Procés d’anonimització: malentesos


Anonimitzar i pseudonimitzar són paraules que semblen a simple vista sinònimes, encara que el cert és que no és així. L’Agència Espanyola de Protecció de Dades va elaborar una guia referent a l’anonimització de les dades i, posteriorment, ha indicat els 10 malentesos més comuns que poden donar-se al voltant d’aquests conceptes.

El primer que hem de preguntar-nos és, què és l’anonimització?

L’anonimització és un procés a través del qual les dades es tornen anònimes, i en el cas de la pseudonimització les dades podrien ser atribuïbles a una persona, tot i que per arribar a identificar-la necessitarem informació addicional. La diferència essencial entre ells és que en el cas de l’anonimització mai podrem saber a qui pertanyen aquestes dades. 

Les dades anònimes no fan referència a persones que puguin ser identificades o identificables. Ara bé, no per això totes les dades poden ser anonimitzades. En funció de la categoria o naturalesa de les dades, podria ser que anonimitzant-les no fos suficient. Per exemple, si una empresa té com a treballadors a tres dones i un home, per molt que eliminem els noms del personal, si hi hagués alguna referencia al gènere dels empleats, podríem arribar a saber que certa informació és relativa a aquest empleat.

Hem de tenir en compte que les dades personals tenen valor per sí mateixes, sobre tot per als interessats, però també per a tercers. És per això que hem de tractar-les amb extrema cautela, perquè una pèrdua, o reidentificació a través d’unes dades anonimitzades podria tenir greus repercussions en allò relatiu als drets i llibertats dels interessats. 

Si xifrem les dades, aquestes són anònimes?

La resposta és no. El que duu a terme el procés de xifrat és evitar que un tercer pugui accedir a la informació. En el cas de què un tercer obtingués la clau per a desxifrar les dades, podria consultar les dades, i podria accedir a les dades personals contingudes a l’arxiu xifrat. 

Quant temps puc anonimitzar les dades?

Podríem creure que una vegada anonimitzem les dades, aquestes queden anonimitzades per sempre. La tecnologia avança a passos de gegant per la qual cosa, el que avui pot ser una mesura que garanteixi l’anonimització de les dades, en un futur podria no ser-ho. Per exemple, en un futur, els ordinadors quàntics podrien suposar un gran avanç quant a computació, però també podria ser una arma per a aquells que pretenen fer-se amb les nostres dades.

La tecnologia avança, i cada vegada pot haver més perills associats a ella. És per això que hem d’anar actualitzant periòdicament l’estat de la nostra empresa en el referent a la protecció de dades i ciberseguretat, tal i com indica el RGPD.

Podem assegurar al 100 % que si anonimitzem dades no es podran reidentificar?

Mai podem assegurar quelcom al 100 %, i menys en un ambient tan canviant com el que tenim ara. El que sí podem aconseguir anonimitzant les dades és que es redueixin significativament les possibilitats de què ens identifiquin a partir d’una sèrie de dades. El que també podem fer és avaluar el risc de reidentificació, per a poder gestionar-lo i controlar-lo al llarg del temps, mesurant així el grau de risc que tenim de què ens reidentifiquin a través d’aquestes dades.

Sempre hem de tenir en compte que pot haver un risc residual de reidentificació, i, per tant, acceptat per l’empresa.

Puc usar alguna eina per anonimitzar les dades?

Sempre és possible valer-se de les noves tecnologies per a dur a terme aquest tipus de processos, però sempre necessitarem del consell d’un expert en la matèria, per a poder aplicar les mesures tècniques necessàries i reduir els riscos que es poden derivar d’aquest procés. 

A més, si comptem amb aquest expert podrem evitar que en el procés d’anonimitzar les dades aquestes quedin inservibles.

Avui en dia comptem amb varis softwares tant de pagament com open source que permeten anonimitzar les dades.

He de seguir processos que hagin usat altres organitzacions, per anonimitzar les meves dades?

La complexitat d’aquests processos fa aconsellable que cada empresa o organització elabori el seu propi pla de contingència i de seguretat, on s’integri l’anonimització, i sempre tenint en compte l’estat de la tècnica, la naturalesa, l’abast, el context i els fins del tractament. Per això, hauran d’avaluar-se els riscos inherents a les dades, calculant la probabilitat de què puguin ocórrer i l’impacte que podria tenir a l’empresa aquesta bretxa de seguretat. 

Ja sabeu que, si necessiteu ampliar informació o us sorgeix qualsevol dubte al respecte, estem a la vostra disposició.

L’equip de Pymelegal