¿Existen vulnerabilidades en los datos que han sido anonimizados?

La respuesta a la anterior pregunta, en gran medida, no depende de nosotros como usuarios si no de aquellas empresas e instituciones que traten nuestros datos personales, habida cuenta, que serán las que realizarán los procesos de anonimización y deberán garantizar, conforme al principio de responsabilidad proactiva instaurado con el RGPD, que la anonimización sea efectiva, real e imposibilite la reidentificación de la persona.

El 14 de junio de 2019 la Agencia Española de Protección de Datos (en adelante, AEPD) ha publicado una Nota Técnica, denominada “K-anonimización”, incluyendo un listado de recomendaciones para todas aquellas empresas y compañías que realicen procesos de anonimización o seudonimización[1] de los datos, dependiendo del grado en el que ese proceso sea más o menos reversible.

En síntesis, la Nota Técnica pretende sentar los límites para conocer cuál es el grado de efectividad de los procesos de anonimización realizados, hasta qué punto se ha realizado la anonimización y determinar el grado de implantación de la gestión del riesgo ante la posibilidad de identificar a la persona, es decir, determinar cómo son de vulnerables los datos anonimizados

La “K-anonimización” se lleva a cabo a través de dos procesos que consisten en sustituir variables de información por otras, bien (i) conservando el dato de interés y generalizando (proceso de generalización); (ii) o eliminando otros (proceso de eliminación), sin introducir nuevos datos.

Además, la AEPD, propone un conjunto de herramientas de software, abierto o privado, que permite anonimizar los datos de manera eficaz, para ello, la institución o empresa deberá analizar cuáles son los márgenes de eliminación o generalización que ha de aplicar para evitar que los datos sean falseados.

A modo de conclusión, podemos afirmar que la ingente utilización de nuestros datos en la actualidad a través de diferentes usos, como son tecnologías de Big Data o la Inteligencia Artificial (IA), instauran la necesidad de que todos aquellos que traten nuestros datos y anonimicen los mismos sean garantes de nuestros derechos fundamentales a la privacidad y a la protección de datos personales cuando se utilicen estos u otros tipos de tecnologías.

[1]Datos personales seudonimizados”: son datos de carácter personal que, incluyendo información adicional sobre una persona, permiten identificar a la misma.

 

Marta Serrano Carnicer

mserrano@helasconsultores.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *