La Agencia Española de Protección de Datos (AEPD) ha publicado una serie de recomendaciones dirigidas a las organizaciones y entidades que realizan procesos de anonimización de datos.
Según establece el principio de Responsabilidad Proactiva establecido en el Reglamento General de Protección de Datos de la Unión Europea (RGPD), el responsable del tratamiento de datos debe abordar el estudio del riesgo de reidentificación e implementar las medidas para gestionarlo.
El documento con las recomendaciones de la Agencia persigue aclarar los límites en la efectividad de estos procesos de anonimización. Destacando el estado real de anonimato de la información y cómo minimizar el riesgo de reidentificación.
Análisis de la técnica K-anonimidad
La AEPD ha analizado la técnica denominada K-anonimidad que entre otros elementos establece el grado de posible identificación en un conjunto de datos que han sido anonimizados.
Con las últimas tecnologías de tratamiento de datos como el Big Data, la Inteligencia Artificial o el Machine Learning, que maneja datos a gran escala, interconectados, es posible crear un rastro electrónico de las personas, por lo que está en riesgo su privacidad. Con estas recomendaciones de la AEPD se persigue dotar de mayor privacidad al usuario.
Como señala la Agencia, “existe un riesgo de que, una vez que se ha anonimizado un conjunto de datos, se pueda revertir esa anonimización, reidentificando a la persona”.
Recomendaciones AEPD
Por tanto, ante este riesgo, la Agencia aclara que suprimir o enmascarar los atributos de carácter identificador resulta insuficiente para garantizar la anonimidad de los sujetos objeto de estudio, ya que puede darse que campos comunes presentes en diferentes fuentes de datos, convenientemente agrupados y cruzados, se conviertan en un atributo seudo identificador, por lo que la privacidad del usuario se vería comprometida.
La Agencia recomienda que durante las fases de concepción y diseño de un tratamiento de datos de carácter personal, se realice un análisis del grado de fidelidad necesario en el resultado del tratamiento para determinar, de forma precisa, los márgenes adecuados de generalización y eliminación, dentro de límites razonables que impidan la distorsión de la realidad.
Igualmente, hay que hacer un análisis y correcto balance, entre los riesgos para los derechos y libertades de los ciudadanos; y los beneficios legítimos y para la sociedad que conlleva la realización de dicho tratamiento con un determinado grado de precisión.
Por último, ante ambos análisis se debe buscar el equilibrio entre el beneficio que se obtendrá para la sociedad en la realización de un tratamiento con un grado de fidelidad determinado y el coste que dicho tratamiento implica para los derechos y libertades de los usuarios.
