Pseudonimización

Método para ocultar datos personales en bases de datos

La seudonimización es un procedimiento de gestión y desidentificación de datos mediante el cual los campos de información personalmente identificable dentro de un registro de datos se reemplazan por uno o más identificadores artificiales o seudónimos . ^[1] Un solo seudónimo para cada campo reemplazado o conjunto de campos reemplazados hace que el registro de datos sea menos identificable y al mismo tiempo siga siendo adecuado para el análisis y el procesamiento de datos .

La seudonimización (o pseudonimización, la ortografía según las directrices europeas) es una forma de cumplir con las exigencias del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea en materia de almacenamiento seguro de información personal. ^[2] Los datos seudonimizados se pueden restaurar a su estado original con la adición de información que permita volver a identificar a las personas. Por el contrario, la anonimización tiene por objeto evitar la reidentificación de las personas dentro del conjunto de datos. La cláusula 18, módulo cuatro, nota a pie de página 2 de la Adopción por la Comisión Europea de las Decisiones de Ejecución (UE) 2021/914 “exige que los datos se vuelvan anónimos de tal manera que la persona ya no sea identificable por nadie... y que este proceso sea irreversible”. ^[3]

Impacto de la sentencia Schrems II

El 9 de diciembre de 2021, el Supervisor Europeo de Protección de Datos (SEPD) destacó la seudonimización como la principal medida técnica complementaria para el cumplimiento de la sentencia Schrems II. ^[4] Menos de dos semanas después, la Comisión Europea destacó la seudonimización como un elemento esencial de la decisión de equivalencia para Corea del Sur, que es el estatus que Estados Unidos perdió en virtud de la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE). ^[5]

La importancia de la seudonimización conforme al RGPD aumentó drásticamente en junio de 2021, cuando el Comité Europeo de Protección de Datos (CEPD) y la Comisión Europea destacaron la seudonimización conforme al RGPD como la medida técnica complementaria de última generación para el uso legal continuo de datos personales de la UE cuando se utilizan procesadores en la nube o proveedores de servicios remotos de terceros países (es decir, no pertenecientes a la UE) en virtud de la sentencia "Schrems II" del TJUE. ^[6] Según el RGPD y la Guía final Schrems II del CEPD, ^[7] el término seudonimización requiere un nuevo "estado" protegido de los datos, que produce un resultado protegido que:

(1) Protege los identificadores directos, indirectos y cuasi-identificadores, junto con las características y comportamientos;

(2) Protege a nivel de registro y conjunto de datos, en lugar de solo a nivel de campo, de modo que la protección llega a dondequiera que vayan los datos, incluso cuando están en uso; y

(3) Protege contra la reidentificación no autorizada a través del efecto mosaico al generar altos niveles de entropía (incertidumbre) mediante la asignación dinámica de diferentes tokens en diferentes momentos para diversos propósitos.

La combinación de estas protecciones es necesaria para evitar la reidentificación de los interesados ​​sin el uso de información adicional guardada por separado, como lo exige el artículo 4(5) del RGPD y como se destaca además en el párrafo 85(4) de la guía final del CEPD Schrems II:

• El artículo 4(5) “Definiciones” del RGPD define la seudonimización como “el tratamiento de datos personales de tal manera que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”. ^[8]
• Caso de uso 2: Transferencia de datos seudonimizados El párrafo 85(4) de la Guía final Schrems II del CEPD exige que “el responsable del tratamiento haya establecido mediante un análisis exhaustivo de los datos en cuestión –teniendo en cuenta cualquier información que se pueda esperar que posean y utilicen las autoridades públicas del país receptor– que los datos personales seudonimizados no pueden atribuirse a una persona física identificada o identificable, incluso si se cotejan con dicha información”. ^[7]

La seudonimización conforme al RGPD exige que los datos sean “anónimos” en el sentido más estricto de la palabra en la UE (anónimos a nivel mundial), excepto la información adicional que se conserva por separado y se pone a disposición en condiciones controladas, tal y como autorice el responsable del tratamiento de datos, para la reidentificación permitida de los interesados ​​individuales. La cláusula 18, módulo cuatro, nota a pie de página 2 de la Adopción por la Comisión Europea de la Decisión de Ejecución (UE) 2021/914 “exige que los datos se vuelvan anónimos de tal manera que la persona ya no sea identificable por nadie, de conformidad con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible”. ^[3]

Antes de la sentencia Schrems II, la seudonimización era una técnica utilizada por expertos en seguridad o funcionarios gubernamentales para ocultar información personal identificable con el fin de mantener la estructura de datos y la privacidad de la información . Algunos ejemplos comunes de información confidencial incluyen el código postal, la ubicación de las personas, los nombres de las personas, la raza y el género, etc.

Después de la sentencia Schrems II, la seudonimización conforme al RGPD debe satisfacer los elementos mencionados anteriormente como un "resultado" y no como una mera técnica.

Campos de datos

La elección de los campos de datos que se van a seudonimizar es en parte subjetiva. A menudo también se incluyen campos menos selectivos, como la fecha de nacimiento o el código postal, porque suelen estar disponibles en otras fuentes y, por lo tanto, hacen que un registro sea más fácil de identificar. La seudonimización de estos campos menos identificativos elimina la mayor parte de su valor analítico y, por lo tanto, suele ir acompañada de la introducción de nuevas formas derivadas y menos identificativas, como el año de nacimiento o una región de código postal más grande .

Los campos de datos que son menos identificables, como la fecha de asistencia, normalmente no se seudonimizan. Esto se debe a que se pierde demasiada utilidad estadística al hacerlo, no a que los datos no se puedan identificar. Por ejemplo, dado el conocimiento previo de algunas fechas de asistencia, es fácil identificar los datos de alguien en un conjunto de datos seudonimizados seleccionando solo a aquellas personas con ese patrón de fechas. Este es un ejemplo de un ataque de inferencia .

La debilidad de los datos seudonimizados anteriores al RGPD frente a los ataques de inferencia suele pasarse por alto. Un ejemplo famoso es el escándalo de los datos de búsqueda de AOL . El ejemplo de AOL de reidentificación no autorizada no requería acceso a “información adicional” guardada por separado que estaba bajo el control del responsable del tratamiento de datos, como se requiere ahora para la seudonimización conforme al RGPD, que se describe a continuación en la sección “Nueva definición de seudonimización según el RGPD”.

Para proteger datos seudonimizados estadísticamente útiles de la reidentificación es necesario:

1. Una base sólida de seguridad de la información
2. controlar el riesgo de que los analistas, investigadores u otros trabajadores de datos provoquen una violación de la privacidad

El seudónimo permite rastrear los datos hasta sus orígenes, lo que distingue la seudonimización de la anonimización ^[9] , en la que se eliminan todos los datos relacionados con la persona que podrían permitir rastrearlos. La seudonimización es un problema, por ejemplo, en los datos relacionados con los pacientes que deben transmitirse de forma segura entre centros clínicos.

La aplicación de la seudonimización a la salud electrónica pretende preservar la privacidad del paciente y la confidencialidad de los datos . Permite el uso primario de los registros médicos por parte de proveedores de atención médica autorizados y el uso secundario que preserva la privacidad por parte de los investigadores. ^[10] En los EE. UU., la HIPAA proporciona pautas sobre cómo deben manejarse los datos de atención médica y la desidentificación o seudonimización de datos es una forma de simplificar el cumplimiento de la HIPAA ^{[ cita requerida ]} . Sin embargo, la seudonimización simple para la preservación de la privacidad a menudo alcanza sus límites cuando se trata de datos genéticos (ver también privacidad genética ). Debido a la naturaleza identificativa de los datos genéticos, la despersonalización a menudo no es suficiente para ocultar a la persona correspondiente. Las posibles soluciones son la combinación de seudonimización con fragmentación y cifrado .

Un ejemplo de aplicación del procedimiento de seudonimización es la creación de conjuntos de datos para la investigación de desidentificación mediante la sustitución de palabras de identificación por palabras de la misma categoría (por ejemplo, sustituir un nombre por un nombre aleatorio del diccionario de nombres), ^{[11] [12] [13]} sin embargo, en este caso, en general, no es posible rastrear los datos hasta sus orígenes.

Nueva definición de seudonimización según el RGPD

El Reglamento General de Protección de Datos (RGPD) de la UE, vigente desde el 25 de mayo de 2018, define la seudonimización por primera vez a nivel de la UE en el artículo 4(5). Según los requisitos de definición del artículo 4(5), los datos se consideran seudonimizados si no pueden atribuirse a un interesado específico sin el uso de "información adicional" conservada por separado. Los datos seudonimizados representan el estado del arte en materia de protección de datos por diseño y por defecto ^[14], ya que requieren la protección de identificadores tanto directos como indirectos (no solo directos). Los principios de protección de datos por diseño y por defecto del RGPD, plasmados en la seudonimización, requieren la protección de identificadores tanto directos como indirectos, de modo que los datos personales no puedan ser referenciados de forma cruzada (o reidentificados) a través del "efecto mosaico" ^[15] sin acceso a "información adicional" que el responsable del tratamiento conserva por separado. Dado que el acceso a "información adicional" conservada por separado es necesario para la reidentificación, el responsable del tratamiento puede limitar la atribución de datos a un interesado específico para respaldar únicamente fines lícitos.

El artículo 25(1) del RGPD identifica la seudonimización como una “ medida técnica y organizativa apropiada ” y el artículo 25(2) requiere que los responsables del tratamiento:

“…aplicar medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se traten los datos personales que sean necesarios para cada fin específico del tratamiento. Esta obligación se aplica a la cantidad de datos personales recogidos, al alcance de su tratamiento, al plazo de su conservación y a su accesibilidad. En particular, dichas medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del interesado a un número indefinido de personas físicas.”

Un elemento central de la protección de datos por diseño y por defecto en virtud del artículo 25 del RGPD es la aplicación de controles tecnológicos que respalden los usos adecuados y la capacidad de demostrar que, de hecho, se pueden cumplir las promesas. Las tecnologías como la seudonimización que aplican la protección de datos por diseño y por defecto muestran a los titulares de los datos individuales que, además de idear nuevas formas de obtener valor de los datos, las organizaciones están adoptando enfoques técnicos igualmente innovadores para proteger la privacidad de los datos, un tema especialmente delicado y de actualidad dada la epidemia de violaciones de la seguridad de los datos en todo el mundo.

Las áreas de actividad económica dinámicas y en crecimiento (la “economía de la confianza”, la investigación en ciencias de la vida, la medicina y la educación personalizadas, la Internet de las cosas, la personalización de bienes y servicios) se basan en la confianza de las personas en que sus datos son privados, están protegidos y se utilizan solo para fines apropiados que les aportan el máximo valor a ellas y a la sociedad. Esta confianza no se puede mantener utilizando enfoques obsoletos de protección de datos. La seudonimización, tal como se define recientemente en el RGPD, es un medio para ayudar a lograr la protección de datos por diseño y por defecto para ganar y mantener la confianza y servir de manera más eficaz a las empresas, los investigadores, los proveedores de atención médica y todos los que dependen de la integridad de los datos.

La seudonimización conforme al RGPD no solo permite un uso más respetuoso de la privacidad de los datos en el actual mundo de " big data " de intercambio y combinación de datos, sino que también permite a los controladores y procesadores de datos obtener beneficios explícitos bajo el RGPD para los datos seudonimizados correctamente. Los beneficios de los datos seudonimizados correctamente se destacan en varios artículos del RGPD, incluidos:

• Artículo 6(4) como salvaguardia para ayudar a garantizar la compatibilidad del nuevo tratamiento de datos.
• Artículo 25 como medida técnica y organizativa para ayudar a hacer cumplir los principios de minimización de datos y el cumplimiento de las obligaciones de Protección de Datos desde el Diseño y por Defecto.
• Los artículos 32, 33 y 34 como medida de seguridad que contribuye a hacer que las violaciones de datos “no resulten en un riesgo para los derechos y libertades de las personas físicas”, reduciendo así la responsabilidad y las obligaciones de notificación por violaciones de datos.
• Artículo 89(1) como salvaguardia en relación con el procesamiento con fines de archivo en interés público; fines de investigación científica o histórica; o fines estadísticos; además, los beneficios de la seudonimización en virtud del artículo 89(1) también proporcionan una mayor flexibilidad en virtud de:
  1. Artículo 5(1)(b) en lo que respecta a la limitación de la finalidad;
  2. Artículo 5(1)(e) en lo que respecta a la limitación del almacenamiento; y
  3. Artículo 9(2)(j) en relación con la superación de la prohibición general de tratamiento de categorías especiales de datos personales del artículo 9(1).
• Además, en el Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 se reconoce que los datos seudonimizados correctamente desempeñan “…un papel en relación con la evaluación del impacto potencial del procesamiento en el interesado... inclinando la balanza a favor del responsable” para ayudar a respaldar el procesamiento basado en el interés legítimo como base legal según el Artículo 6(1)(f) del RGPD. Los beneficios del procesamiento de datos personales utilizando el interés legítimo habilitado mediante seudonimización como base legal según el RGPD incluyen, sin limitación:
  1. Según el artículo 17(1)(c), si un responsable del tratamiento de datos demuestra que “tiene motivos legítimos imperiosos para el tratamiento” respaldados por medidas técnicas y organizativas para satisfacer la prueba de equilibrio de intereses, tiene mayor flexibilidad para cumplir con las solicitudes del derecho al olvido.
  2. De conformidad con el artículo 18(1)(d), un responsable del tratamiento de datos tiene flexibilidad para cumplir con los reclamos para restringir el procesamiento de datos personales si puede demostrar que tiene medidas técnicas y organizativas establecidas para que los derechos del responsable del tratamiento de datos prevalezcan adecuadamente sobre los del titular de los datos porque los derechos de los titulares de los datos están protegidos.
  3. Según el artículo 20(1), los responsables del tratamiento de datos que utilizan el tratamiento basado en interés legítimo no están sujetos al derecho de portabilidad, que se aplica únicamente al tratamiento basado en el consentimiento.
  4. De conformidad con el artículo 21(1), un responsable del tratamiento de datos que utilice el tratamiento en base a un interés legítimo puede demostrar que cuenta con medidas técnicas y organizativas adecuadas para que los derechos del responsable del tratamiento de datos prevalezcan adecuadamente sobre los del titular de los datos porque los derechos de los titulares de los datos están protegidos; sin embargo, los titulares de los datos siempre tienen derecho, de conformidad con el artículo 21(3), a no recibir comunicaciones de marketing directo como resultado de dicho tratamiento.

Véase también

• Sistema de información clínica
• Enmascaramiento dinámico de datos
• Llamarada
• Privacidad

Referencias

1. "Reglamento General de Protección de Datos". 4(5).{{cite web}}: CS1 maint: location (link)
2. Skiera, Bernd (2022). El impacto del RGPD en el mercado de la publicidad online. Klaus Miller, Yuxi Jin, Lennart Kraft, René Laub, Julia Schmitt. Frankfurt am Main. ISBN 978-3-9824173-0-1.OCLC 1303894344  .{{cite book}}: CS1 maint: location missing publisher (link)
3. «Decisión de Ejecución (UE) 2021/914 de la Comisión». Diario Oficial de la Unión Europea . 7 de junio de 2021 . Consultado el 5 de enero de 2024 .
4. "Webinar IPEN 2021: Datos seudónimos: tratamiento de datos personales mitigando riesgos". Supervisor Europeo de Protección de Datos . 9 de diciembre de 2021 . Consultado el 4 de enero de 2024 .
5. «Decisión de Ejecución 2022/254 de la Comisión». Diario Oficial de la Unión Europea . 24 de febrero de 2022 . Consultado el 4 de enero de 2024 .
6. "Comunicado de prensa nº 91/20" (PDF) . Tribunal de Justicia de la Unión Europea . 16 de julio de 2020 . Consultado el 4 de enero de 2024 .
7. «Recomendaciones» (PDF) . Comité Europeo de Protección de Datos . 18 de junio de 2021 . Consultado el 5 de enero de 2024 .
8. "Definiciones del artículo 4 del RGPD". Intersoft Consulting. 25 de mayo de 2018. Consultado el 5 de enero de 2024 .
9. http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf Anonimato, invinculabilidad, indetectabilidad, inobservabilidad, seudonimia y gestión de identidad: una propuesta consolidada para la terminología
10. Neubauer, T; Heurix, J (marzo de 2011). "Una metodología para la seudonimización de datos médicos". Int J Med Inform . 80 (3): 190–204. doi :10.1016/j.ijmedinf.2010.10.016. PMID  21075676.
11. Neamatullah, Ishna; Douglass, Margaret M; Li-wei; Lehman, H; Reisner, Andrew; Villarroe, Mauricio; Long, William J; Szolovits, Peter; Moody, George B; Mark, Roger G; Clifford, Gari D (2008). "Desidentificación automática de registros médicos de texto libre". BMC Medical Informatics and Decision Making . 8 : 32. doi : 10.1186/1472-6947-8-32 . PMC 2526997 . PMID  18652655. 
12. Ishna Neamatullah (5 de septiembre de 2006). «11 Desidentificación automatizada de registros médicos de texto libre» (PDF) . PhysioNet . Consultado el 4 de enero de 2024 .
13. Deleger, L; et al. (2014). "Preparación de un corpus de referencia anotado para compartir con investigadores externos en el marco de la investigación de desidentificación". J Biomed Inform . 50 : 173–183. doi :10.1016/j.jbi.2014.01.014. PMC 4125487 . PMID  24556292. 
14. "¿Qué significa protección de datos 'desde el diseño' y 'por defecto'?". Comisión Europea . Consultado el 22 de enero de 2023 .
15. Vijayan, Jaikumar (15 de marzo de 2004). "Barra lateral: El efecto mosaico". Computerworld . Consultado el 26 de enero de 2021 .