Entradas

El riesgo de reidentificación en la anonimización de los datos personales

El RGPD determina en su Considerando 26 que los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el Interesado no sea identificable, o deje de serlo. Es decir, que la normativa de protección de datos no sería aplicable ni a la información que sea anónima ni a los datos personales que se hayan convertido en anónimos.

Cada vez es más frecuente la necesidad y uso de datos abiertos (geográficos, medioambientales, meteorológicos, de movilidad, cartográficos, geoespaciales, comerciales, legales, sociales, demográficos, económicos, estadísticos, financieros, etc.) para intentar dar respuesta a los grandes retos que la evolución de la sociedad actual nos plantea y generar beneficios tanto para el sector público como el privado que redunden en mejores servicios para los ciudadanos.

Un claro ejemplo, por desgracia, que demuestra la necesidad, cada vez mayor, del Open Data; ha sido el seguimiento, estudio y evolución de la pandemia mundial por la Covid-19 y los distintos conjuntos de datos publicados por las diferentes administraciones.

A pesar de los indudables beneficios, la publicación de cualesquiera de estos conjuntos de datos y su posterior utilización pueden llegar a afectar a la privacidad de los individuos y al derecho fundamental a la protección de los datos personales. Por ello, resulta frecuente que, dependiendo del proyecto en particular, se proceda a una “anonimización” bien de los datos en origen bien del conjunto de datos a publicar. 

Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales que si está sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga  a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, ser objeto de una evaluación de impacto (art. 35 RGPD). Resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen).

En este sentido, el reciente Dictamen (CNS 12/2021) emitido por la Autoridad Catalana de Protección de Datos (APDCAT), ante la consulta de una fundación del sector público, en relación con el desarrollo de un modelo matemático para la prevención de epidemias y pandemias sin generar riesgos para la privacidad de las personas físicas; realiza un detallado examen de la calidad de la anonimización de los datos en origen (por parte delas entidades responsables-) y evalúa los posibles riesgos de una eventual reidentifación de las personas físicas. 

Resulta interesante el análisis que la APDCAT realiza respecto a los Datos del Programa público de analítica de datos para la investigación y la innovación en salud (“padrino”), gestionado por la Agencia de calidad y Evaluación Sanitarias de Cataluña (Aqua); los Datos de la movilidad en España durante el periodo de pandemia por la Covid-19,publicadas por el Ministerio de Transportes, Movilidad y Agenda Urbana (MITMA); y losDatos abiertos del Instituto Nacional de Estadística (INE). En los dos primeros conjuntos de datos (datos de salud y datos de movilidad), exceptuando los datos del socioeconómicos del INE, y a la vista de la información aportada, la APDCAT concluye que no hay garantías suficientes de que la información se ofrezca con niveles de agregación suficientemente amplios.

En el caso de los datos de movilidad, a pesar de ser publicados por el MITMA cuando hay más de 1.000 viajes entre dos áreas (origen y destino), no existe, a juicio de la APDCAT, ningún mecanismo o medida que garantice que dichos datos se ofrecerán en abierto siempre y cuando entre dos áreas haya un número de viajes suficientemente grande que impida la reidentificación de una persona al correlacionar dichos datos con otro conjunto de datos. Y en el caso de los datos de salud, tampoco existen, en opinión de la APDCAT, suficientes garantías de que las agregaciones de datos (especialmente el dato de “número de hospitalizaciones” en relación con otros como “primera PCR positiva”, “media de días hospitalizados”, “rango de edad”, etc.) no se llevan a cabo sobre grupos pequeños de individuos, impidiendo la identificación.

En cualquier caso, y sin entrar en otras consideraciones que excederían con mucho del objeto y propósito de este post, la APDCAT incide en dos cuestiones, a mi juicio fundamentales, no solo para el caso objeto de la consulta sino extrapolables a cualquier proyecto que implique anonimización de datos: Por un lado, la aplicación del principio de minimización de datos del art. 5.1.c) RGPD, especialmente en los caso de “anonimización”; y por otro, buscar o utilizar el máximo nivel de agregación y ante muestra extremadamente reducidas de individuos, enmascarar dichos datos o, incluso, eliminarlos.

Además, como garantías adicionales a tener en cuenta, y extrapolables, en mi opinión, a cualquier otro supuesto, más allá del caso concreto, la propia APDCAT hace mención a determinados compromisos entre los diversos participantes en el proyecto como la confidencialidad, mantener la anonimización, vinculación de la información exclusivamente al proyecto concreto, comunicarse cualquier sospecha de posible reidentificación y determinar un plazo máximo de conservación de los datos.

En definitiva, la APCAT señala que en relación con los procesos de anonimización “(…) no se puede descartar que a partir del cruce de los datosanonimizados a que se refiere la consulta (…) se pudiera acabar identificando personas concretas, por lo que hay que medir, evaluar y gestionar este riesgo de reidentificación adoptando las medidasadecuadas (…) para reducir la probabilidad de reidentificación (…)”.

Sin duda alguna, en mi opinión, uno de los grandes retos para los abogados digitales, vendrá representado por el asesoramiento y ayuda en esos procesos de “anonimización” para poder aportar soluciones y que se adopten las medidas adecuadas que permitan una mitigación, control y supervisión de los riegos de reidentificación; y que a la vez permita disfrutar y beneficiarnos como sociedad de los indudables beneficios del uso y explotación de los datos abiertos, respetando la privacidad de los ciudadanos.

Óscar A. Sánchez
Delegado de Protección de Datos en Abertis Autopistas y Vocal de ENATIC.


Más información: