[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/18\/seudonimizacion-de-datos\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/18\/seudonimizacion-de-datos\/","headline":"La Seudonimizaci\u00f3n de los datos y su importancia en el nuevo RGPD","name":"La Seudonimizaci\u00f3n de los datos y su importancia en el nuevo RGPD","description":"El RGPD introdujo la seudonimizaci\u00f3n de datos personales como una t\u00e9cnica v\u00e1lida para la protecci\u00f3n de datos, pero \u00bfen qu\u00e9 consiste? \u2705","datePublished":"2020-11-18","dateModified":"2020-11-18","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/11\/seudonimizacion.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/11\/seudonimizacion.jpg","height":786,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/18\/seudonimizacion-de-datos\/","about":["LOPDGDD & RGPD"],"wordCount":1402,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Una de las novedades que se introdujo con la entrada en vigor del Reglamento de General de Protecci\u00f3n de Datos (RGPD), fue la seudonimizaci\u00f3n de datos; \u00bfpero en qu\u00e9 consiste esta t\u00e9cnica? \u00bfEs lo mismo que la anonimizaci\u00f3n de datos? En este art\u00edculo damos respuesta a estas preguntas y veremos los principales m\u00e9todos de seudonimizaci\u00f3n existentes.\u00bfQu\u00e9 es la seudonimizaci\u00f3n?\u00bfEs lo mismo seudonimizar que anonimizar?Las t\u00e9cnicas de seudonimizaci\u00f3n m\u00e1s habitualesCifrado con clave secretaFunci\u00f3n con clave almacenadaCifrado determinista o funci\u00f3n hash con clave de borrado de claveDescomposici\u00f3n en tokensLa importancia del seudonimizaci\u00f3n en el nuevo Reglamento de Protecci\u00f3n de DatosEjemplos de seudonimizaci\u00f3n de datosLos errores m\u00e1s frecuentes sobre seudonimizaci\u00f3n\u00bfQu\u00e9 es la seudonimizaci\u00f3n?La seudonimizaci\u00f3n es el tratamiento que se da a los datos personales para que estos no puedan atribuirse al interesado sin emplear informaci\u00f3n adicional. Es decir, se trata de cambiar la denominaci\u00f3n de los datos por seud\u00f3nimos, de manera que se reduzca la posibilidad de identificar directamente a los interesados a trav\u00e9s de estos datos, si no se cuenta con la informaci\u00f3n adicional que permita la identificaci\u00f3n.Por lo tanto, el significado de seudonimizar los datos es realizar el tratamiento de datos personales sin la posibilidad de poder identificar a los interesados, pero sin llegar a eliminar el v\u00ednculo entre los datos personales y los titulares. Por ejemplo, cambiar el nombre y apellidos del interesado por una clave num\u00e9rica. Solo quien posee la informaci\u00f3n adicional que establece el v\u00ednculo entre los datos personales y el interesado, puede llegar a identificar a la persona.El RGPD introdujo la seudonimizaci\u00f3n de datos personales como una forma m\u00e1s de proteger la privacidad de los interesados cuyos datos han sido recogidos para ser tratados.\u00bfEs lo mismo seudonimizar que anonimizar?No es lo mismo la seudonimizaci\u00f3n de datos que anonimizaci\u00f3n de datos. Cuando hablamos de anonimizar datos, eliminamos cualquier posibilidad de identificar al interesado a trav\u00e9s de esos datos, es decir, se produce al disociaci\u00f3n completa entre la identidad del interesados y los datos personales recogidos del mismo.O en otras palabras; mientras que la seudonimizaci\u00f3n permite, siempre que se cuenta con la informaci\u00f3n adicional, identificar a los interesados a trav\u00e9s de los datos personales, la animinizaci\u00f3n hace imposible esta identificaci\u00f3n.Las t\u00e9cnicas de seudonimizaci\u00f3n m\u00e1s habitualesLas t\u00e9cnicas de seudonimizaci\u00f3n m\u00e1s habituales vienen ya recogidas en el Dictamen 05\/2014 del Grupo de Trabajo sobre Protecci\u00f3n de Datos de Car\u00e1cter personal del art\u00edculo 29 y son las siguientes:Cifrado con clave secretaSe emplea una clave secreta para identificar a los interesados. Es decir, se emplea un clave secreta para cifrar el conjunto de datos, de manera que solo quien posee dicha clave puede descifrar (revertir) la base de datos e identificar a las personas f\u00edsicas a trav\u00e9s de los datos.Para asegurar la seguridad de la base de datos, se deben emplear sistemas de cifrados avanzados y controlar en todo momento qui\u00e9n tiene acceso a la clave de cifrado.Funci\u00f3n con clave almacenadaLa funci\u00f3n con clave almacenada es un tipo de funci\u00f3n hash que emplea una clave secreta como valor de entrada suplementario, de manera que para acceder a los datos, el responsable de tratamiento debe reproducir la ejecuci\u00f3n de la funci\u00f3n con el atributo y la clave secreta.Las funciones de hash son algoritmos que pueden crear a partir de una entrada de cualquier tipo (texto, archivo, contrase\u00f1a) una salida alfanum\u00e9rica de longitud fija, que representa un resumen de toda la informaci\u00f3n suministrada.Cifrado determinista o funci\u00f3n hash con clave de borrado de claveEsta t\u00e9cnica genera un n\u00famero aleatorio como seud\u00f3nimo de cada atributo de la base de datos (de cada dato personal) y despu\u00e9s borra la tabla de correspondencia. De esta manera se reduce el riesgo de vincular los datos personales del conjunto de datos y los datos personales relativos a la misma persona almacenados en otro conjunto de datos, donde el seud\u00f3nimo utilizado sea diferente.Descomposici\u00f3n en tokensLa descomposici\u00f3n de tokens se basa en las t\u00e9cnicas anteriores y consiste en aplicar mecanismos de cifrado unidireccionales o en asignar, mediante una funci\u00f3n de \u00edndice, un n\u00famero de secuencia o un n\u00famero generado aleatoriamente y que no derive matem\u00e1ticamente de los datos originales.Se emplea especialmente en el \u00e1mbito financiero, ya que cambia los n\u00fameros de identificaci\u00f3n de tarjetas por valores sin utilidad alguna, en caso de que alguien consiguiera acceder de manera fraudulenta a estos datos.La importancia del seudonimizaci\u00f3n en el nuevo Reglamento de Protecci\u00f3n de DatosSeg\u00fan el RGPD la seudonimizaci\u00f3n es \u00abaquella informaci\u00f3n que, sin incluir los datos denominativos de un sujeto, permiten identificarlo mediante informaci\u00f3n adicional, siempre que esta figure por separado y est\u00e9 sujeta a medidas t\u00e9cnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona f\u00edsica identificada o identificable\u00bb.Si bien el RGPD admite la seudonimizaci\u00f3n como una manera efectiva de proteger la privacidad de los datos, estos datos seudonimizados se consideran a\u00fan datos personales, con la potencialidad de poder identificar a los interesados mediante la informaci\u00f3n adicional que se genera para ellos, por lo que quedan cubiertos por el RGPD.Adem\u00e1s, el Reglamento hace hincapi\u00e9 en la importancia de la custodia de la informaci\u00f3n adicional con la que se puede establecer el v\u00ednculo entre los datos seudonimizados y los titulares de los mismos. Por lo tanto, los responsables del tratamiento deben tomar aquellas medidas adicionales necesarias para garantizar que la identificaci\u00f3n sea virtualmente imposible si no se cuenta con la informaci\u00f3n adicional que permitir revertir el proceso.Aunque la seudonimizaci\u00f3n de datos no es obligatoria, si es muy recomendable llevarla a cabo en determinadas \u00e1reas, especialmente aquellas relacionadas con datos de la salud o datos financieros.Ejemplos de seudonimizaci\u00f3n de datosVeamos algunos ejemplos de seudonimizaci\u00f3n de datos:Cambiar el nombre y apellido de los usuarios por un c\u00f3digo alfanum\u00e9rico que sirva como identificador.Cambiar el DNI de los clientes por un c\u00f3digo num\u00e9rico diferente.Cuando se recogen muestras biol\u00f3gicas, como el an\u00e1lisis de sangre, se identifican con un c\u00f3digo que sustituye al nombre y apellidos del paciente.Los errores m\u00e1s frecuentes sobre seudonimizaci\u00f3nAunque la seudonimizaci\u00f3n es una t\u00e9cnica muy utilizada, esto no la hace estar exentas de algunos errores recurrentes al ponerla en pr\u00e1ctica.El principal error que se suele cometer es considerar que un dato seudonimizado es igual que un dato anonimizado, cuando ya hemos visto la diferencia que existe entre ambos; el dato anonimizado jam\u00e1s nos podr\u00e1 conducir a la identidad del interesado, mientras que el dato seudonimizado hace virtualmente posible llegar a identificar al interesado.No es extra\u00f1o tampoco, por ahorrar tiempo y hacer las cosas m\u00e1s r\u00e1pido, emplear una misma clave de cifrado para diferentes bases de datos, lo que acarrea el riesgo de aumentar la posibilidad de vincular entre unos datos personales y otros, hasta el punto de facilitar la identificaci\u00f3n de los interesados. Adem\u00e1s, otro riesgo inherente a esto es que si la clave cae en manos inadecuadas, esa persona tendr\u00eda acceso a todos los datos almacenados.Tambi\u00e9n es un error habitual que la clave de cifrado se guarde junto a los datos seudonimizados, lo que implica el riesgo de que en caso de un ataque, se pueda conseguir de forma \u00absencilla\u00bb esta clave y acabar accediendo a los datos originales. Por ello, nunca deben guardarse las claves de cifrado junto a las bases de datos que pueden descifrar.En conclusi\u00f3n, la seudonimizaci\u00f3n de datos personales dificulta la identificaci\u00f3n directa de las personas, pero no elimina esta posibilidad y como tal, es objeto de protecci\u00f3n dentro del RGPD. Adem\u00e1s, obliga a los responsables del tratamiento a tomar las medidas de seguridad adicionales necesarias para garantizar la privacidad de los interesados."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/18\/seudonimizacion-de-datos\/#breadcrumbitem","name":"La Seudonimizaci\u00f3n de los datos y su importancia en el nuevo RGPD"}}]}]