Entrada 2 — Cómo demostrar que un dato está realmente anonimizado - Protección de Datos (Aclarando conceptos)


 

Protección de Datos (Aclarando conceptos)

Entrada 2 — Cómo demostrar que un dato está realmente anonimizado

1. El punto de partida: anonimizar no es “quitar identificadores”

Muchas organizaciones creen que anonimizar consiste en eliminar nombres, DNI o direcciones. Pero la AEPD —y el RGPD desde su Considerando 26— son tajantes: un dato solo está anonimizado cuando la identificación es imposible con los medios razonables disponibles.

Esto implica tres consecuencias inmediatas:

  • la anonimización no es un acto, sino un proceso evaluable,
  • la irreversibilidad debe ser objetiva y demostrable,
  • y la carga de la prueba recae siempre en la empresa.

Esta entrada explica cómo demostrarlo.

2. Los tres pilares para demostrar la anonimización

Pilar 1 — Evaluar el riesgo de reidentificación

La AEPD recuerda que la anonimización debe resistir intentos de reidentificación considerando:

  • costes (económicos, computacionales, logísticos),
  • tiempo necesario,
  • tecnología disponible hoy,
  • tecnología razonablemente previsible,
  • información adicional accesible (interna, pública o adquirible).

Esto obliga a un análisis estructurado, no intuitivo. Ejemplo: un conjunto de datos sanitarios sin nombres puede ser reidentificable si incluye fechas exactas, códigos postales o patologías raras.

Pilar 2 — Documentar el proceso técnico

La empresa debe poder explicar:

  • qué técnica se ha aplicado (agregación, perturbación, k‑anonimidad, etc.),
  • por qué esa técnica es adecuada para ese tipo de datos,
  • qué parámetros se han utilizado,
  • qué pruebas de robustez se han realizado,
  • y qué escenarios de ataque se han considerado.

Sin documentación, no hay anonimización demostrable.

Pilar 3 — Revisar la anonimización en el tiempo

La irreversibilidad no es eterna. La AEPD insiste en que la anonimización debe revisarse periódicamente porque:

  • cambian los conjuntos de datos disponibles,
  • aparecen nuevas técnicas de correlación,
  • aumenta la capacidad computacional,
  • y se publican nuevas bases de datos que pueden cruzarse.

Una anonimización válida en 2020 puede no serlo en 2026.

3. Cómo estructurar una evaluación de anonimización (modelo práctico)

Paso 1 — Describir el conjunto de datos

  • tipos de variables,
  • granularidad,
  • rareza de los valores,
  • volumen y distribución.

Paso 2 — Identificar vectores de reidentificación

  • combinación de atributos cuasi‑identificadores,
  • correlación con fuentes externas,
  • patrones temporales,
  • valores extremos o únicos.

Paso 3 — Seleccionar la técnica adecuada

Ejemplos:

  • Agregación para datos estadísticos.
  • Generalización para atributos sensibles.
  • Perturbación para datos numéricos.
  • k‑anonimidad para conjuntos tabulares.
  • Diferencial privacy para análisis avanzados.

Paso 4 — Probar la robustez

  • simulación de ataques,
  • análisis de correlación,
  • pruebas de unicidad,
  • evaluación de escenarios adversarios.

Paso 5 — Documentar y aprobar

La anonimización debe ser aprobada por:

  • el responsable del tratamiento,
  • el DPO,
  • y, en ciertos casos, el área técnica o de seguridad.

4. Señales de que un dato NO está anonimizado (aunque lo parezca)

  • Se mantienen fechas exactas.
  • Se conservan códigos internos que permiten reconstruir identidades.
  • Hay valores únicos o muy raros.
  • El conjunto es pequeño o muy homogéneo.
  • La técnica aplicada no tiene parámetros cuantificables.
  • No existe documentación del proceso.
  • No se ha evaluado la reidentificación con fuentes externas.

En todos estos casos, el dato sigue siendo personal.

5. Qué deben hacer las empresas para no equivocarse

La clave es adoptar una metodología profesional, no improvisada:

  • definir un procedimiento interno de anonimización,
  • establecer roles (quién anonimiza, quién valida, quién revisa),
  • documentar cada proceso,
  • aplicar pruebas de robustez,
  • y revisar periódicamente la validez.

La anonimización no es un truco técnico: es un proceso de gestión del riesgo.

6. Cierre: el puente hacia la Entrada 3

Esta entrada explica cómo demostrar la anonimización. La siguiente abordará el otro lado del espejo: la seudonimización como medida de seguridad, sus obligaciones, sus límites y cómo gobernarla dentro de una organización.

Comentarios

Publicar un comentario