La Agencia Española de Protección de Datos (AEPD) ha publicado una nota con recomendaciones sobre los procesos de anonimización. Esta nota técnica está dirigida a responsables y encargados de tratamiento que aborden procesos de anonimización sobre conjuntos de datos.

En Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) indica la necesidad de aplicación por parte de los operadores del mercado del principio de responsabilidad proactiva. Debido a ello, los responsables del tratamiento de las bases de datos deberán analizar los riesgos inherentes al tratamiento de los datos identificativos de los interesados y establecer los protocolos necesarios para preservar su privacidad.

Anonimización de los datos personales

La anonimización de los datos personales persigue el objetivo de eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, es decir, además de evitar la identificación de las personas, los datos anonimizados deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva una distorsión de los datos reales.

La nota técnica creada se puede encontrar en el siguiente link: K-Anonimidad como medida de la privacidad y es un documento realizado para aquellas empresas que hagan procesos de anonimización en sus bases de datos.

En esta nota, la Agencia Española de Protección de Datos describe:

  1. Los límites establecidos en la efectividad de los procesos de anonimización,
  2. Hasta qué punto la información está realmente anonimizada
  3. Cómo se puede gestionar el riesgo de reidentificación.

Aquellas empresas que por su modelo de negocio hayan decidido realizar procesos masivos de anonimización, como las compañías que utilicen tecnología como Big Data, Machine Learning o Artificial Intelligence, deberán establecer e implementar garantías, procesos o mecanismos que preserven la privacidad de los datos personales incluidos en sus bases de datos.

Es importante tener en consideración que, aunque este tipo de empresas suelen eliminar los datos que identifican con carácter general a los usuarios integrados en las bases de datos, existe la posibilidad de dejar rastros electrónicos de los interesados y mediante diferentes tipos de técnicas, hacerlos de nuevo identificables. Esto se debe a que las bases de datos agrupadas y cruzadas con otras fuentes, pueden utilizarse (y aprovecharse) para identificar a las personas físicas incluidas en las mismas o incluso para establecer tratamiento como la elaboración de profiling en las que podrían estar incluidos tratamientos de categorías especiales de datos.

Por todo lo anterior, la Agencia Española de Protección de Datos indica en la nota que existen numerosos riesgos de reidentificación una vez que el conjunto de los datos personales incluidos en las bases de datos de las empresas ha sido anonimizado.

Para evitar el riesgo, la Agencia Española de Protección de Datos aborda el concepto de K-anonimidad, una técnica dirigida al tratamiento de grandes bases de datos que nos permitiría averiguar el nivel de identificación que existe una base de datos anonimizada en el seno empresarial. Debido a esto, la K-anonimidad permite a las empresas saber hasta qué punto se protege la privacidad de los interesados incluidos en las bases de datos en las que se han eliminados los datos identificativos y por tanto anonimizado.

LetsLaw

Desde Letslaw hacemos un repaso a esta nota técnica de K-anonimidad al objeto de informar a las empresas sobre las novedades y sus consecuencias tanto en España como en el resto de Europa, para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.