Seudonimización

Método para ocultar datos personales en bases de datos.

La seudonimización es un procedimiento de gestión de datos y desidentificación mediante el cual los campos de información de identificación personal dentro de un registro de datos se reemplazan por uno o más identificadores artificiales o seudónimos . ^[1] Un único seudónimo para cada campo reemplazado o colección de campos reemplazados hace que el registro de datos sea menos identificable y al mismo tiempo sigue siendo adecuado para el análisis y el procesamiento de datos .

La seudonimización (o seudonimización, como se escribe según las directrices europeas) es una forma de cumplir con las nuevas exigencias del Reglamento General de Protección de Datos (GDPR) de la Unión Europea para el almacenamiento seguro de datos personales. ^[2] Los datos seudónimos se pueden restaurar a su estado original agregando información que permita volver a identificar a las personas. Por el contrario, la anonimización tiene como objetivo evitar la reidentificación de personas dentro del conjunto de datos. La Cláusula 18, Módulo Cuatro, nota a pie de página 2 de la Adopción por la Comisión Europea de las Decisiones de Ejecución (UE) 2021/914 “requiere hacer que los datos sean anónimos de tal manera que el individuo ya no sea identificable por nadie... y que esto El proceso es irreversible”. ^[3]

Impacto de la sentencia Schrems II

El Supervisor Europeo de Protección de Datos (SEPD) destacó el 9 de diciembre de 2021 la seudonimización como la principal medida técnica complementaria para el cumplimiento de Schrems II. ^[4] Menos de dos semanas después, la Comisión de la UE destacó la seudonimización como un elemento esencial de la decisión de equivalencia para Corea del Sur, que es el estatus que perdió Estados Unidos en virtud de la sentencia Schrems II del Tribunal de Justicia de la Unión Europea. Unión (TJUE). ^[5]

La importancia de la seudonimización conforme al RGPD aumentó drásticamente en junio de 2021, cuando el Consejo Europeo de Protección de Datos (EDPB) y la Comisión Europea destacaron la seudonimización conforme al RGPD como la medida técnica complementaria de última generación para el uso legal continuo de datos personales de la UE. datos cuando se utilizan procesadores en la nube o proveedores de servicios remotos de terceros países (es decir, fuera de la UE) según la sentencia "Schrems II" del TJUE. ^[6] Según el RGPD y la Guía final EDPB Schrems II, ^[7] el término seudonimización requiere un nuevo "estado" protegido de los datos, lo que produce un resultado protegido que:

(1) Protege identificadores directos, indirectos y cuasi identificadores, junto con características y comportamientos;

(2) Protege a nivel de registro y conjunto de datos versus solo el nivel de campo para que la protección viaje dondequiera que vayan los datos, incluso cuando estén en uso; y

(3) Protege contra la reidentificación no autorizada a través del Efecto Mosaico al generar altos niveles de entropía (incertidumbre) mediante la asignación dinámica de diferentes tokens en diferentes momentos para diversos propósitos.

La combinación de estas protecciones es necesaria para evitar la reidentificación de los interesados ​​sin el uso de información adicional mantenida por separado, como lo exige el artículo 4(5) del RGPD y como lo subraya el párrafo 85(4) del EDPB Schrems II final. guía:

• El artículo 4(5) "Definiciones" del RGPD define la seudonimización como "el procesamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se conserva por separado y está sujeto a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”. ^[8]
• "Caso de uso 2: Transferencia de datos seudonimizados El párrafo 85(4)" de la Guía final del EDPB Schrems II exige que "el responsable del tratamiento haya establecido mediante un análisis exhaustivo de los datos en cuestión, teniendo en cuenta cualquier información que las autoridades públicas que se espera que posea y utilice el país receptor, que los datos personales seudonimizados no pueden atribuirse a una persona física identificada o identificable, incluso si se hacen referencias cruzadas con dicha información”. ^[7]

La seudonimización que cumple con el RGPD requiere que los datos sean “anónimos” en el sentido más estricto de la palabra en la UE (globalmente anónimos), salvo que la información adicional se mantenga por separado y esté disponible en condiciones controladas según lo autorizado por el controlador de datos para permitir la reidentificación de datos individuales. asignaturas. La cláusula 18, módulo cuatro, nota a pie de página 2 de la adopción por la Comisión Europea de la Decisión de Ejecución (UE) 2021/914 “requiere hacer que los datos sean anónimos de tal manera que el individuo ya no sea identificable por nadie, de conformidad con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso es irreversible”. ^[3]

Antes del fallo Schrems II, la seudonimización era una técnica utilizada por expertos en seguridad o funcionarios gubernamentales para ocultar información de identificación personal para mantener la estructura de datos y la privacidad de la información . Algunos ejemplos comunes de información confidencial incluyen el código postal, la ubicación de las personas, los nombres de las personas, la raza y el género, etc.

Después de la sentencia Schrems II, la seudonimización conforme al RGPD debe satisfacer los elementos mencionados anteriormente como un "resultado" y no simplemente como una técnica.

Campos de información

La elección de qué campos de datos se van a seudonimizar es en parte subjetiva. A menudo también se incluyen campos menos selectivos, como Fecha de nacimiento o Código postal, porque generalmente están disponibles en otras fuentes y, por lo tanto, facilitan la identificación de un registro. La seudonimización de estos campos menos identificativos elimina la mayor parte de su valor analítico y, por lo tanto, normalmente va acompañada de la introducción de nuevas formas derivadas y menos identificativas, como el año de nacimiento o una región de código postal más grande.

Los campos de datos que son menos identificativos, como la fecha de asistencia, no suelen estar seudonimizados. Es importante darse cuenta de que esto se debe a que al hacerlo se pierde demasiada utilidad estadística, no a que los datos no puedan identificarse. Por ejemplo, dado el conocimiento previo de algunas fechas de asistencia, es fácil identificar los datos de alguien en un conjunto de datos seudonimizados seleccionando solo aquellas personas con ese patrón de fechas. Este es un ejemplo de un ataque de inferencia .

La debilidad de los datos seudonimizados anteriores al RGPD ante los ataques de inferencia suele pasarse por alto. Un ejemplo famoso es el escándalo de los datos de búsqueda de AOL . El ejemplo de AOL de reidentificación no autorizada no requirió acceso a "información adicional" guardada por separado que estaba bajo el control del controlador de datos como se requiere ahora para la seudonimización que cumple con el RGPD, que se describe a continuación en la sección "Nueva definición de seudonimización según el RGPD". .

Para proteger los datos seudonimizados estadísticamente útiles de la reidentificación se requiere:

1. una sólida base de seguridad de la información
2. controlar el riesgo de que los analistas, investigadores u otros trabajadores de datos causen una violación de la privacidad

El seudónimo permite rastrear los datos hasta sus orígenes, lo que distingue la seudonimización de la anonimización , ^[9] donde se han eliminado todos los datos relacionados con personas que podrían permitir el rastreo. La seudonimización es un problema, por ejemplo, en los datos relacionados con los pacientes que deben transmitirse de forma segura entre centros clínicos.

La aplicación de la seudonimización a la e-salud pretende preservar la privacidad y la confidencialidad de los datos del paciente . Permite el uso primario de registros médicos por parte de proveedores de atención médica autorizados y la privacidad preservando el uso secundario por parte de los investigadores. ^[10] En los EE. UU., HIPAA proporciona pautas sobre cómo se deben manejar los datos de atención médica y la desidentificación o seudonimización de los datos es una forma de simplificar el cumplimiento de HIPAA ^{[ cita necesaria ]} . Sin embargo, la simple seudonimización para preservar la privacidad a menudo alcanza sus límites cuando se trata de datos genéticos (ver también privacidad genética ). Debido al carácter identificativo de los datos genéticos, la despersonalización a menudo no es suficiente para ocultar a la persona correspondiente. Las posibles soluciones son la combinación de seudonimización con fragmentación y cifrado .

Un ejemplo de aplicación del procedimiento de seudonimización es la creación de conjuntos de datos para la investigación de desidentificación reemplazando palabras identificativas con palabras de la misma categoría (por ejemplo, reemplazando un nombre con un nombre aleatorio del diccionario de nombres), ^{[11] [12] [13]} sin embargo, en este caso, en general no es posible rastrear los datos hasta sus orígenes.

Nueva definición de seudonimización según el RGPD

En vigor a partir del 25 de mayo de 2018, el Reglamento general de protección de datos de la UE (GDPR) define la seudonimización por primera vez a nivel de la UE en el artículo 4(5). Según los requisitos de definición del Artículo 4(5), los datos se pseudonimizan si no pueden atribuirse a un interesado específico sin el uso de "información adicional" guardada por separado. Los datos seudonimizados representan lo último en protección de datos por diseño y por defecto ^[14] porque requieren protección de identificadores directos e indirectos (no solo los principios directos del RGPD de protección de datos por diseño y por defecto incorporados en la seudonimización). de identificadores tanto directos como indirectos para que los datos personales no sean referenciables (o reidentificables) a través del "Efecto Mosaico" ^[15] sin acceso a "información adicional" que el controlador mantiene por separado. Se requiere “información adicional” para la reidentificación, el controlador puede limitar la atribución de datos a un interesado específico para respaldar únicamente fines legales.

El artículo 25(1) del RGPD identifica la seudonimización como una “ medida técnica y organizativa adecuada ” y el artículo 25(2) exige a los responsables del tratamiento:

“…implementar medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se procesen los datos personales que sean necesarios para cada propósito específico del procesamiento. Esa obligación se aplica a la cantidad de datos personales recopilados, el alcance de su procesamiento, el período de su almacenamiento y su accesibilidad. En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas.

Un núcleo central de la protección de datos desde el diseño y por defecto según el artículo 25 del RGPD es la aplicación de controles tecnológicos que respalden los usos apropiados y la capacidad de demostrar que, de hecho, usted puede cumplir sus promesas. Tecnologías como la seudonimización que imponen la protección de datos desde el diseño y por defecto muestran a los interesados ​​individuales que, además de idear nuevas formas de obtener valor de los datos, las organizaciones están aplicando enfoques técnicos igualmente innovadores para proteger la privacidad de los datos, un tema especialmente delicado y de actualidad dado la epidemia de violaciones de seguridad de datos en todo el mundo.

Áreas de actividad económica vibrantes y en crecimiento (la “economía de la confianza”, la investigación en ciencias biológicas, la medicina/educación personalizada, el Internet de las cosas, la personalización de bienes y servicios) se basan en que las personas confían en que sus datos son privados, están protegidos y se utilizan únicamente. para fines adecuados que aporten a ellos y a la sociedad el máximo valor. Esta confianza no se puede mantener utilizando enfoques obsoletos de protección de datos. La seudonimización, tal como se define recientemente en el RGPD, es un medio para ayudar a lograr la protección de datos desde el diseño y por defecto para ganar y mantener la confianza y servir de manera más efectiva a las empresas, los investigadores, los proveedores de atención médica y todos aquellos que dependen de la integridad de los datos.

La seudonimización que cumple con el RGPD no solo permite un mayor uso respetuoso de la privacidad de los datos en el mundo actual de " grandes datos " de intercambio y combinación de datos, sino que también permite a los controladores y procesadores de datos obtener beneficios explícitos según el RGPD por datos seudonimizados correctamente. Los datos seudonimizados se destacan en varios artículos del RGPD, que incluyen:

• El artículo 6, apartado 4, como salvaguardia para ayudar a garantizar la compatibilidad de nuevos tratamientos de datos.
• El artículo 25 como medida técnica y organizativa para ayudar a hacer cumplir los principios de minimización de datos y el cumplimiento de las obligaciones de Protección de Datos desde el Diseño y por Defecto.
• Los artículos 32, 33 y 34 como medida de seguridad que ayudan a que las violaciones de datos “es poco probable que resulten en un riesgo para los derechos y libertades de las personas físicas”, reduciendo así la responsabilidad y las obligaciones de notificación por violaciones de datos.
• el artículo 89, apartado 1, como salvaguardia en relación con el tratamiento con fines de archivo en interés público; fines de investigación científica o histórica; o fines estadísticos; Además, los beneficios de la seudonimización previstos en el artículo 89(1) también proporcionan una mayor flexibilidad en:
  1. el artículo 5, apartado 1, letra b), en lo que respecta a la limitación de la finalidad;
  2. el artículo 5, apartado 1, letra e), en lo que respecta a la limitación del almacenamiento; y
  3. Artículo 9, apartado 2, letra j), con respecto a la superación de la prohibición general de procesar categorías especiales de datos personales del artículo 9, apartado 1.
• Además, en el Artículo 29 del Dictamen del Grupo de Trabajo 06/2014 se reconoce que los datos adecuadamente seudonimizados desempeñan “…un papel con respecto a la evaluación del impacto potencial del procesamiento en el interesado… inclinando la balanza a favor del responsable del tratamiento”. ”para ayudar a respaldar el procesamiento de intereses legítimos como base legal según el artículo 6(1)(f) del RGPD. Los beneficios del procesamiento de datos personales utilizando el interés legítimo habilitado para seudónimos como base legal según el RGPD incluyen, entre otros:
  1. Según el artículo 17(1)(c), si un controlador de datos demuestra que “tiene motivos legítimos imperiosos para el procesamiento” respaldados por medidas técnicas y organizativas para satisfacer la prueba de equilibrio de intereses, tiene mayor flexibilidad para cumplir con las solicitudes del derecho al olvido. .
  2. Según el artículo 18(1)(d), un controlador de datos tiene flexibilidad para cumplir con las reclamaciones para restringir el procesamiento de datos personales si puede demostrar que cuenta con medidas técnicas y organizativas implementadas para que los derechos del controlador de datos prevalezcan adecuadamente sobre los de el interesado porque los derechos de los interesados ​​están protegidos.
  3. Según el artículo 20(1), los responsables del tratamiento de datos que utilizan el procesamiento por interés legítimo no están sujetos al derecho de portabilidad, que se aplica únicamente al procesamiento basado en el consentimiento.
  4. Según el artículo 21, apartado 1, un responsable del tratamiento que utilice el procesamiento por interés legítimo puede demostrar que cuenta con medidas técnicas y organizativas adecuadas para que los derechos del responsable del tratamiento prevalezcan adecuadamente sobre los del interesado porque los derechos de los interesados están protegidos; sin embargo, los interesados ​​siempre tienen el derecho, según el artículo 21(3), a no recibir información de marketing directo como resultado de dicho procesamiento.

Ver también

• Sistema de información clínica
• Enmascaramiento de datos dinámicos
• FLAMAR
• Privacidad

Referencias

1. "Reglamento General de Protección de Datos". 4(5).{{cite web}}: CS1 maint: location (link)
2. Skiera, Bernd (2022). El impacto del RGPD en el mercado de la publicidad online. Klaus Miller, Yuxi Jin, Lennart Kraft, René Laub, Julia Schmitt. Fráncfort del Meno. ISBN 978-3-9824173-0-1. OCLC  1303894344.{{cite book}}: CS1 maint: location missing publisher (link)
3. "Decisión de Ejecución (UE) 2021/914 de la Comisión". Diario oficial de la Unión Europea . 7 de junio de 2021 . Consultado el 5 de enero de 2024 .
4. "Seminario web IPEN 2021: Datos seudónimos: procesar datos personales mitigando riesgos". Supervisor Europeo de Protección de Datos . 9 de diciembre de 2021 . Consultado el 4 de enero de 2024 .
5. "Decisión de Ejecución 2022/254 de la Comisión". Diario oficial de la Unión Europea . 24 de febrero de 2022 . Consultado el 4 de enero de 2024 .
6. "Comunicado de prensa nº 91/20" (PDF) . Tribunal de Justicia de la Unión Europea . 16 de julio de 2020 . Consultado el 4 de enero de 2024 .
7. "Recomendaciones" (PDF) . Consejo Europeo de Protección de Datos . 18 de junio de 2021 . Consultado el 5 de enero de 2024 .
8. "Definiciones del artículo 4 del RGPD". Consultoría Intersoft. 25 de mayo de 2018 . Consultado el 5 de enero de 2024 .
9. http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf Anonimato, desvinculación, indetectabilidad, inobservabilidad, seudonimato y gestión de identidad: una propuesta consolidada de terminología
10. Neubauer, T; Heurix, J (marzo de 2011). "Una metodología para la seudonimización de datos médicos". Int J Med informar . 80 (3): 190–204. doi :10.1016/j.ijmedinf.2010.10.016. PMID  21075676.
11. Neamatullah, Ishna; Douglass, Margaret M; Li Wei; Lehman, H; Reisner, Andrés; Villarroe, Mauricio; Largo, William J; Szolovits, Peter; Moody, George B; Marcos, Roger G; Clifford, Gari D (2008). "Desidentificación automatizada de registros médicos de texto libre". BMC Informática Médica y Toma de Decisiones . 8 : 32. doi : 10.1186/1472-6947-8-32 . PMC 2526997 . PMID  18652655. 
12. Ishna Neamatullah (5 de septiembre de 2006). "11 Desidentificación automatizada de registros médicos de texto libre" (PDF) . FisioNet . Consultado el 4 de enero de 2024 .
13. Delegador, L; et al. (2014). "Preparación de un corpus estándar de oro anotado para compartir con investigadores externos para la investigación de desidentificación". J Biomed Informar . 50 : 173–183. doi :10.1016/j.jbi.2014.01.014. PMC 4125487 . PMID  24556292. 
14. "¿Qué significa protección de datos 'por diseño' y 'por defecto'?". Comisión Europea . Consultado el 22 de enero de 2023 .
15. Vijayan, Jaikumar (15 de marzo de 2004). "Barra lateral: el efecto mosaico". Mundo de la informática . Consultado el 26 de enero de 2021 .