Seudonimización de datos personales


Josep Aragonés Salvat     25/03/2021

El GDPR recomana aplicar, en qualsevol fase del tractament de dades personals, mesures tècniques i organitzatives com la seudonimización, destinades a complir de forma efectiva els principis de protecció de dades i protegir els drets dels interessats.

La seudonimització és una mesura que permet obtenir un nivell de seguretat adequat a el risc, encara que la seva implementació estarà limitada a l'estat de la tècnica, els costos d'aplicació, la naturalesa, l'abast, el context i les finalitats del tractament, sempre ponderats amb la probabilitat i gravetat dels riscos per als drets i llibertats de les persones físiques.

La seudonimització, a efectes del GDPR, és el tractament de dades personals de tal manera que ja no es puguin atribuir a un interessat sense utilitzar informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixin a una persona física identificada o identificable.

El procés de seudonimització consisteix a reemplaçar els identificadors de les dades personals per un atribut o codi no públic, que impedeixi reconstruir l'identificador inicial, podent tractar les dades relacionades sense saber a quina persona pertanyen. Aquest procés sempre serà reversible de manera que pugui recuperar la dada personal original. Per tant, serà fonamental garantir la custòdia de la informació addicional associada perquè no es permeti vincular la dada seudonimitzada amb el de titular. Les dades seudonimitzades es consideren igualment dades personals, de manera que els és aplicable el GDPR i la LOPDGDD.

L'anonimització pot ser una altra mesura a implementar quan sigui irrellevant identificar l'interessat. En aquest cas s'haurà d'eliminar qualsevol informació que guardi relació amb una persona física identificada o identificable, ni utilitzant informació addicional, és a dir, es convertiran en dades anònimes de manera irreversible i per tant quedaran fora de l'àmbit d'aplicació de la normativa de protecció de dades (GDPR i LOPDGDD).

Avantatges d'aplicar mesures de seudonimització de dades personals

El GDPR "incentiva" l'ús de la seudonimització establint obligacions menys estrictes per als responsables i encarregats del tractament que adoptin aquest tipus de mesura de seguretat, de manera que els permetrà:

  • Tractar dades personals (juntament amb altres requisits) amb una finalitat diferent de la inicial, sense basar aquest tractament ulterior en el consentiment de l'interessat o en una obligació legal (art. 6.4.e GDPR)
  • Planificar la protecció de dades des del disseny i per defecte (art. 25 GDPR).
  • Garantir un nivell de seguretat adequat a el risc (art. 32.1.a GDPR).
  • Reduir els riscos per als interessats afectats en cas d'una bretxa de seguretat (per exemple, un ciberatac), si les tècniques de seudonimització emprades impedeixen al ciberdelinqüent la reversió de les dades personals afectats pel ciberatac a les dades originals (cdo. 28 GDPR).
  • Disminuir les possibilitats que l'AEPD iniciï un procediment sancionador, o ser una de les eximents a l'obligació d'haver de notificar una bretxa de seguretat als interessats afectats (art. 34.3.a GDPR).
  • Constituir les garanties adequades (juntament amb altres mesures) que permetin un tractament amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques, sempre que d'aquesta manera es puguin assolir aquests fins (art. 89 GDPR).
  • Utilitzar lícitament dades personals amb fins d'investigació en salut i, en particular, biomèdica, sota unes condicions específiques determinades (disp. Ad. 17 LOPDGDD).
  • Dur a terme transferències internacionals de dades personals en base a les garanties adequades de l'article 46 GDPR, a l'estar inclosa com a mesura tècnica addicional dins de la llista (no exhaustiva) de l'annex 2 de les Recomanacions 1/2020 de el Comitè Europeu de Protecció de Dades (EDPB).


Guies de l'AEPD relacionades amb la seudonimització i anonimització de dades personals


Normativa relacionada amb la seudonimització i l'anonimització de dades personals


Article 4.5 GDPR. Definicions

A efectes del present Reglament s'entendrà per:

«seudonimització»: el tractament de dades personals de manera tal que ja no puguin atribuir-se a un interessat sense utilitzar informació addicional, sempre que dita informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixin a una persona física identificada o identificable;

Article 6.4 GDPR. Licitud del tractament

Quan el tractament per a un altre fi diferent d'aquell per al qual es van recollir les dades personals no estigui basat en el consentiment de l'interessat (...), el responsable de tractament, a fi de determinar si el tractament amb un altre fi és compatible amb el finalitat per a la qual es van recollir inicialment les dades personals, tindrà en compte, entre altres coses: (...)

e) l'existència de garanties adequades, que podran incloure el xifrat o la seudonimització.

Article 11 GDPR. Tractament que no requereix identificació

1. i els fins per als quals un responsable tracta dades personals no requereixen o ja no requereixen la identificació d'un interessat pel responsable, aquest no estarà obligat a mantenir, obtenir o tractar informació addicional amb vista a identificar l'interessat amb l'única finalitat de complir el present Reglament.

2. Quan, en els casos a què es refereix l'apartat 1 d'aquest article, el responsable sigui capaç de demostrar que no està en condicions d'identificar l'interessat, l'informarà en conseqüència, de ser possible. En aquests casos no s'aplicaran els articles 15 a 20, excepte quan l'interessat, als efectes de l'exercici dels seus drets en virtut d'aquests articles, faciliti informació addicional que permeti la seva identificació.

Article 25.1 GDPR. Protecció de dades des del disseny i per defecte

Tenint en compte l'estat de la tècnica, el cost de l'aplicació, la naturalesa, l'àmbit, el context i els fins del tractament, així com els riscos de diversa probabilitat i gravetat que comporta el tractament per als drets i llibertats de les persones físiques, el responsable del tractament aplicarà, tant al moment de determinar els mitjans de tractament com en el moment del propi tractament, mesures tècniques i organitzatives apropiades, com la seudonimización, concebudes per aplicar de forma efectiva els principis de protecció de dades, com la minimització de dades, i integrar les garanties necessàries al tractament, per tal de complir els requisits de el present Reglament i protegir els drets dels interessats. (...)

Article 32.1 GDPR. Seguretat del tractament

Tenint en compte l'estat de la tècnica, els costos d'aplicació, i la naturalesa, l'abast, el context i els fins del tractament, així com riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques, el responsable i l'encarregat del tractament aplicaran mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, que, si s'escau inclogui, entre d'altres:

a) la seudonimització i el xifrat de dades personals; (...)

Article 89.1 GDPR. Garanties i excepcions aplicables al tractament amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístics

El tractament amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques estarà subjecte a les garanties adequades, d'acord amb el present Reglament, per als drets i les llibertats dels interessats. Aquestes garanties faran que es disposi de mesures tècniques i organitzatives, en particular garantir el respecte del principi de minimització de les dades personals. Aquestes mesures poden incloure la seudonimització, sempre que d'aquesta manera es puguin assolir aquests fins. Sempre que aquests fins poden aconseguir-se mitjançant un tractament ulterior que no permeti o ja no permeti la identificació dels interessats, aquests fins s'assoliran d'aquesta manera. (...)

Considerant 26 GDPR

Els principis de la protecció de dades s'han d'aplicar a tota la informació relativa a una persona física identificada o identificable. Les dades personals seudonimizados, que es podria atribuir a una persona física mitjançant la utilització d'informació addicional, s'han de considerar informació sobre una persona física identificable. Per determinar si una persona física és identificable, s'han de tenir en compte tots els mitjans, com la singularització, que raonablement pugui utilitzar el responsable del tractament o qualsevol altra persona per identificar directament o indirectament a la persona física. Per determinar si hi ha una probabilitat raonable que s'utilitzin mitjans per identificar una persona física, s'han de tenir en compte tots els factors objectius, com els costos i el temps necessaris per a la identificació, tenint en compte tant la tecnologia disponible en el moment del tractament com els avenços tecnològics. Per tant els principis de protecció de dades no s'han d'aplicar a la informació anònima, és a dir, informació que no guarda relació amb una persona física identificada o identificable, ni a les dades convertits en anònims de manera que l'interessat no sigui identificable, o deixi de ser-ho. En conseqüència, el present Reglament no afecta el tractament d'aquesta informació anònima, inclusivament amb fins estadístics o d'investigació.

Considerant 28 GDPR

L'aplicació de la seudonimización a les dades personals pot reduir els riscos per als interessats afectats i ajudar els responsables i als encarregats del tractament a complir les seves obligacions de protecció de les dades. Així doncs, la introducció explícita de la «seudonimització» en el present Reglament no pretén excloure cap altra mesura relativa a la protecció de les dades.

Considerant 29 GDPR

Per incentivar l'aplicació de la seudonimización al tractament de dades personals, ha de ser possible establir mesures de seudonimización, permetent el mateix temps una anàlisi general, per part de el mateix responsable del tractament, quan aquest hagi adoptat les mesures tècniques i organitzatives necessàries per garantir que s'apliqui el present Reglament al tractament corresponent i que es mantingui per separat la informació addicional per a l'atribució de les dades personals a una persona concreta. El responsable que tracti dades personals ha d'indicar quines són les seves persones autoritzades.

Considerant 75 GDPR

Els riscos per als drets i llibertats de les persones físiques, de gravetat i probabilitat variables, poden deure's al tractament de dades que poguessin provocar danys i perjudicis físics, materials o immaterials, en particular en els casos en què el tractament pugui donar lloc a problemes de discriminació, usurpació d'identitat o frau, pèrdues financeres, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la seudonimització o qualsevol altre perjudici econòmic o social significatiu; (...)

Considerant 78 GDPR

(...) Per tal de poder demostrar la conformitat amb el present Reglament, el responsable del tractament ha d'adoptar polítiques internes i aplicar mesures que compleixin en particular els principis de protecció de dades des del disseny i per defecte. Aquestes mesures podrien consistir, entre altres, en reduir al màxim el tractament de dades personals, seudonimitzar el més aviat possible les dades personals, donar transparència a les funcions i el tractament de dades personals, permetent als interessats supervisar el tractament de dades i al responsable del tractament crear i millorar elements de seguretat. (...)

Considerant 156 GDPR

El tractament de dades personals amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques ha d'estar supeditat a unes garanties adequades per als drets i llibertats l'interessat de conformitat amb el present Reglament. Aquestes garanties han d'assegurar que s'apliquen mesures tècniques i organitzatives perquè s'observi, en particular, el principi de minimització de les dades. El tractament ulterior de dades personals amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques ha d'efectuar-se quan el responsable del tractament hagi avaluat la viabilitat de complir aquests fins mitjançant un tractament de dades que no permeti identificar els interessats, o que ja no ho permeti, sempre que hi hagi les garanties adequades (com, per exemple, la seudonimización de dades). (...)