Seudonimización

La elección de los campos de datos que deben ser seudonimizados es parcialmente subjetiva. Los campos menos selectivos, como la Fecha de nacimiento o el Código Postal, a menudo también se incluyen porque generalmente están disponibles de otras fuentes y, por lo tanto, hacen que un registro sea más fácil de identificar. La seudonimización de estos campos menos identificativos elimina la mayor parte de su valor analítico y, por lo tanto, normalmente va acompañada de la introducción de nuevas formas derivadas y menos identificativas, como el año de nacimiento o una región de código postal más grande.

Los campos de datos que son menos identificativos, como la fecha de asistencia, generalmente no se pseudonimizan. Es importante darse cuenta de que esto se debe a que se pierde demasiada utilidad estadística al hacerlo, no porque los datos no se puedan identificar. Por ejemplo, dado el conocimiento previo de algunas fechas de asistencia, es fácil identificar los datos de alguien en un conjunto de datos seudonimizado seleccionando solo a aquellas personas con ese patrón de fechas. Este es un ejemplo de un ataque de inferencia.

La debilidad de los datos seudonimizados antes del RGPD para inferir ataques suele pasarse por alto. Un ejemplo famoso es el escándalo de los datos de búsqueda de AOL. El ejemplo de AOL de reidentificación no autorizada no requería acceso a «información adicional» guardada por separado que estaba bajo el control del controlador de datos, como ahora se requiere para la Seudonimización compatible con el RGPD. Consulte la Nueva Definición de Seudonimización en el RGPD a continuación.

Proteger los datos seudonimizados estadísticamente útiles de la reidentificación requiere:

  1. una base sólida de seguridad de la información
  2. controlar el riesgo de que los analistas, investigadores u otros trabajadores de datos causen una violación de la privacidad

El seudónimo permite rastrear los datos hasta sus orígenes, lo que distingue la seudonimización de la anonimización, donde se han purgado todos los datos relacionados con la persona que podrían permitir el rastreo. La seudonimización es un problema en, por ejemplo, los datos relacionados con el paciente que deben transmitirse de forma segura entre los centros clínicos.

La aplicación de la seudonimización a la salud electrónica pretende preservar la privacidad y la confidencialidad de los datos del paciente. Permite el uso primario de los registros médicos por parte de proveedores de atención médica autorizados y el uso secundario de los investigadores para preservar la privacidad. En los Estados Unidos, la HIPAA proporciona directrices sobre cómo deben manejarse los datos de atención médica y la desidentificación o seudonimización de los datos es una forma de simplificar el cumplimiento de la HIPAA. Sin embargo, la seudonimización simple para la preservación de la privacidad a menudo alcanza sus límites cuando se trata de datos genéticos (véase también privacidad genética). Debido a la naturaleza identificativa de los datos genéticos, la despersonalización a menudo no es suficiente para ocultar a la persona correspondiente. Las soluciones potenciales son la combinación de seudonimización con fragmentación y cifrado.

Un ejemplo de aplicación del procedimiento de seudonimización es la creación de conjuntos de datos para la investigación de desidentificación reemplazando palabras identificativas con palabras de la misma categoría (por ejemplo, reemplazando un nombre con un nombre aleatorio del diccionario de nombres), sin embargo, en este caso, en general, no es posible rastrear los datos hasta sus orígenes.

Nueva Definición de Seudonimización bajo GDPREdit

A partir del 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) de la UE define la seudonimización por primera vez a nivel de la UE en el artículo 4, apartado 5. De conformidad con los requisitos de definición del artículo 4, apartado 5, los datos se denominan seudónimos si no pueden atribuirse a un interesado específico sin el uso de información adicional conservada por separado.»Los datos seudonimizados representan el estado de la técnica en la Protección de Datos por Diseño y por defecto, ya que requieren la protección de identificadores directos e indirectos (no solo directos). La protección de datos del RGPD por Diseño y los principios por defecto incorporados en la seudonimización requieren la protección de identificadores directos e indirectos para que los datos personales no sean referenciables (o reidentificables) a través del «Efecto Mosaico» sin acceso a la «información adicional» que el controlador conserva por separado. Dado que el acceso a la «información adicional» guardada por separado es necesario para la reidentificación, el controlador puede limitar la atribución de datos a un sujeto de datos específico para respaldar únicamente fines legales.

El artículo 25(1) del RGPD identifica la seudonimización como una «medida técnica y organizativa adecuada» y el artículo 25(2) requiere que los responsables del tratamiento:

«implement implementen medidas técnicas y organizativas adecuadas para garantizar que, por defecto, solo se procesen los datos personales que sean necesarios para cada propósito específico del procesamiento. Esta obligación se aplica a la cantidad de datos personales recopilados, el alcance de su tratamiento, el período de almacenamiento y su accesibilidad. En particular, dichas medidas garantizarán que, por defecto, los datos personales no se pongan a disposición de un número indefinido de personas físicas sin la intervención de la persona.»

Un núcleo central de Protección de Datos por Diseño y de forma predeterminada en virtud del artículo 25 del RGPD es la aplicación de controles tecnológicos que respalden los usos adecuados y la capacidad de demostrar que, de hecho, puede cumplir sus promesas. Tecnologías como la seudonimización que imponen la Protección de Datos por Diseño y por defecto muestran a los sujetos de datos individuales que, además de idear nuevas formas de obtener valor de los datos, las organizaciones están aplicando enfoques técnicos igualmente innovadores para proteger la privacidad de los datos, un tema especialmente delicado y de actualidad dada la epidemia de violaciones de la seguridad de los datos en todo el mundo.

Las áreas vibrantes y en crecimiento de la actividad económica—la «economía de confianza», la investigación en ciencias de la vida, la medicina/educación personalizada, el Internet de las Cosas, la personalización de bienes y servicios—se basan en individuos que confían en que sus datos son privados, protegidos y utilizados solo para fines apropiados que les aporten a ellos y a la sociedad el máximo valor. Esta confianza no se puede mantener utilizando enfoques obsoletos de protección de datos. La seudonimización, como se define recientemente en el RGPD, es un medio para ayudar a lograr la Protección de Datos por Diseño y por defecto para ganarse y mantener la confianza y servir de manera más efectiva a empresas, investigadores, proveedores de atención médica y a todos los que confían en la integridad de los datos.

La seudonimización compatible con el RGPD no solo permite un uso más respetuoso de la privacidad de los datos en el mundo actual de «big data» de intercambio y combinación de datos, sino que también permite a los controladores y procesadores de datos obtener beneficios explícitos bajo el RGPD para datos correctamente seudonimizados.Los beneficios de los datos correctamente seudonimizados se destacan en varios artículos del RGPD, entre los que se incluyen:

  • El artículo 6, apartado 4, como salvaguardia para ayudar a garantizar la compatibilidad de los nuevos tratamientos de datos.
  • El artículo 25 como medida técnica y organizativa para ayudar a hacer cumplir los principios de minimización de datos y el cumplimiento de las obligaciones de Protección de Datos desde el Diseño y por defecto.
  • Los artículos 32, 33 y 34 como medida de seguridad que contribuye a que las violaciones de datos «no supongan un riesgo para los derechos y libertades de las personas físicas», reduciendo así la responsabilidad y las obligaciones de notificación de las violaciones de datos.
  • Artículo 89, apartado 1, como salvaguardia en relación con el tratamiento con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos; además, las ventajas de la seudonimización en virtud del artículo 89, apartado 1, también proporcionan una mayor flexibilidad en virtud de:
    1. Artículo 5, apartado 1, letra b), con respecto a la limitación de los fines;
    2. Artículo 5,apartado 1, letra e), con respecto a la limitación del almacenamiento; y
    3. Artículo 9, apartado 2, letra j), con respecto a la superación de la prohibición general del tratamiento de categorías especiales de datos personales del artículo 9, apartado 1.
  • Además, en el Dictamen 06/2014 del Grupo de Trabajo del artículo 29 se reconoce que los datos debidamente seudonimizados desempeñan «a un papel con respecto a la evaluación del impacto potencial del tratamiento en el interesado»…inclinar el saldo a favor del controlador» para ayudar a respaldar el procesamiento de Intereses legítimos como base legal según el artículo GDPR 6 (1) (f). Los beneficios del procesamiento de datos personales utilizando el Interés Legítimo habilitado con seudónimo como base legal en virtud del RGPD incluyen, entre otros:
    1. En virtud del artículo 17, apartado 1, letra c), si un controlador de datos demuestra que «tiene motivos legítimos primordiales para el procesamiento» respaldados por medidas técnicas y organizativas para satisfacer la prueba de equilibrio de intereses, tiene una mayor flexibilidad para cumplir con las solicitudes del Derecho al olvido.
    2. De conformidad con el artículo 18, apartado 1, letra d), un responsable del tratamiento de datos tiene flexibilidad para cumplir con las reclamaciones de restringir el tratamiento de datos personales si puede demostrar que cuenta con medidas técnicas y organizativas para que los derechos del responsable del tratamiento prevalezcan adecuadamente sobre los del interesado porque los derechos de los interesados están protegidos.
    3. De conformidad con el artículo 20, apartado 1, los responsables del tratamiento que utilizan el tratamiento de intereses Legítimos no están sujetos al derecho de portabilidad, que solo se aplica al tratamiento basado en el consentimiento.
    4. De conformidad con el artículo 21, apartado 1, un responsable del tratamiento que utilice un tratamiento de Interés legítimo puede demostrar que cuenta con medidas técnicas y organizativas adecuadas para que los derechos del responsable del tratamiento prevalezcan adecuadamente sobre los del interesado porque los derechos de los interesados están protegidos; sin embargo, los interesados siempre tienen derecho, en virtud del artículo 21, apartado 3, a no recibir publicidad directa como resultado de dicho tratamiento.



+