Desde la reciente entrada del Reglamento General de Protección de Datos, han surgido debates o discrepancias sobre el real y efectivo cumplimiento del mismo. Por ejemplo, encontramos dichas discrepancias en cuanto a las confusiones que generan los términos ANONIMIZACIÓN y SEUDONIMIZACIÓN. Recientemente he podido ver, sin ir más lejos, un cartel sobre el mostrador de pago de una tienda de ropa en Madrid, en el que aseguraba que cumplían con la Ley de Protección de Datos porque “tus datos eran anonimizados”.
No es raro escuchar que muchas empresas consideran que están cumpliendo lo estipulado en el RGPD al estar “anonimizando” algunos datos de sus clientes, por ejemplo, sustituyendo los nombres y apellidos de los interesados por números. Este extremo no es cierto, ya que en este caso en concreto no estaríamos hablando de datos “anonimizados”, sino “seudonimizados”.
¿Es realmente importante diferenciar entre datos anonimizados y datos seudonimizados?
La respuesta es claramente sí, ya que estas diferencias pueden definir la necesidad o no de aplicar los principios del RGPD en cuanto al tratamiento de datos.
Diferencias entre seudonimización y anomización
Se considera SEUDONIMIZACIÓN, al proceso por el cual los datos personales no pueden atribuirse a un interesado sin utilizar información adicional, siempre y cuando dicha información adicional se encuentre por separado y sujeta a medidas técnicas y organizativas destinadas a garantizar que dichos datos no se atribuyan a una persona identificada o identificable. Esto es que, en caso de tener acceso a la información adicional referida, esos datos identifican o pueden identificar al interesado, y por ello, el tratamiento de los mismos se encuentra sujeto a lo estipulado por el RGPD.
Por otro lado, se considera ANONIMIZACIÓN, al proceso que se aplica a los datos personales con el objetivo de eliminar la posibilidad de identificar al interesado de manera irreversible, pero manteniendo la veracidad de los resultados del tratamiento.
En conclusión, los datos seudonimizados, al poder identificar a los interesados, mediante la utilización de la información adicional, se encuentran sujetos a lo estipulado por el RGPD. Por el contrario, los datos anonimizados, al ser un proceso irreversible que no permite la identificación del interesado, no se encuentran sujetos a lo estipulado por el RGPD.
Por todo ello, es importante diferenciar entre ambos términos y mantener muy presente que la seudonimización es una medida de seguridad útil, pero en ningún caso se puede considerar anonimización.
