Seudonimización: excelente técnica de confidencialidad

¿Qué es la seudonimización?

La Seudonimización se define en el artículo 4.5 del Reglamento General de Protección de Datos (RGPD) como:

el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.”

La seudonimización implica el tratamiento de datos personales, por lo que se deberá cumplirse con todas las medidas de seguridad lo dispuesto en la Normativa de Protección de datos, obligatoria para cualquier empresa o profesional.

Garantías de las seudonimización

La Seudonimización y por tanto los datos seudonimizados tienen las siguientes garantías:

La imposibilidad de identificar al interesado sin la utilización de información adicional

Cumplir con los principios del RGPD, en especial, las relacionadas con límites al tratamiento (finalidad, conservación y cesión de datos).

Garantías en función del riesgo que entrañe el tratamiento.

Garantías técnicas y organizativas para evitar brechas de seguridad

 ¿Para qué sirve la seudonimización?

La Seudonimizació sirve para reducir los riesgos por perdida de confidencialidad en el tratamiento de datos personales de los interesados (pacientes, clientes, alumnos, asociados, etc.) y ayuda a las empresas y profesionales a cumplir sus obligaciones de protección de los datos, (RGPD+ LOPD).

Es importante señalar que la empresa o profesional que utilice la seudonimización, podrá revertir el proceso y recuperar el dato personal original.

Técnicas de seudonimización

Las técnicas de seudonimización más habituales son las siguientes:

Cifrado con clave secreta

Un tipo de encriptación en el que el poseedor de la clave de desencriptación puede revertir el proceso en cualquier momento

Cifrado determinista o función hash con clave de borrado de clave

Genera un número aleatorio a modo de seudónimo para cada atributo de la base de datos y, posteriormente, al borrado de la tabla de correspondencia.

Descomposición en tokens

Remplaza los números de identificación de tarjetas por valores que son de poca utilidad para aquellos que quieran acceder de forma fraudulenta a los datos personales

Función hash

Los hash o funciones de resumen son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos).

Función con clave almacenada

Es un tipo de función hash que hace uso de una clave secreta a modo de valor de entrada suplementario (la ejecución de la función se podría reproducir con el atributo y la clave secreta).

Ámbitos usuales de aplicación de la seudonimización

Los ámbitos en donde de manera usual se aplica este tipo de técnicas para el tratamiento de los datos personales son el Cloud Computig (servicios en la nube) y el Big Data (datos a gran escala).

Aunque estos no son los únicos ámbitos en donde se aplica esta técnica, pues en los procesos de denuncias internas o externas, así como en cualquier área es donde sea pertinente garantizar el anonimato de la persona, será posible la seudonimización. 

¿Qué diferencias hay con la anonimización?

La anonimización es un conjunto de datos que no guarda relación con una persona física identificada o identificable. Es decir, los datos personales se vuelven impersonales.

La diferencia más importante con la seudonimización es que la anonimización no se rige por lo dispuesto en el RGPD, sino que debe atender al resto de normas vigentes en el ordenamiento jurídico.

¿Y por qué no se aplica a este tipo de tratamiento el RGPD?

Porque en este tipo de tratamiento no hay posibilidad material de asociar los datos anonimizados a una persona física determinada, directa o indirectamente, ya sea mediante el uso de otros conjuntos de datos, informaciones o medidas técnicas y materiales que pudieran existir a disposición de terceros.

¿Cuándo se considera que un dato está anonimizado?

Cuando se han evaluado los costes, posibilidades de identificación de la persona en el conjunto de datos, o los medios tecnológicos para revertir la anonimización.

En la anonimización, el dato personal original se destruye y no es posible recuperarlo después, por lo que debemos considerarlo como una técnica irreversible para el tratamiento del dato.

La seudonimización y los Canales de Denuncia Interna

Los Canales de Denuncia Interna son aquellas herramientas que la empresa pone a disposición de sus trabajadores para denunciar infracciones que se cometan en el seno de la organización. Entre otras, obligatorias a empresas con  50 o más trabajadores.

Un aspecto importante para el buen uso y obtención de resultados de los canales de denuncia interna, es que la empresa establezca procedimientos que garanticen la confidencialidad de los datos de identificación del denunciante o de cualquier tercero que esté relacionado con la denuncia, siendo que la técnica de seudonimización podría ser una buena solución para atender este aspecto, según lo establecido en el artículo 16 de la DIRECTIVA Europea 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

El hecho que no sea posible la identificación a priori del denunciante está directamente ligado con el principio de prohibición de represalias, establecido en el artículo 19 de la citada Directiva, tanto en las amenazas como en las tentativas de represalias.

Business Adapter® a tu servicio 

Si eres cliente y crees que un sistema de seudonimización sería interesante en tu negocio, contacta con tu consultor para recibir documentación e instrucciones.

Si aún no eres cliente y quieres que te ayudemos a cumplir con la Normativa de protección de datos europea y española (RGPD + LOPD) a la cual está obligada cualquier empresa o profesional, llamanos al 96 131 88 04, contáctanos en el email: info@businessadapter.es, o deja tu mensaje en este formulario:

 

[su_button url=»https://businessadapter.es/contacto» target=»blank» background=»#f6f903″ color=»#181818» size=»7″ center=»yes» icon_color=»#000000″]Consúltanos, estaremos encantados de ayudarte[/su_button]

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!