Ir al contenido principal
seudonimizacion

Seudonimización y datos personales

Anonimización y seudonimización son dos medidas de seguridad (recogidas en el artículo 32.1 del RGPD) que pueden llevar a confusión.

¿Qué es la seudonimización?

La información seudonimizada es un conjunto de datos que no puede atribuirse a un interesado sin utilizar información adicional.

Requiere que dicha información adicional figure por separado y, además, esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable (art. 4.5 del RGPD).

El tratamiento de seudonimización genera dos nuevos conjuntos de datos: la información seudonimizada y la información adicional que permite revertir la seudonimización.

El conjunto de datos seudonimizados, y la información adicional vinculada con dicho conjunto de datos, están bajo el ámbito de aplicación del RGPD, así como el tratamiento que los genera.

El tratamiento de datos seudonimizados se considera un tratamiento de datos de carácter personal; ya que la persona todavía puede ser identificada utilizando información adicional que se conserva por separado.

¿Qué es la anonimización?

La información anónima es un conjunto de datos que no guarda relación con una persona física identificada o identificable (Considerando 26 del RGPD).

El conjunto de datos anonimizados no está bajo el ámbito de aplicación del RGPD (Considerando 26 del RGPD); aunque pudiera estar bajo el ámbito de aplicación de otras normas (por ejemplo: seguridad nacional, salud pública, infraestructuras críticas, etc.).

Principales diferencias entre anonimización y seudonimización

Anonimización:

  • Proceso: Eliminación irreversible de identificadores directos y la posibilidad de vincular los datos a una persona.
  • Reversibilidad: No reversible.
  • Aplicación normativa: No está sujeta al RGPD, ya que los datos no pueden ser atribuidos a un individuo.

Seudonimización:

  • Proceso: Reemplazo de identificadores directos por un seudónimo o código, manteniendo la capacidad de reidentificación con una clave separada.
  • Reversibilidad: Reversible si se dispone de la información adicional (clave).
  • Aplicación normativa: Sujeta al RGPD, ya que la reidentificación es posible.

¿Un dato sedonumizado, es dato personal?

El pasado mes de septiembre, el Tribunal de Justicia de la Unión Europea (TJEU) falló una Sentencia clave para la seudonimización.

En dicha Sentencia, el TJUE establece que los datos seudonimizados no son automáticamente anónimos; siguen siendo datos personales si existe la posibilidad de reidentificación, por parte del Responsable del tratamiento o de terceros, con información adicional.

Por lo tanto, un dato seudonimizado puede ser:

  • Personal: Para quien puede reidentificarlo (al no estar entera e irrevocablemente anonimizado).
  • No personal: Para quien no pueda, sin esfuerzos desproporcionados, vincular ese dato a una persona física.

La redacción de la Sentencia ha dado pie a diferentes perspectivas sobre lo que debe considerarse dato personal o no. Así, han surgido dos visiones diferentes sobre este concepto:

  • La doctrina absoluta: Considera como dato personal cualquier información que, de manera directa o indirecta, pudiera asociarse a una persona física, por remota o improbable que pudiera ser esta vinculación (art. 4.1 del RGPD).
  • La doctrina subjetiva: Un dato solo será personal para quien tenga medios razonables para vincular este dato a un individuo.

Mediante esta Sentencia, el TJUE reafirma la doctrina subjetiva y, a la vez, declara que un dato seudonimizado tratado por un Responsable del tratamiento puede ser un dato personal para él y no serlo para un cesionario, en caso de que éste no pueda (razonablemente) llevar a cabo una reidentificación del dato.

Implicaciones prácticas de la Sentencia sobre la Protección de datos

En los casos en que el dato esté sometido a una proceso de seudonimización se pueda reidentificar y, por lo tanto, considere dato personal, el Responsable del tratamiento deberá cumplir con las siguientes obligaciones:

  • Base legal (art. 6 del RGPD): Se debe contar con una base legal suficiente para la cesión de datos a un tercero.
  • Informar del tratamiento al interesado (arts. 13 y 14 del RGPD): Se debe informar al interesado sobre las cesiones a destinatarios que van a recibir sus datos personales y, al mismo tiempo, informar a los interesados sobre cesionarios que no vayan a poder llevar a cabo la vinculación de los datos
    seudonimizados con los interesados.
  • Cesionario se podría considerar Responsable: El cesionario podría considerarse Responsable del tratamiento si éste puede, razonablemente,
    reidentificar al interesado.

En sentido contrario si un dato seudonimizado no permite a quién lo trata, reidenitificar al sujeto podríamos estar delante de un dato no personal y por lo tanto que el RGPD no fuera aplicable. Dicho esto debes tener claro que el RGPD sigue considerando el dato seudonimizado como un dato personal y que siempre es conveniente ante la duda, ser lo más garantista posible a favor del titular del dato.

Autora: Sandra Santiago, Abogada.

Si necesitas ayuda o asesoramiento sobre la normativa de protección de datos, ¡contáctanos!




    Acepto recibir el boletín de noticias

    Información sobre protección de datos:

    Denominación social: LEGAL IT GLOBAL 2017, SLP.

    Finalidad: Atender tu petición, envío Boletín.

    Legitimación: Cumplimiento prestación servicio. Consentimiento.

    Destinatarios: Tus datos no serán compartidos con terceros.

    Derechos: Accede, rectifica o suprime los datos. Puedes ejercer derechos mencionados en Pol. Privacidad.

    Denominación social:

    LEGAL IT GLOBAL 2017, SLP

    Finalidad:
    Prestar el servicio.

    Envío del Boletín informativo.

    Legitimización:
    Cumplimiento de la prestación del servicio.

    Consentimiento.

    Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Consulta la Política de Protección de datos completa aquí.

    ¿Quieres estar en el día de toda la actualidad jurídica?

    Recibe nuestro boletín con noticias, artículos y acontecimientos.

    Subscríbete
    Nosotros
    Servicios

     

    cipp certification
    Powered by  GDPR Cookie Compliance
    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.