Entrada 1 — Anonimización y seudonimización: lo que casi nadie entiende bien - Protección de Datos (Aclarando conceptos)


 

Protección de Datos (Aclarando conceptos)

Entrada 1 — Anonimización y seudonimización: lo que casi nadie entiende bien

1. Por qué este tema importa ahora

En los últimos años, muchas organizaciones han empezado a “anonimizar” datos sin comprender realmente qué significa hacerlo conforme al RGPD. El resultado es un paisaje lleno de malentendidos:

  • datos que se creen anónimos pero no lo son,
  • tratamientos que se consideran fuera del RGPD cuando en realidad siguen plenamente dentro,
  • riesgos de reidentificación subestimados,
  • y decisiones de negocio basadas en supuestos erróneos.

La AEPD ha publicado recientemente un artículo que aclara este terreno y confirma algo esencial: anonimizar y seudonimizar no son lo mismo, no generan las mismas obligaciones y no producen el mismo nivel de riesgo.

Esta entrada inaugura un ciclo destinado a explicar estas diferencias con precisión y a ofrecer a las empresas un marco operativo para gestionarlas.

2. Dos conceptos que parecen similares, pero no lo son

Anonimización: cuando el dato deja de ser personal

Un dato está anonimizado solo cuando no es posible identificar a la persona, ni directa ni indirectamente, con los medios razonables disponibles, teniendo en cuenta:

  • costes,
  • tiempo,
  • tecnología actual y futura,
  • y cualquier información adicional accesible.

Si la anonimización es robusta, irreversible y demostrable, el dato sale del ámbito del RGPD.

Pero aquí está el matiz que casi nadie entiende: anonimizar es un tratamiento de datos personales, y por tanto exige base jurídica, información, medidas de seguridad y documentación.

Seudonimización: cuando el dato sigue siendo personal

La seudonimización consiste en sustituir identificadores por códigos, claves o tokens. Pero la información que permite revertir el proceso existe, y por tanto:

  • el dato sigue siendo personal,
  • el tratamiento sigue bajo el RGPD,
  • y la organización debe aplicar todas las garantías correspondientes.

La seudonimización reduce riesgos, pero no elimina obligaciones.

3. El error más común en las empresas

Muchas organizaciones creen que “quitar nombres” equivale a anonimizar. En realidad, eso suele ser solo seudonimizar mal.

Ejemplos típicos:

  • bases de datos donde se elimina el nombre pero se mantiene el número de cliente,
  • conjuntos de datos donde se borran apellidos pero se conservan fechas exactas,
  • informes donde se oculta el DNI pero se mantiene el código interno que permite reconstruirlo.

En todos estos casos, la identificación sigue siendo posible. Por tanto, no hay anonimización, y el RGPD sigue aplicándose íntegramente.

4. Qué exige cada técnica en términos de cumplimiento

Anonimización

  • Evaluación de riesgo de reidentificación.
  • Documentación del proceso.
  • Justificación de la irreversibilidad.
  • Revisión periódica ante avances tecnológicos.

Seudonimización

  • Gestión segura de la información adicional.
  • Separación estricta entre datos y claves.
  • Control de accesos.
  • Registro de operaciones.
  • Políticas internas claras sobre quién puede revertir el proceso y cuándo.

5. Qué deben entender los directivos

La diferencia entre anonimizar y seudonimizar no es académica: determina si el RGPD aplica o no, y define el nivel de riesgo jurídico y operativo.

Un directivo debe saber:

  • que la anonimización es excepcional y difícil de lograr,
  • que la seudonimización es una medida de seguridad, no una vía de escape,
  • que la gobernanza de estos procesos es tan importante como la técnica,
  • y que la responsabilidad de demostrar la robustez recae siempre en la empresa.

6. Cierre: el punto de partida del ciclo

Esta primera entrada establece el marco conceptual. En las siguientes profundizaremos en:

  • cómo demostrar que un dato está realmente anonimizado,
  • cómo gobernar la seudonimización en una empresa,
  • qué técnicas existen y cuáles son sus límites,
  • y cómo documentar estos procesos para auditorías y supervisión.

Este ciclo pretende ofrecer a las organizaciones un mapa claro para navegar un terreno donde la confusión es habitual y el riesgo, elevado.

Comentarios

Publicar un comentario