Anonimización de datos

La anonimización es una técnica aplicada a los datos personales para obtener una desidentificación irreversible, según el Dictamen 05/2014 sobre técnicas de anonimización del Grupo de Trabajo sobre Protección de Datos del Artículo 29. En otras palabras, es el resultado de un tratamiento de datos personales realizado para impedir de forma irreversible la identificación del interesado, o sea, se parte de datos personales para convertirlos en anónimos y que pierdan su vínculo con la persona a la que se refieren, garantizando que la anonimización no supondrá una distorsión de los datos reales.

Existen diversas técnicas de anonimización, si bien lo ideal es la combinación de varias para asegurar una anonimización más completa y transversal. La legislación no contiene ninguna norma prescriptiva, dejando total libertad al responsable del tratamiento a la hora de elegir la técnica/s de anonimización que considere más adecuada para el caso concreto.

Tengan muy claro que no hay técnicas de anonimización infalibles, de lo que se trata es de dificultar al máximo la reidentificación de los afectados, de forma que el esfuerzo de reidentificación conlleve un coste elevado para que no pueda ser abordado en términos de relación esfuerzo-beneficio, es decir, que la reidentificación implique un esfuerzo considerable hasta tal punto que el posible beneficio a obtener pueda llegar a ser despreciable o bien que dicho esfuerzo no sea asumible por la persona o entidad con acceso a la información anonimizada.

En el diseño del proceso de anonimización es importante prever las consecuencias de una eventual reidentificación de los sujetos afectados, que pudiera generar un perjuicio o merma de derechos para los mismos que, igualmente, podría derivar de una hipotética pérdida de información por negligencia del personal implicado, por la falta de una política de anonimización adecuada o por una revelación de secreto intencionada que diera lugar a la pérdida de las variables o claves de identificación.

Técnicas de anonimización

Entre las diversas técnicas de anonimización de datos, destacan las basadas en algoritmos, como los algoritmos de hash, cuya utilidad es incuestionable, pues generan una «huella digital» que reemplaza al dato real. Sin embargo, un algoritmo de hash por sí solo no resulta suficiente para hacer irreversible la anonimización. Si lo que queremos es garantizar la irreversibilidad del proceso de anonomización se puede aplicar una anomización por capas, es decir, crear una segunda anonimización de los datos ya anonimizados o combinar varios algoritmos de hash con claves secretas no triviales.

Aparte de los algoritmos de hash, destacan los algoritmos de cifrado, que permiten descifrar los valores cifrados al usuario que disponga de la correspondiente clave. No son tan efectivos como los de hash, pero ofrecen un grado de seguridad aceptable.

La anonimización en base a los algoritmos es la técnica más avanzada y recomendada, si bien existen otras, que pueden ser empleadas para la anonimización de datos menores como la generalización, la aleatorización, la permutación y la seudonimización.

La generalización trata de convertir datos individuales en datos más genéricos, en los que no quepa sólo un individuo, sino un grupo de ellos, haciendo imposible identificar a uno de ellos por separado. Se trata de convertir un dato específico en uno genérico. Un ejemplo sería sustituir el salario de una persona (3.600 euros) por intervalos de valores (salario entre 1.000 y 6.000 euros).

La aleatorización modifica la veracidad de los datos a fin de eliminar el estrecho vínculo existente entre los mismos y la persona. La teoría es que si los datos se hacen suficientemente ambiguos no será fácil identificar al sujeto. Por ejemplo, aunque la altura de una persona se mida originalmente hasta el centímetro más próximo, el conjunto de datos anonimizado puede contener valores con una exactitud de ± 10 cm. Si se utiliza esta técnica de manera competente, un tercero no podrá identificar a una persona ni tampoco debería ser capaz de restaurar los datos o de averiguar como se han modificado. Esta técnica se conoce como «adición de ruido». El nivel de ruido dependerá de la cantidad y el tipo de información que se requiera, así como del impacto que tenga la revelación de los atributos protegidos en la privacidad de las personas.

La permutación es una técnica que consiste en el intercambio de valores contenidos en el conjunto de datos, trasladándolos de un registro a otro. Por ejemplo, imaginemos un conjunto de datos médicos, como «centro hospitalario», «razón de la hospitalización» y «síntomas». Lo que se hace es intercambiar los datos contenidos en cada categoría por los de otra categoría. En la mayoría de los casos, existirá una estrecha relación lógica entre los valores, de modo que si se llevara a cabo la permutación en uno solo de estos valores, esta técnica será fácilmente detectada e incluso podría revertirse. Al igual que ocurre con la adición de ruido, la permutación por sí sola no permite obtener la anonimización, por lo que debe combinarse con el procedimiento de eliminación de atributos obvios o cuasi identificadores.

La seudonimización consiste en la sustitución de campos de información personal por identificadores artificiales o pseudónimos. Un ejemplo es la sustitución del nombre de un usuario por un pseudónimo o un código de cliente.