Skip to main content
seudonimizacion

Pseudonimització i dades personals

Què és la pseudonimització?

La informació pseudonimitzada és un conjunt de dades que no es pot atribuir a un interessat sense utilitzar informació addicional.

Requereix que aquesta informació addicional figuri per separat i, a més, estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixin a una persona física identificada o identificable (art. 4.5 de l’RGPD).

El tractament de pseudonimització genera dos nous conjunts de dades: la informació pseudonimitzada i la informació addicional que permet revertir la pseudonimització.

El conjunt de dades pseudonimitzades, i la informació addicional vinculada amb aquest conjunt de dades, estan sota l’àmbit d’aplicació del RGPD, així com el tractament que les genera.

El tractament de dades pseudonimitzades es considera un tractament de dades de caràcter personal; ja quela persona encara pot ser identificadautilitzant informació addicional que es conserva per separat.

Què és l’anonimització?

La informació anònima, tal i com vam explicar en un post anterior, és un conjunt de dades que no tenen relació amb una persona física identificada o identificable (Considerant 26 del RGPD).

El conjunt de dades anonimitzades no es troba sota l’àmbit d’aplicació del RGPD (Considerant 26 del RGPD); encara que pogués estar sota l’àmbit d’aplicació d’altres normes (per exemple seguretat nacional, salut pública, infraestructures crítiques, etc.).

Principals diferències entre anonimització i pseudonimització

Anonimització:

  • Procés: Eliminació irreversible d’identificadors directes i la possibilitat de vincular les dades a una persona.
  • Reversibilitat: No és reversible.
  • Aplicació normativa: No està subjecta al RGPD, ja que les dades no poden ser
  • atribuïdes a un individu.

Pseudonimització:

  • Procés: Reemplaçament d’identificadors directes per un pseudònim o codi,mantenint la capacitat de reidentificació amb una clau separada.
  • Reversibilitat: Reversible si es disposa de la informació addicional (clau).
  • Aplicació normativa: Subjecta al RGPD, ja que la reidentificació és possible.

La dada pseudonimitzada és dada personal?

El mes de setembre passat, el Tribunal de Justícia de la Unió Europea (TJEU) va fallar una Sentència clau per a la pseudonimització.

En aquesta Sentència, el TJUE estableix que les dades pseudonimitzades no són automàticament anònimes; segueixen sent dades personals si hi ha la possibilitat de reidentificació, per part del Responsable del tractament o de tercers, amb informació addicional.

Per tant, una dada pseudonimitzada pot ser:

  • Personal: Per a qui pot reidentificar-ho (en no estar sencera i irrevocablement anonimitzat).
  • No personal: Per a qui no pugui, sense esforços desproporcionats, vincular aquesta dada a una persona física.

La redacció de la Sentència ha donat peu a diferents perspectives sobre allò que s’ha de considerar dada personal o no. Així, han sorgit dues visions diferents sobre aquest concepte:

  • La doctrina absoluta: Considera com a dada personal qualsevol informació que, de manera directa o indirecta, pogués associar-se a una persona física, per remota o improbable que pogués ser aquesta vinculació (art. 4.1 del RGPD).
  • La doctrina subjectiva: Una dada només serà personal per a qui tingui mitjans raonables per vincular aquesta dada a un individu.

Implicacions pràctiques de la Sentència sobre la Protecció de dades

En els casos en què la dada pseudonimitzada es pugui reidentificar i, per tant, es consideri dada personal, el responsable del tractament haurà de complir les obligacions següents:

  • Base legal (art. 6 del RGPD): Cal comptar amb una base legal suficient per a la cessió de dades a un tercer.
  • Informar del tractament a l’interessat (arts. 13 i 14 del RGPD): Cal informar l’interessat sobre les cessions a destinataris que rebran les seves dades personals i, alhora, informar els interessats sobre cessionaris que no puguin dur a terme la vinculació de les dades pseudonimitzades amb els interessats.
  • Cessionari es podria considerar Responsable: El cessionari es podria considerar Responsable del tractament si aquest pot, raonablement, reidentificar l’interessat.

En sentit contrari: si una dada pseudonimitzada no permet a qui la tracta reidenitificar el subjecte, podríem estar davant d’una dada no personal i, per tant, que el RGPD no fos aplicable.

Dit això, has de tenir clar que el RGPD continua considerant la dada pseudonimitzada com una dada personal i que sempre és convenient, davant del dubte, ser el més garantista possible a favor del titular de la dada.

Autora: Sandra Santiago, Advocada.

Si necessites ajuda o tens dubtes, contacta’ns!


    Informació sobre protecció de dades

    Denominació social
    LEGAL IT GLOBAL 2017, SLP
    Finalitat
    Prestar el servei.
    Enviament del Butlletí informatiu.
    Legitimització
    Compliment de la prestació de servei.
    Consentiment.
    Destinataris
    Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
    Drets
    Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
    Més informació
    Consulta la Política de Privacitat.

    Vols estar al dia de tota l'actualitat jurídica?
    Rep el nostre butlletí amb notícies, articles i esdeveniments.
    Subscriu-te

    Nosaltres
    Serveis
     
    cipp certification
    Powered by  GDPR Cookie Compliance
    Resum de la privadesa

    Aquest lloc web utilitza galetes per tal de proporcionar-vos la millor experiència d’usuari possible. La informació de les galetes s’emmagatzema al navegador i realitza funcions com ara reconèixer-vos quan torneu a la pàgina web i ajuda a l'equip a comprendre quines seccions del lloc web us semblen més interessants i útils.