por tanto, los identificadores de cualquier naturaleza. Los identificadores pueden aplicarse a cualquier persona física o jurídica, viva o muerta, incluidos sus dependientes, ascendientes y descendientes. A su vez, se incluyen otras personas relacionadas, directamente o a través de la interacción.
Por ejemplo:
- Apellidos, patronímicos, nombres, apellidos de soltera, alias.
- Direcciones postales, números de teléfono, códigos postales y ciudades
- Identificaciones: número de la seguridad social (por ejemplo, código fiscal en Italia, número de la Seguridad Social en el Reino Unido), datos de cuentas bancarias (por ejemplo, IBAN), números de tarjetas de crédito, claves válidas, anonimización parcial.
La anonimización es sin duda una de las mejores formas de garantizar la seguridad de los datos que recopilas. A su vez, la pseudonimización de datos también es una buena forma de reducir las restricciones que implica el manejo de datos personales en la era del RGPD, siendo un poco más fácil de realizar.
Así pues, será realmente necesario pensar en los pros y los contras de cada opción antes de emplear una de estas técnicas en tu organización.