Técnica hash en seudoanonimización (nueva guía)
El pasado 4 de noviembre de 2019, la Agencia Española de Protección de Datos ha publicado un nuevo informe que nos ayuda a arrojar luz sobre la interpretación y consecuencias prácticas de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (Ley de Protección de Datos). El informe habla sobre o Guía se titula “INTRODUCCIÓN AL HASH COMO TÉCNICA DE SEUDONIMIZACIÓN DE DATOS PERSONALES” y la Agencia Española de Protección de datos se ha valido de la ayuda del Supervisor Europeo de Protección de Datos (EDPS) para su realización.
El objetivo del uso de esta técnica, en lo que respecta a la protección de datos de carácter personal, es imposibilitar la identificación del dato personal. Las propiedades principales que debe tener un hash son:
- Permite ejecutarse sobre contenido digital de cualquier tamaño y formato. Al final, todo contenido digital son números para el ordenador: textos, fotografías, videos, etc.
- Dada una entrada cualquiera, produce una salida numérica de tamaño fijo.
- El resultado es determinista, es decir, para el mismo mensaje o conjunto de datos de entrada siempre se obtiene el mismo resultado.
- Reconstruir el mensaje original a partir del resultado de la función hash debe ser extremadamente costoso, sino imposible.
Además, los factores principales que habrá que tener en cuenta a la hora de si la técnica utilizada tiene valor para conseguir la seudoanonimización del dato personal son (i) cálculo del hash, (ii) la entropía del dato personal, (iii) las posibles vinculaciones con otras informaciones, (iv) la utilización de contraseñas para fortalecer la seguridad de hash.
No obstante, habrá que tener en consideración que el principal objetivo es que la reidentificación de los datos personales seudonimizados a través de un hash sea lo más complicada posible. Esto informe o Guía desarrolla una serie de ejemplos técnicos de hash que permiten la encriptación de los datos personales de forma completa.
Por otra parte, si las empresas desean utilizar este tipo de técnicas, será necesario tener en cuenta que siempre existirá un riesgo de reidentificación de los datos personales integrados en las bases de datos de usuarios.
También será importante, según lo establecido en la Guía de la Agencia Española de Protección de Datos si los datos que pudieran llegar a permitir una reidentificación de los datos personales han sido efectivamente eliminados y durante cuanto tiempo el Hash mantiene una robustez adecuada.
Gracias a este informe, la Agencia Española de Protección de Datos y el Supervisor Europeo de Protección de Datos (EDPS) indican las instrucciones a seguir para realizar técnicas de hash en sus tratamientos como garantía de seudonimización de datos personales, así como la adopción de garantías para la aplicación de los principios establecidos en el Reglamento General de Protección de Datos que requiere de un análisis cualitativo riguroso previo para determinar su adecuación de forma objetiva.
Todas estas directrices, siempre van encaminadas a proteger la transparencia en el tratamiento de datos personales, así como la protección de los derechos y libertades de los ciudadanos.
Letslaw
En Letslaw, contamos con un equipo de experto que se encuentra al día de todas las novedades, tanto en materia legislativa con en guías y directrices, emitidas por las autoridades competentes para la protección de datos personales.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.