APRENDE ACERCA DEL RGPD
Seudonimización de los datos personales
La seudonimización de los datos personales es una salvaguardia adicional que puede ser apropiada para que las empresas implementen, de acuerdo con el artículo 32 del RGPD. El objetivo de la seudonimización es reducir el riesgo de identificación individual. Por ejemplo, es bueno implementar la seudonimización de los datos personales antes de que la información se comparta con un consultor que no necesita acceso directo a los datos personales en sí para llevar a cabo la tarea de consultoría. Tenga en cuenta que los datos seudonimizados no son lo mismo que los datos anónimos.
¿Qué significa la seudonimización de datos personales según RGPD?
La definición de seudonimización figura en el artículo 4, apartado 5, del RGPD. En resumen, la seudonimización de los datos personales significa sustituir los datos personales de identificación directa por datos de identificación indirecta, de modo que los datos personales ya no puedan vincularse a una persona específica, sin el uso de información complementaria. Por ejemplo, un nombre se puede cambiar a un alias o código.
Sin embargo, es importante garantizar que la información adicional se mantenga separada de los datos seudonimizados. Por ejemplo, la información adicional puede estar en un registro de clientes o en una tabla que indique que el código pertenece a una persona en particular. Además, dicha información complementaria debe estar protegida por medidas de seguridad organizativas y técnicas adecuadas.
Ejemplo de datos seudonimizados
Una persona tiene una tarjeta de autobús que tiene un código único, para permitir el bloqueo de la tarjeta si se pierde. El código en sí no es suficiente para identificar a qué individuo pertenece la tarjeta. Sin embargo, el emisor de la tarjeta tiene un registro separado donde puede ver a quién pertenece la tarjeta a través del código. En tales casos, el código constituye datos personales seudonimizados.
¿Cuál es la diferencia entre los datos anónimos y los datos personales seudonimizados?
Una vez anonimizados los datos personales, ya no se trata de datos personales, sino de datos anónimos. En tales casos, los datos anónimos ya no están cubiertos por el RGPD. Puede ser útil anonimizar los datos personales en lugar de seudonimizarlos, si una empresa quiere guardar algunos de los datos. Por ejemplo, para ver qué les gusta a los clientes de los productos o servicios de la empresa, o para adaptar la comercialización de la empresa al grupo objetivo. La anonimización de los datos personales es un proceso irreversible.
Sin embargo, la seudonimización de los datos personales es un proceso reversible. Esto significa que es posible restaurar los datos seudonimizados a los datos personales originales utilizando la información complementaria.
Datos personales subjetivos y objetivos
Los datos personales pueden tener un carácter subjetivo u objetivo. En general, los datos personales subjetivos son más sensibles a la privacidad que muchos tipos de datos personales objetivos. Por lo tanto, las empresas necesitan procesar datos personales subjetivos con mayor seguridad.
- Ejemplos de datos personales objetivosson: Nombre, número de seguro social, dirección de correo electrónico y domicilio. Por lo general, es información que identifica directamente a una persona.
- Ejemplos de datos personales subjetivosson: Un diagnóstico de un médico y calificaciones escolares. Por lo general, es algo que describe a una persona o una característica de la persona.
¿Cuándo pueden ser apropiados los datos personales seudonimizados?
Cuando la base jurídica para el tratamiento de datos personales sea el interés legítimo
Si una empresa procesa datos personales sobre la base legal de un interés legítimo de conformidad con el artículo 6, apartado 1, letra f), del RGPD, puede ser útil llevar a cabo la seudonimización de los datos personales. Tenga en cuenta que la empresa debe realizar y documentar una evaluación de interés legítimo (LIA) para ver si la empresa realmente tiene un interés legítimo, antes de que el procesamiento de datos personales se lleve a cabo sobre la base de esta base legal.
Al procesar datos personales sensibles a la privacidad o sensibles
Los requisitos de seguridad para el procesamiento son más altos, cuando se trata de datos personales sensibles a la privacidad o sensibles. Por lo tanto, puede ser adecuado tratar datos seudonimizados, como salvaguardia adicional.
Si los interesados son niños
Los niños tienen un mayor nivel de protección bajo el RGPD que los adultos. Por lo tanto, las empresas deben tener mucho cuidado al procesar datos personales pertenecientes a niños. Puede ser conveniente adoptar medidas técnicas de seguridad adicionales para proteger los datos personales. Un ejemplo de medida técnica de seguridad que puede ser adecuada para su uso es la seudonimización de datos personales.
Fines estadísticos
La seudonimización de los datos personales es beneficiosa cuando se produce en relación con el tratamiento de datos personales con fines estadísticos. Esto se debe a que, a través de datos seudonimizados, es posible realizar análisis y sacar conclusiones sobre los datos, mientras que al mismo tiempo se puede hacer sin el riesgo de identificar a los individuos. La seudonimización de los datos es, de conformidad con el artículo 89 del RGPD, una medida técnica de protección adecuada que debe adoptarse al tratar datos personales en, entre otras cosas, estadísticas e investigaciones, con el fin de minimizar los riesgos que conlleva el tratamiento.
Fines de investigación
Solo está permitido procesar datos personales con fines de investigación, si no es posible hacerlo con datos personales anónimos. Además, es común adoptar salvaguardias adicionales. Por ejemplo, seudonimización, si es necesario procesar los datos personales. De conformidad con el artículo 89 del RGPD, la seudonimización de los datos personales es un ejemplo de medida de protección adecuada. Es importante garantizar que, en particular, se respete el principio de minimización de datos.
Los apodos pueden ser datos personales
Si utiliza apodos en el procesamiento en lugar del nombre real de una persona, aún se pueden considerar datos personales. Esto se aplica si es posible vincular la información a una persona específica. Por ejemplo, si un empleador tiene una lista digital de las cualificaciones y el rendimiento laboral de los empleados, pero indica un apodo que los demás empleados entienden o pueden leer a través de la información, el apodo constituye datos personales.
MÁS INFORMACIÓN SOBRE DATOS PERSONALES
Las imágenes y las películas pueden ser datos personales
Las imágenes y películas que contienen individuos vivos identificables pueden ser datos personales. Lo mismo se aplica a las grabaciones de audio. Por lo tanto, es importante garantizar que la fotografía y el rodaje de personas se realicen de conformidad con el RGPD, ya que constituye un tratamiento de datos personales. Esto también significa, entre otras cosas, que las empresas deben garantizar una base legal antes de publicar imágenes o videos de su personal en su sitio web o redes sociales.