El Grupo de Trabajo del artículo 29 de Protección de Datos ha adoptado recientemente una opinión en la que trata de analizar la eficacia y límites de las técnicas de anonimización existentes en el contexto jurídico de la Unión Europea en materia de protección de datos.
La anonimización tiene relevancia en un contexto Open Data, donde es necesaria la reutilización de los datos, considerando que la legislación vigente en materia de protección de datos establece que los datos anónimos quedan fuera de su ámbito de aplicación. Sin embargo, la creación de un conjunto de datos verdaderamente anónimos no es una propuesta nada sencilla.
Recuerda el Grupo de Trabajo que para que un dato sea verdaderamente anónimo ha de ser completamente irreversible su identificación. En este sentido, hace alusión al uso de “todos los medios que puedan ser razonablemente utilizados”. Es decir, un dato será anónimo cuando no sea posible su vinculación con la persona a la que hubiera identificado el dato, teniendo en cuenta que el riesgo de identificación puede aumentar con el tiempo.
En este sentido, las técnicas de anonimización pueden ser garantes suficientes siempre que se diseñen teniendo en cuenta tanto el contexto como el objetivo.
A lo largo de la opinión, el Grupo de Trabajo ilustra con este ejemplo para facilitar la comprensión de los lectores. Si una organización reúne datos de viajes individuales que clasifica mediante códigos identificativos, y proporciona a terceros datos sobre los movimientos, esos datos pueden ser calificados como datos personales siempre y cuando el responsable del tratamiento, o cualquier otro, siga teniendo acceso a los datos brutos originales, aun cuando esos códigos identificativos hayan sido eliminados de la información proporcionada a terceros. Sin embargo, si el responsable del tratamiento eliminara los datos brutos, y además solo proporcionara información estadística colectiva, eso podría considerarse como un conjunto de datos anónimos.
El Grupo de Trabajo señala, a tenor de lo recogido, tres errores a tener en cuenta previo proceso de anonimización:
- Entender la pseudonimización como equivalente: esta técnica, que consiste en reemplazar un atributo en un registro por otro, sigue permitiendo identificar indirectamente a la persona física, por lo que no se puede equiparar a la anonimización, y queda por tanto dentro del ámbito del régimen jurídico de la protección de datos.
- No tener en cuenta el impacto que puede tener la utilización de información anónima sobre los particulares, especialmente en el caso de los perfiles.
- No tener en cuenta la aplicación de otras disposiciones legales distintas a la legislación de protección de datos, como por ejemplo, en materia de confidencialidad de las comunicaciones.
Además, señala la importancia de elegir la técnica adecuada de anonimización que minimice los tres principales riesgos inherentes a todo proceso, derivados de la posibilidad potencial de identificación de un dato
- Singling out: posibilidad de aislar datos que identifican a un individuo en un conjunto, una vez llevado a cabo un proceso de anonimización.
- Linkability: capacidad de vincular, al menos, dos datos referentes al mismo interesado o grupo de interesados (ya sea en la misma base de datos o en dos bases de datos diferentes).
- Inference: posibilidad de deducir, con una probabilidad significativa, el valor de un atributo en un conjunto de atributos.
Solo conociendo los riesgos existentes, el responsable del tratamiento podrá decidirse por una técnica de anonimización u otra, sabiendo que aunque ninguna de ellas carece de deficiencias, con una elección correcta se puede lograr el propósito deseado sin poner en peligro la privacidad de los interesados. Las familias de técnicas que reconoce el Grupo de Trabajo son:
- La asignación al azar: es una familia de técnicas que altera la veracidad de los datos con el fin de eliminar el vínculo entre los datos y el individuo. Si los datos son suficientemente inciertos entonces ya no se puede hacer referencia a un individuo específico. Destacan las técnicas de adición del ruido (modificación de atributos en el conjunto de datos de tal manera que son menos precisos conservando al mismo tiempo la distribución general), permutación (revolver los valores de los atributos en una tabla para que algunos de ellos están artificialmente vinculados a diferentes titulares de los datos , por lo que resulta especialmente útil cuando es importante mantener la distribución exacta de cada atributo en el conjunto de datos) y privacidad diferencial (el subconjunto incluye algo de ruido aleatorio añadido deliberadamente ex-post).
- La generalización: consiste en disgregar los atributos de los interesados mediante la modificación de la escala respectiva o de orden de magnitud, mediante las técnicas de aggregation y k-anonymity (pretenden impedir que un interesado sea señalado, agrupándolo con, al menos, k otros individuos), y L-diversity/T-closeness (que añaden complejidad a la técnica anterior).
Entonces, la solución óptima debe decidirse sobre una base de caso por caso, considerando previamente las limitaciones inherentes a cada técnica, mientras se consideran los fines que se persiguen con la anonimización. Dado que la anonimización no debe ser considerada como un ejercicio aislado, el Grupo de Trabajo reconoce que los códigos de conducta pueden ser un instrumento útil para proporcionar orientación en cuanto a las formas en que los datos pueden hacerse anónimos.
Teniendo en cuenta todo esto, y dado que la anonimización es un campo activo de la investigación, el Grupo de Trabajo señala una serie de recomendaciones a tener en cuenta.
- Dado el riesgo residual que siempre va a existir al aplicar una técnica de anonimización, se recomienda al encargado de la anonimización que se encargue de forma regular de identificar, supervisar y controlar los riesgos, tanto actuales como nuevos; y evaluar si los controles que existen son suficientes.
- El responsable del tratamiento deberá respetar siempre los derechos de los interesados y las libertades fundamentales.
- En el caso de que existiesen normas legales, éstas deberán estar formuladas de una manera tecnológicamente neutra, teniendo en cuenta el potencial desarrollo de la tecnología de la información.
Fuente: Opinión 05/2014 sobre Técnicas de Anonimización de Datos Personales, del Grupo de Trabajo del Artículo 29
Sara Mogollón
Consultor Derecho TIC