Entrada 3 — La seudonimización como medida de seguridad - Protección de Datos (Aclarando conceptos)


 

Protección de Datos (Aclarando conceptos)

Entrada 3 — La seudonimización como medida de seguridad: obligaciones, límites y errores frecuentes

1. La seudonimización no elimina el riesgo: lo reduce

La seudonimización es una de las medidas de seguridad más potentes del RGPD. Pero su función no es “despersonalizar” los datos ni sacarlos del ámbito del Reglamento. Su función es reducir el riesgo, no eliminarlo.

La AEPD lo recuerda con claridad: los datos seudonimizados siguen siendo datos personales, porque existe información adicional que permite revertir el proceso.

Esto significa que:

  • el tratamiento sigue bajo el RGPD,
  • se mantienen todas las obligaciones del responsable,
  • y la seguridad debe gestionarse con criterios estrictos.

2. Qué es exactamente la seudonimización

La seudonimización consiste en sustituir identificadores directos (nombre, DNI, email, matrícula, etc.) por:

  • códigos,
  • claves,
  • tokens,
  • o cualquier identificador alternativo.

Pero la clave está aquí: la información que permite volver al dato original existe y debe estar separada, protegida y controlada.

Por tanto, la seudonimización genera dos conjuntos de datos:

1.    Datos seudonimizados (menos riesgosos, pero personales).

2.    Información adicional (altamente sensible, porque permite reidentificar).

Ambos deben gestionarse con garantías.

3. Las cuatro obligaciones esenciales que impone la seudonimización

1) Separación estricta de la información adicional

La información que permite revertir la seudonimización debe estar:

  • en sistemas distintos,
  • con accesos diferenciados,
  • con controles reforzados,
  • y con trazabilidad completa.

Si la información adicional está en el mismo entorno, la seudonimización es deficiente.

2) Control de accesos basado en necesidad

Solo deben acceder:

  • quienes necesiten reidentificar,
  • en contextos justificados,
  • y con autorización formal.

La reidentificación debe ser excepcional, no rutinaria.

3) Registro de operaciones

Toda reidentificación debe quedar registrada:

  • quién la realizó,
  • cuándo,
  • por qué motivo,
  • con qué autorización.

Sin trazabilidad, la seudonimización pierde valor jurídico.

4) Políticas internas claras

La organización debe definir:

  • cuándo se aplica la seudonimización,
  • quién custodia la información adicional,
  • quién puede revertirla,
  • cómo se documenta,
  • y cómo se audita.

La seudonimización no es una técnica aislada: es un proceso de gobernanza.

4. Los errores más frecuentes en las empresas

Error 1 — Creer que seudonimizar es “quitar nombres”

Si se mantienen fechas exactas, códigos internos, direcciones o patrones únicos, la identificación sigue siendo trivial.

Error 2 — Guardar la información adicional en el mismo sistema

Esto convierte la seudonimización en una ilusión. La separación es el corazón de la técnica.

Error 3 — No documentar la reidentificación

Sin registro, la empresa no puede demostrar control. Y en caso de brecha, la responsabilidad se multiplica.

Error 4 — Usar la seudonimización como excusa para relajar controles

La seudonimización no sustituye:

  • cifrado,
  • control de accesos,
  • políticas de retención,
  • ni medidas de seguridad básicas.

Es un complemento, no un sustituto.

5. Cómo deben organizarse las empresas para aplicar la seudonimización correctamente

1) Definir roles

  • Custodio de la información adicional (normalmente Seguridad o un área técnica).
  • Responsable funcional del tratamiento.
  • DPO como supervisor.

2) Establecer un procedimiento formal

El procedimiento debe incluir:

  • cuándo se aplica,
  • cómo se genera el identificador alternativo,
  • cómo se protege la información adicional,
  • cómo se autoriza la reidentificación,
  • cómo se registra,
  • cómo se audita.

3) Revisar periódicamente la robustez

La seudonimización no es estática. Debe revisarse ante:

  • cambios en los sistemas,
  • nuevas fuentes de datos,
  • nuevas correlaciones posibles,
  • o cambios en los riesgos.

4) Integrarla en el análisis de riesgos

La seudonimización debe reflejarse en:

  • el análisis de riesgos,
  • las medidas de seguridad,
  • y la DPIA cuando proceda.

6. Cierre: el puente hacia la Entrada 4

Con esta entrada cerramos el marco conceptual del ciclo:

  • Entrada 1: diferencias entre anonimización y seudonimización.
  • Entrada 2: cómo demostrar la anonimización.
  • Entrada 3: cómo gobernar la seudonimización.

La Entrada 4 abordará lo que más necesitan las empresas: cómo organizar políticas, roles y controles internos para gestionar estos procesos de forma profesional y auditable.

Comentarios

Publicar un comentario