Recomendaciones de la AEPD para empresas que manejan datos anonimizados

  • Normativa

El tratamiento masivo de datos que realizan muchas empresas mediante el uso de técnicas basadas en big data o inteligencia artificial obliga a garantizar que se preserva la privacidad y el derecho a la protección de datos personales, entre ellas las basadas en la anonimización. La AEPD ha publicado un documento para que puedan asegurarse de que no hay riesgos de reidentificación del usuario.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica llamada La K-Anonimidad como medida de la privacidad,  un documento orientado a organizaciones que aborden procesos de anonimización sobre conjuntos de datos. Con esta nota, pretende mostrar cuáles son los límites en la efectividad dichos procesos, hasta qué punto la información está realmente anonimizada y cómo se puede gestionar el riesgo de reidentificación.

El tratamiento masivo de datos mediante el uso de técnicas basadas en big data, inteligencia artificial o machine learning obliga a la implementación de garantías o mecanismos para preservar la privacidad y el derecho a la protección de datos personales, entre ellas las basadas en la anonimización. “En una realidad en la que las fuentes de las que proceden los datos, pese a ser independientes, se interconectan, existe la posibilidad de crear un rastro electrónico de las personas, incluso habiendo eliminado los datos que explícitamente les identifican”, explica la autoridad de protección de datos.

Por tanto, aunque el objetivo de los procesos de anonimización es preservar la privacidad de las personas cuyos datos son objeto de tratamiento, los datos, convenientemente agrupados y cruzados con otras fuentes de información, pueden utilizarse para identificarlas e incluso establecer relaciones con categorías especiales de datos asociadas a éstas.

Por tanto, las empresas tienen que gestionar adecuadamente ese riesgo. En este punto, la nota técnica analiza la K-anonimidad, una técnica utilizada cuando se tratan grandes grupos de datos y que, entre otros aspectos, permite estudiar el grado de identificación que podría existir en ese conjunto de datos supuestamente anónimo. En consecuencia, “permite cuantificar hasta qué punto se preserva el anonimato de los sujetos presentes en un conjunto de datos en el que se han eliminado los identificadores”, explica la agencia.

En aplicación del principio de responsabilidad proactiva establecido en el Reglamento General de Protección de Datos (RGPD), la Agencia recuerda que el responsable debe analizar los riesgos en los tratamientos de datos, en este caso, los de reidentificación derivado de sus procesos de anonimización, y los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. Las medidas de Privacidad por Defecto y desde el Diseño seleccionadas deben implementarse mediante procesos formales que permitan la gestión de dichos riesgos.