Imagina que estás visualizando la retransmisión en directo de un juicio y ves que se están mostrando los DNI de varios implicados. Esto fue precisamente lo que ocurrió durante el reciente juicio del caso Rubiales mientras una de las testigos prestaba su declaración.
En dicha declaración, se mostró una conversación de WhatsApp entre Rubén Rivera, ex responsable de marketing de la RFEF, y varias jugadoras, donde se exponían los DNI de diferentes futbolistas que participaron en el viaje de celebración en Ibiza.
En ese momento, la Fiscal advirtió sobre la filtración de los DNI de personas particulares, señalando: “Están saliendo DNI de personas que se está retransmitiendo en público”, y recalcando que, según la Ley de Protección de Datos, estos datos no podían aparecer. No obstante, el juez hizo caso omiso a la observación de la Fiscal sin darle ninguna importancia a este hecho.
¿Por qué es importante proteger el DNI?
Aunque se suele pensar que el DNI es un dato utilizado en numerosos procesos administrativos y que posee un carácter público, esta percepción es errónea.
La Agencia Española de Protección de Datos (AEPD) ha reiterado en numerosas ocasiones que el DNI es considerado un dato sensible conforme al considerando 75 del Reglamento General de Protección de Datos (RGPD). El DNI es un identificador único que puede ser empleado para la suplantación de identidad, tal y como se ha evidenciado en diversos casos de fraude.
Es fundamental ejercer una cautela extrema al proporcionar y manejar el DNI, por tanto, la AEPD establece normas estrictas sobre como anonimizar este dato para su publicación.
¿Cómo se debe publicar el DNI?
La AEPD ha definido que, cuando sea necesario publicar el DNI, solo deben mostrarse los dígitos en las posiciones cuarta, quinta, sexta y séptima, reemplazando los demás caracteres por asteriscos (*).
Por ejemplo, supongamos que una empresa necesita publicar el DNI de sus empleados en un informe público, en lugar de mostrar el DNI completo, la empresa debe seguir las directrices de la AEPD y anonimizar los datos. Así, el DNI 12345678A se mostraría como ***4567**. De esta manera, se protege la identidad de los empleados y se cumple con la necesidad de hacer público el documento, siempre tomando las garantías necesarias y adecuadas para velar por la privacidad y los derechos fundamentales de las personas, cumpliendo con la normativa vigente.
¿Cómo proteger los datos personales a través de la anonimización?
Además de esta técnica de anonimización específica para el DNI, hay otras prácticas que tanto las empresas como las instituciones públicas pueden adoptar para proteger los datos personales. Para anonimizar adecuadamente los datos personales de las personas físicas, se deben seguir los siguientes pasos:
- Conocer los datos. En este sentido es esencial identificar qué tipo de datos se están manejando. Los datos personales pueden ser:
- Identificadores directos: como el nombre, dirección de correo electrónico, número de teléfono móvil, DNI, pasaporte, etc.
- Identificadores indirectos: como la edad, altura, peso, género, etnia, estado civil, dirección, código postal, etc.
- Atributos objetivos: como las transacciones, sueldo, calificación crediticia, diagnóstico médico, etc.
- Desidentificar los datos. Esto consiste en eliminar todos los identificadores directos. Por ejemplo, en lugar de almacenar el nombre completo de una persona, se puede utilizar un pseudónimo. Esto ayuda a proteger la identidad de la persona en caso de que estos datos sean accedidos a terceros.
- Aplicar las diferentes técnicas de anonimización:
- Supresión de registros: eliminar uno o varios valores o campos.
Ejemplo: eliminar el número de teléfono de una base de datos si no es necesario.
- Enmascaramiento de caracteres: cambiar algunos caracteres de un valor de datos. Esto se puede hacer mediante el uso de un símbolo consistente, como “*” o “x”.
Ejemplo: sustituir por “x” los últimos cuatro dígitos del número de matrícula de un vehículo.
- Generalización: reducir la precisión de los datos.
Ejemplo: en lugar de almacenar la fecha de nacimiento exacta, almacenar solo el año de nacimiento.
- Intercambio: reorganizar aleatoriamente los datos.
Ejemplo: cambiar aleatoriamente la dirección de una persona.
- Perturbación de datos: modificar los datos mediante fórmulas matemáticas.
Ejemplo: redondeo de base 5 (múltiplo de 5 más cercano) para la altura de las personas. Se elige 5, siendo algo proporcional al valor de altura típico de 120 a 190 cm.
- Calcular el riesgo. La k-anonimidad es un método para medir el riesgo de identificación de una persona en un conjunto de datos. Por ejemplo, si agrupamos a las personas en grupos donde todos tienen la misma edad y ciudad, y el grupo más pequeño tiene 5 personas, entonces tenemos una k-anonimidad de 5. Esto significa que cualquier persona en ese grupo no puede ser identificada fácilmente porque hay al menos otras 4 personas con la misma información.
La protección de los datos personales es una responsabilidad compartida entre empresas, instituciones y ciudadanos. Pese a que la disponibilidad de los datos por parte de los Jueces y Tribunales durante un procedimiento judicial resulta necesaria para cumplir con la finalidad defacilitar la persecución, investigación y enjuiciamiento de fenómenos criminales transfronterizos, no justifica la exposición al público de un dato sensible como es el DNI.
Este caso muestra la necesidad de velar por la privacidad de todos los ciudadanos, especialmente cuando se están vulnerando derechos y libertades fundamentales de terceras personas a través de la divulgación de sus datos personales, lo cual puede ocasionar graves consecuencias como es la suplantación de identidad para realizar compras fraudulentas, cometer estafas, acceder a información personal sensible como es el historial médico o solicitar préstamos y tarjetas de crédito a nombre de la persona suplantada. Por ello, es imperativo adoptar medidas adecuadas y cumplir con las especificaciones de la AEPD, ya que este caso pone de manifiesto que la privacidad y protección de los datos personales no solo es una obligación legal, sino también una responsabilidad social.
