INFORMACIÓN SOBRE RGPD
Los datos anonimizados no son datos personales
Los datos anonimizados no son datos personales y, por lo tanto, no están cubiertos por el RGPD. Esto se aplica, sin embargo, siempre que los datos personales se hayan anonimizado de conformidad con los tres criterios establecidos por las Autoridades Europeas de Protección de Datos.
¿Cuál es la definición de datos anonimizados?
La definición de datos anonimizados son los datos personales que, mediante el uso de la tecnología, se han convertido en anónimos de tal manera que ya no es posible identificar a una persona a través de los datos. Los datos anonimizados no son datos personales y, por lo tanto, no están cubiertos por el RGPD. Los datos anónimos son datos que no se pueden utilizar para identificar a una persona, ya sea directa o indirectamente, o en combinación con otros datos.
¿Qué son los datos personales?
Cuando es posible vincular un dato a una persona física viva, constituye un dato personal. La empresa que procesa los datos debe cumplir con el RGPD si los datos pertenecen a un individuo dentro del área de la UE / EEE.
Los datos personales pueden tener un carácter subjetivo u objetivo y algunos datos personales son más importantes que otros. Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad para su tratamiento.
¿Se aplica el RGPD al proceso de anonimización de datos personales?
Sí, el RGPD se aplica al proceso de anonimización de datos personales. Esto significa que la anonimización de los propios datos personales debe basarse, entre otras cosas, en una base jurídica para ser lícita. Esto se aplica incluso si los datos anonimizados no son datos personales. Además, los interesados tienenderecho a recibir información sobre el proceso de anonimización, ya que sus datos personales serán procesados. Sin embargo, el RGPD no se aplica a los datos anonimizados. Además, el responsable del tratamiento que anonimiza los datos personales debe cumplir las demás normas del RGPD en el proceso de anonimización.
La anonimización puede permitir que los datos sigan almacenándose
La anonimización de los datos personales tiene varias ventajas, ya que los datos anonimizados no son datos personales. Pero no siempre es fácil o posible de llevar a cabo. De acuerdo con el RGPD, las empresas solo pueden procesar datos personales para el propósito para el que fueron recopilados.
Sin embargo, la empresa puede querer guardar ciertos datos. Por ejemplo, para mejorar su servicio o producto, con fines de marketing o similares. Al anonimizar los datos personales, la empresa puede seguir almacenando los datos anonimizados.
Criterios que deben cumplirse para que la información se considere anónima
La siguiente es una descripción de tres (3) criterios. Deben cumplirse para que la información se considere anónima según las Autoridades Europeas de Protección de Datos:
1. Singling hacia fuera
Para que los datos se consideren anónimos, no será posible distinguir la información sobre el interesado. Esto significa que no debe ser posible identificar, individualizar o aislar a una persona en un conjunto de datos, incluso si el nombre de la persona no está incluido.
- Pregunta clave: ¿Es posible identificar a un individuo a través del conjunto de datos?
Ejemplo
Si aparece un nombre completo en una lista, que también contiene información sobre la edad, el lugar de residencia y la función laboral de la persona, y la empresa sustituye el nombre por un número, no significa necesariamente que los datos hayan sido anonimizados. Una combinación de, por ejemplo, información de que «un hombre de 52 años, que vive en la ciudad con el código postal 123 45 y trabaja como director de escuela», puede ser suficiente para distinguir a la persona, especialmente en una zona geográfica más pequeña.
2. Vinculabilidad
Tampoco debe ser posible vincular diferentes conjuntos de datos a una persona. Incluso si el individuo no está directamente identificado por los datos individuales.
- Pregunta clave: ¿Es posible vincular conjuntos de datos entre sí que puedan conducir a la identificación de un individuo?
Ejemplo
Una persona compra una tarjeta de autobús que tiene un número de tarjeta único. El propósito del número de tarjeta único es que el titular pueda bloquear la tarjeta y pedir una nueva a través de un código, si se pierde. Para que el emisor de la tarjeta emita una nueva tarjeta a la persona adecuada, tiene una base de datos con los nombres de los titulares de tarjetas que registraron sus tarjetas. En otras palabras, es posible vincular el número de tarjeta, el código y el registro a un individuo. Significa que el número de tarjeta es un dato personal con vinculabilidad. Estos son ejemplos de datos personales seudonimizados (no datos personales anonimizados).
3. Inferencia
No debe ser posible, directa o indirectamente, obtener información sobre un individuo o sacar conclusiones sobre un individuo con una alta probabilidad o previsibilidad, a partir de los datos en cuestión.
- Pregunta clave: ¿Es posible sacar conclusiones probables sobre los individuos?
Ejemplo
Los datos no deben llevar a sacar conclusiones sobre los individuos. Por ejemplo, la información de un conjunto de datos de que «los hombres mayores de 65 años que viven en un municipio determinado» siempre tienen una determinada enfermedad. Puede llevar a conclusiones de que un individuo con estas características es probable que sufra de tal enfermedad.
MÁS INFORMACIÓN SOBRE DATOS PERSONALES
Los datos personales seudonimizados no son lo mismo que los datos anonimizados
Una vez que los datos personales se han anonimizado, ya no son datos personales. A diferencia de los datos personales seudonimizados, que constituyen una medida técnica de seguridad para proteger los datos personales, y siguen constituyendo datos personales. Por ejemplo, los datos personales seudonimizados son un código que reemplaza un nombre en una lista de registro, y el nombre que representa el código aparece en una lista separada. En otras palabras, se necesita información adicional para que los datos seudonimizados se atribuyan a una persona física.