Una aproximación a la seudonimización como medida de garantía de la protección de datos personales
La norma básica que regula la protección de datos en la comunidad europea es el Reglamento General de Protección de Datos (RGPD), aplicable de forma directa a todos los estados miembros de la Unión Europea. Es en base a este reglamento que dichos estados miembros han desarrollado sus propias normativas de protección de datos, sin contravenir lo dispuesto en el primero. El RGPD resultará de aplicación a todas las actividades de tratamiento de datos personales, siendo estos aquellas informaciones que permiten identificar directa o indirectamente a personas físicas.
Para que un dato sea considerado dato personal, es necesario que permita la identificación de una persona. Por ello, si a una determinada información se le aplican técnicas de anonimización que hacen que se convierta en totalmente anónima (es decir, que sea imposible que se atribuya a una persona física), a dicha información ya no se le aplicará el RGPD.
Distinta a la anonimización es la seudonimización de los datos, que es aquella técnica que se aplica sobre la información para que no pueda atribuirse a una persona física sin contar con otra información separada adicional, y siempre que dicha información adicional esté sujeta a medidas técnicas y organizativas que tengan como objetivo evitar dicha identificación. Lejos de conseguir que los datos sean anónimos, la seudonimización cumple con la función de reducir la vinculación entre la información y la persona a la que se refiere siendo, por lo tanto, una medida de seguridad. Por este motivo, los datos personales a los que se les ha aplicado un sistema de seudonimización siguen siendo datos personales regulados por la normativa de protección de datos, y ello por la gran probabilidad de que el seudoanonimato admita la identificabilidad del sujeto a que se refiere la información.
Precisamente, cuando el RGPD hace referencia a la seudonimización, lo hace en calidad de medida de seguridad, como en su artículo 32 en el que se habla de la seudonimización y del cifrado de los datos, así como en el Considerando 83 del mismo texto, en el que se habla de esta técnica como medida para mitigar los riesgos del tratamiento de los datos para los derechos y libertades de los interesados.
El Grupo del Trabajo del Artículo 29, actualmente el conocido Comité Europeo de Protección de Datos, en su Dictamen 05/2014 del Grupo de Trabajo sobre Protección de Datos de Carácter del artículo 29, de 10 de abril de 2014, estableció cuáles son las técnicas más importantes de seudonimización de datos. Entre ellas, se encuentran el cifrado con clave secreta, el hasheado de los datos, el cifrado determinista, la función con clave almacenada y la descomposición en tokens.
Una de las técnicas de seudonimización más utilizadas es, por lo tanto, el cifrado. Tanto es así que la Agencia Española de Protección de Datos ha publicado recientemente la quinta entrega de su publicación titulada Cifrado y Privacidad, en la que se analiza el concepto de cifrado, su importancia en materia de protección de datos y algunas cuestiones de gran aplicabilidad práctica en relación con las técnicas de cifrado.
Una de los supuestos en los que puede resultar especialmente beneficioso el uso del cifrado, y en el que incide especialmente la Agencia Española de Protección de Datos (AEPD), es en aquellos casos en que el responsable del tratamiento comparte los datos personales con un encargado del tratamiento para la prestación de servicios. Son muchos los riesgos que existen en esta transmisión de los datos, riesgos que pueden quedar mitigados mediante su cifrado. En estos casos, el cifrado de los datos puede hacerse de muy distintas formas, diferenciando la AEPD entre el cifrado tradicional y el llamado cifrado homomórfico. El primero es aquel en que los datos son cifrados por el responsable previamente a su transmisión, para su posterior desciframiento por el encargado una vez los recibe. Es decir, en este caso los datos permanecen cifrados únicamente en el momento de la transmisión. El segundo, en cambio, es el cifrado que se produce antes de la transmisión de los datos por parte del responsable y que se mantiene durante todo el tiempo que están en posesión del encargado, llevando a cabo este sus operaciones del tratamiento sobre los datos cifrados y sin tener acceso a ellos en momento alguno y sin que ello implique diferencia alguna en el resultado. El cifrado homomórfico, como es evidente, es el más recomendado siempre que pueda llevarse a cabo, ya que implica evitar el acceso de un tercero a datos ajenos, así como se evita compartir las claves para descifrarlos.
Además de la seguridad y la fortaleza que pueda ofrecer un sistema de seudonimización respecto a otros, son muchos los aspectos que deben tener en cuenta las organizaciones al implementarlos. Por un lado, deben tener en cuenta las necesidades y las finalidades del tratamiento de datos pues, por ejemplo, no requiere el mismo tipo de cifrado de datos una empresa de comercio electrónico que una empresa que presta servicios de firma electrónica. Tampoco es el mismo el tiempo que deben permanecer los datos cifrados en un caso y en otro. Por otro lado, también será necesario valorar los costes de la implementación de estos sistemas, en función de las necesidades y de los recursos de cada entidad.
La seudonimización de los datos, en definitiva, es una técnica que se puede utilizar para que el responsable o encargado de un tratamiento cumpla con el principio de privacidad desde el diseño y por defecto previsto en el artículo 25 del RGPD, el cual hace una mención expresa a esta posibilidad como forma de cumplir con la privacidad desde el diseño. Es, a su vez, una forma de cumplir con el principio de responsabilidad proactiva establecida por el RGPD en su artículo 5, pudiendo así demostrar la inversión de sus esfuerzos en garantizar la protección de datos en las actividades del tratamiento, en la medida de lo posible.
Sara Hervías Costa, Privacy Counsel, Legal Army