LegalToday

Por y para profesionales del Derecho

Portal jurídico de Thomson Reuters, por y para abogados

14/08/2022. 23:12:43

LegalToday

Por y para profesionales del Derecho

Datos anonimizados: fuera de la normativa de protección de datos

Legal Marketing & Communications Consultant

En tanto que los datos de carácter personal sí están sometidos a la normativa de protección datos, no sucede lo mismo con los datos anonimizados. Ello sucede debido a que los segundos se refieren a personas que ni están identificadas ni son identificables. Los datos se pueden anonimizar a través de un proceso mediante el cual se eliminan los elementos que puedan conducir a la identificación de los sujetos[1].

En esta línea, se ha distinguido entre anonimización absoluta y funcional. La primera se refiere a que no existe posibilidad alguna de reidentificar al individuo, sea de forma directa o indirecta. En la anonimización funcional, por su parte, sí existe posibilidad de reidentificación, aunque sea insignificante. No obstante, se ha afirmado que la anonimización absoluta es imposible de lograr, por lo que se ha equiparado a la funcional a efectos prácticos. Así, para determinar si un set de datos es anónimo o no, habrá que estar al riesgo de que a través de ellos se pueda reidentificar a los sujetos a los que están ligados[2].

Mas, en la actualidad, con los nuevos alcances del Big Data, el proceso de anonimización no asegura por completo la privacidad. En suma, lo que se pretende realizar a través de este tipo de procesos es despojar los datos de los rasgos identificadores personales[3]. Existen varias técnicas de anonimización, sin que en la Unión Europea se haya legislado sobre la aplicación imperativa de alguna de ellas, de modo que existe cierta libertad de acción por parte de los operadores[4].

Estos identificadores pueden ser el nombre y apellidos, la fecha de nacimiento, número de la Seguridad Social, etc., además de categorías de datos que pueden actuar como identificadores en un entorno específico (como puede ocurrir en un banco con el número de las tarjetas de crédito o en una universidad con el número identificador de cada estudiante). Tradicionalmente, al eliminar estos datos de una base o set de datos se aseguraba la privacidad y los datos continuaban siendo útiles, pero actualmente existe riesgo de reidentificación debido a la enorme cantidad de datos de los sujetos que existen a raíz del fenómeno del Big Data, poniendo en riesgo la privacidad de los individuos[5].

Así, señala la Comisión Federal de Comercio (FTC) de Estados Unidos que hay evidencias de que los avances tecnológicos y la capacidad para combinar datos dispares pueden reidentificar a un consumidor, dispositivo u ordenador, incluso cuando esos datos no hubiesen constituido PII (personally identifiable information por sus siglas en inglés). Además, señala la misma que las empresas tienen fuertes incentivos para realizar esta reidentificación, fijando incluso precios discriminarios a los consumidores basados en el historial de navegación en línea). Hubo autores que incluso se atrevieron a apuntar que “si se da suficiente tiempo y recursos, cualquier información puede vincularse a un individuo[6].

Con ello, la FTC llega a la conclusión de que existe un interés legítimo por parte de los consumidores de controlar cómo las empresas recolectan y usan los datos recogidos, aunque sea información a través de la cual se supone, en principio, que no se puede identificar al individuo (por su baja probabilidad de que esto ocurra)[7].

Datos seudonimizados, ¿en qué se diferencian de los anonimizados?

A través del proceso de seudonimización de datos personales se intenta reducir su vinculabilidad a la identidad del individuo. No obstante, no se trata de datos anónimos, por lo que la normativa de protección de datos se aplicará en este caso. Con la seudonimización de los datos, estos se pueden atribuir a una persona en particular al incluir información adicional, es decir, la persona física será identificable[8].

De este modo, “sigue existiendo una alta probabilidad de identificar a la persona física de manera indirecta; en otras palabras, el uso exclusivo de la seudonimización no garantiza un conjunto de datos anónimo”[9].

Existen multitud de técnicas de seudonimización, como el cifrado con clave secreta, la función hash, la función con clave almacenada, la descomposición en tokens, etc. No obstante, no nos adentraremos en su estudio. Basta con decir que se ha demostrado que a través de cualquiera de ellos existe aún una probabilidad elevada de reidentificar al individuo. Para que un conjunto de datos se considerase anonimizado “sería necesario tomar medidas adicionales, entre las cuales se contarían la eliminación y generalización de atributos, el borrado de los datos originales o, al menos, la obtención de un alto grado de agregación de dichos datos”[10].

Un caso interesante es el de las redes sociales. Se ha demostrado que es posible reidentificar a personas concretas a pesar de que se hayan utilizado técnicas de seudonimización para mantenerlas próximas al anonimato. Así, en un estudio realizado por la Universidad de Texas se demostró la escasa protección de la privacidad de los usuarios en las redes sociales. Para ello utilizaron una plataforma principal y una auxiliar: Twitter y Flickr, respectivamente. Así, a través de un algoritmo se reidentificó a un tercio de los usuarios de Twitter. Cabe destacar que la superposición de usuarios en ambas redes es bastante pequeña (es decir, el porcentaje de nombres asociados coincidentes en ambas redes es bajo) y aún así la tasa de error calculada fue de tan sólo del 12%, por lo que cabe colegir que el experimento mejoraría en otras redes como Facebook y MySpace, por ejemplo, en las que la superposición sería más elevada. Además, explican los autores del estudio, multitud de compañías y gobiernos tienen más fácil acceso que ellos a la consecución de datos agregados, por lo que les sería todavía más fácil reidentificar a los usuarios. Ello se traduce “en potenciales violaciones de la privacidad y la solución parecería necesitar un cambio fundamental en modelos y prácticas comerciales y leyes de privacidad más claras sobre el tema de la información de identificación personal[11].

[1]Morales Barceló, Judith (2017): “Big Data y Protección de Datos: especial referencia al consentimiento del afectado”, en Revista Aranzadi de Derecho y Nuevas Tecnologías, núm. 44/2017, Editorial Aranzadi, 2017, pp. 6 y ss.

[2]Morales Barceló, Judith (2017): “Big Data y Protección de Datos: especial referencia al consentimiento del afectado”, en Revista Aranzadi de Derecho y Nuevas Tecnologías, núm. 44/2017, Editorial Aranzadi, 2017, pp. 6 y ss.

[3]Gil González, Elena. Big data, privacidad y protección de datos. Madrid: Agencia Estatal Boletín Oficial del Estado, 2016 [fecha de consulta: 4 octubre 2019]. Pp. 83 y ss. Disponible en: https://www.aepd.es/media/premios/big-data.pdf

[4]Ante este silencio, es el Grupo de Trabajo del artículo 29, en su Dictamen 5/2014 sobre técnicas de anonimización, adoptado el 10 de abril de 2014, el que analiza la eficacia y limitaciones de las técnicas de anonimización existentes, atendiendo al marco legal comunitario sobre protección de datos y ofrece ciertas recomendaciones para el uso de las mismas.

El Grupo de Trabajo del artículo 29 se trata de un órgano consultivo independiente de la UE en materia de privacidad y protección de datos. El Grupo de Trabajo del Artículo 29 dejó de existir y fue reemplazado por el Consejo Europeo de Protección de Datos (EDPB).

[5]Gil González, Elena. Big data, privacidad y protección de datos. Madrid: Agencia Estatal Boletín Oficial del Estado, 2016 [fecha de consulta: 4 octubre 2019]. Pp. 83 y ss. Disponible en: https://www.aepd.es/media/premios/big-data.pdf

[6]Federal Trade Comission (FTC) (2012): Protecting Consumer Privacy in an Era of Rapid Change. Recommendations for Businesses and Policymakers, Pp. 18-34.

[7]Federal Trade Comission (FTC) (2012): Protecting Consumer Privacy in an Era of Rapid Change. Recommendations for Businesses and Policymakers, Pp. 18-34.

[8]Morales Barceló, Judith (2017): “Big Data y Protección de Datos: especial referencia al consentimiento del afectado”, en Revista Aranzadi de Derecho y Nuevas Tecnologías, núm. 44/2017, Editorial Aranzadi, 2017, pp. 6 y ss.

[9]Grupo de Trabajo sobre Protección de Datos del artículo 29: Dictamen 5/2014 sobre técnicas de anonimización, adoptado el 10 de abril de 2014. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_es.pdf

[10]Grupo de Trabajo sobre Protección de Datos del artículo 29: Dictamen 5/2014 sobre técnicas de anonimización, adoptado el 10 de abril de 2014. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_es.pdf

[11]Narayanan A. and Shmatikov V. (2009): “De-anonymizing social networks”, en el 30º IEEE Symposium on Security and Privacy, The University of Texas at Austin. Disponible en: https://www.cs.utexas.edu/~shmat/shmat_oak09.pdf

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.