La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía que contiene una serie de orientaciones y garantías para llevar a cabo los procedimientos de anonimización de datos personales.

La Guía de la AEPD define los procesos y fases de anonimización que se deben adoptar para eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, de manera que se garantice que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no consiga identificar a las personas titulares de los datos anonimizados.

Para llevar a cabo el proceso de anonimización, la AEPD aconseja definir un protocolo de actuación en base a las siguientes fases:

1.- Definición de equipo de trabajo

En el proceso de anonimización, se aconseja crear un equipo de trabajo y asignarle a cada componente determinadas funciones atendiendo a los perfiles que cada persona puede desarrollar en este proceso.
La AEPD considera que el equipo podría estar formado de la siguiente manera: (i) Responsable del fichero: decide sobre la finalidad a los que debe responder los datos personales, (ii) Responsable de protección de datos (en su caso, DPO): promover la realización de evoluciones de impacto previo en los procesos de anonimización y verificar la ejecución en dichos procesos, (iii) Destinatario de la información anonimizada y responsable del tratamiento de datos anonimizados: deciden sobre los requisitos de la información atendiendo a los objetivos finales a los que se destina la misma, (iv) Equipo de evaluación de riesgos: encargado de realizar la evaluación de riesgos inicial, evaluar el resultado del proceso, auditar el procedimiento de anonimización, (v) Equipo de preanonimización y anonimización: propone técnicas para una anonimización efectiva y elimina aquellas variables cuya anonimización no se ajuste a la finalidad, (vi) Equipo de seguridad de la información y del proceso: vela por las medidas de seguridad durante el proceso de anonimización.

2.-Independencia de funciones

Es recomendable que las funciones que debe asumir cada perfil sean realizadas atendiendo al principio de independencia profesional. Por ello, es fundamental que exista un documento de definición del equipo de trabajo en el que se defina de forma expresa  las funciones que debe asumir cada perfil. En los casos en que no sea posible la segregación de funciones, se hará constar en este documento.

3.-Evaluación de riesgos de reidentificación

Es conveniente realizar un análisis de riesgos de proceso de anonimización para posteriormente gestionar los riesgos que pudieran producirse con medidas técnicas, organizativas o de cualquier otra índole.

Para el análisis de riesgos de reidentificación se podría tener en cuenta el siguiente procedimiento: (i) identificación y categorización de los elementos implicados en el proceso de anonimización, (ii) constitución del equipo de trabajo, (iii) identificación de riesgos, (iv) valoración de los riesgos existentes, (v) salvaguardas, (vi) cuantificar el impacto, (vii) informe de riesgos, (viii) determinación del umbral de riesgos aceptable, (ix) gestión de riesgos asumibles, (x) informe final, (xi) revisión de riesgos.

La Guía para una evaluación de impacto en la protección de datos (EIPD) de la AEPD describe los beneficios que una EIPD proporciona para el tratamiento de datos personales. Para más información sobre la EIPD, puedes consultar la entrada “Principales claves sobre las Evaluaciones de Impacto en la protección de datos” que hemos publicado desde Letslaw.

4.- Definición de objetivos y finalidad de la información anonimizada

El responsable del fichero determinará la finalidad concreta que debe perseguir los datos objetos de anonimización en función de los legítimos intereses de su destinatario. Si la finalidad de estos datos es de uso restringido, su privacidad deberá reforzarse mediante la suscripción de acuerdos de confidencialidad.

En estos supuestos, el responsable del fichero podrá valorar la incorporación de cláusulas contractuales, códigos de conducta y mecanismos de certificación que incluyan el compromiso por parte del destinatario de no realizar ningún intento de reidentificación.

5.- Viabilidad del proceso

En los casos concretos en los que se pretenda anonimizar datos especialmente protegidos (art. 7 LOPD y 9 RLOPD) se podrá tener en cuenta la existencia de un equipo determinado para el estudio de la viabilidad del proceso de anonimización que se encargue de detallar las condiciones específicas para la anonimización de estos datos protegidos.

6.- Preanonimización: Definición de variables de identificación

La AEPD define las variables como identificadores que podrían permitir la identificación de una persona directamente o bien, indirectamente, mediante la combinación con otros factores.

La preanonimización de los microdatos es una parte esencial del proceso de anonimización, ya que define las posibles variables que puedan afectar a la identificación de los datos personales y ayudará en el diseño de las herramientas de anonimización. Para llevar a cabo el proceso de preanonimización podrá tenerse en cuenta: la determinación de variables (datos personales, especialmente protegidos, identificadores…), la clasificación y sensibilidad de las variables por categorías, variables de identificación que no puedan ser anonimizadas y que sea preciso eliminar de este proceso, variables anonimizadas que sean imprescindibles para la finalidad a la que se van a destinar los datos anonimizados.

7.- Eliminación/ reducción de variables

Esta fase tiene la finalidad de reducir al máximo las variables que pudieran permitir la identificación de las personas. Por ejemplo, podría restringirse el acceso a la información confidencial al equipo de trabajo implicado en este proceso (el hecho de reducir las personas que tendrán acceso a esta información anonimizada, implica una reducción del riesgo de reidentificación de los datos objeto de anonimización).

Algunos aspectos que pueden tenerse en cuenta para la reducción del riesgo de identificación podrían ser: eliminar datos identificativos no necesarios (nombres, fecha de nacimiento, DNI), control segregado de usuarios con acceso a datos anonimizados, determinar la finalidad de los datos anonimizados (plazo de conservación, uso estadístico…)

8.-Selección de las técnicas de anonimización: Claves

Algunas de las técnicas de anonimización que recomienda la AEPD serían, a título meramente enunciativo, las siguientes: Algoritmos de Hash (mecanismo que genera una clave única que puede utilizarse para representar un dato) (ii) Algoritmo de cifrado (permite realizar operaciones con datos cifrados  que solo podrán ser descifrados posteriormente por el usuario que disponga de la clave para descifrar), (iii) sello de tiempo (permite garantizar la fecha y hora de la anonimización), (iv) capas de anonimización (se trata de que el responsable del fichero realice procedimientos de anonimización y que el destinatario desarrolle una segunda anonimización sobre estos datos), (v) Perturbación de datos (variación sistemática de datos que dificulta la identificación de los datos), (vi) Reducción de datos (se pueden disminuir el nivel de detalle de los datos originales).

9.- Segregación de la información

Con el fin de garantizar la confidencialidad de la información anonimizada, podría considerarse el tratamiento de los datos personales en entornos separados y ajenos a los entornos de explotación de otros datos personales. La segregación de entornos, implicará la segregación del personal que accede a la información personal.

10.- Proyecto Piloto

La AEPD aconseja el desarrollo de un proyecto piloto que se considerará como una prueba previa a la anonimización. La finalidad de este proyecto podría ser la de valorar los resultados de las técnicas de anonimización, cuantificar los costes del proceso, evaluar los resultados del proyecto frente a los resultados del análisis de riesgo…

 11.- Anonimización

En esta fase se lleva a cabo la disociación definitiva e irreversible de los datos personales. Este proceso deberá llevarse a cabo tantas veces como sea necesario en función de la finalidad de la información anonimizada.

Además de lo anteriormente expuesto, la AEPD recomienda en la Guía de Anonimización que se forme e informe al personal que estará implicado en el proceso de anonimización sobre sus obligaciones de conformidad con lo establecido en la normativa de protección de datos. Incluso cuando el proceso de anonimización esté finalizado, deben ser informados sobre la política de anonimización, sus términos de uso y acceso, las medidas de control a adoptar y sus obligaciones y deberes en caso de la ruptura de reidentificación de los datos.

La AEPD es consciente de que no es posible asegurar la imposibilidad de identificar la información anonimizada, por lo que aconseja adoptar una serie de garantías para respetar los derechos de los afectados. Esas garantías podrían ser: acuerdos de confidencialidad, compromisos con el destinatario para mantener la anonimización de los datos, realización de auditorías del uso de la información anonimizada…

En concreto, las auditorías del proceso de anonimización (interna o externa) son fundamentales para verificar el cumplimiento de la política de anonimización, pues facilitará un resultado sobre los objetivos de calidad perseguidos por los procesos de anonimización. Será el responsable del fichero quien velará por la realización de informes periódicos de auditoría para garantizar la privacidad de los datos personales.

Letslaw es un despacho especializado en protección de datos personales y en adaptación a la LOPD.