La anonimización es una técnica que se aplica sobre los datos personales para que no se pueda identificar a las personas reduciendo así los riesgos de tratamiento masivo de datos, pero este proceso no está exento de riesgos.

Muchas empresas utilizan técnicas de anonimización de datos para no tener que realizar un tratamiento de datos personales que las obligue a cumplir con la normativa establecida al respecto. Se trata de un proceso que les permite identificar y ocultar la información concerniente a los titulares de la misma y divulgarla sin vulnerar los derechos de protección de datos.

Si bien la anonimización es una estrategia de indudable valor, en especial en el tratamiento de gran volumen de datos, lo cierto es que no está exenta de riesgos y los responsables del tratamiento deben tomar en consideración que un conjunto de datos anonimizado puede implicar riesgos residuales para las personas titulares de los datos.

Existen distintas técnicas de anonimización con diferentes grados de solidez frente a los riesgos de identificabilidad de los datos tratados. En este ámbito, es importante tener en cuenta el Dictamen 05/2014 del Grupo de Trabajo del artículo 29, sobre técnicas de anonimización, en el que se identifican sus riesgos básicos y las técnicas más adecuadas para prevenir estos riesgos e impedir la reidentificación de datos:

 1-  Riesgos básicos para la anonimización:

• Singularización (Singling out): Es la posibilidad de aislar algunos o todos los datos que permiten identificar a un individuo en un conjunto, una vez realizada la anonimización.
• Vinculabilidad (Linkability): Es la capacidad de vincular, al menos, dos datos referentes al mismo interesado o grupo de interesados (en una misma base de datos o en dos bases de datos distintas).
• Inferencia (Inference): Es la posibilidad de deducir, con una probabilidad significativa, el valor de un atributo en un conjunto de atributos.

2- Técnicas de anonimización:

• Aleatorización: es un conjunto de técnicas que altera la veracidad de los datos con el fin de eliminar el vínculo entre los datos y el individuo. Si los datos son suficientemente inciertos entonces ya no se puede hacer referencia a un individuo específico.

Existen varias modalidades:

– Adicción del ruido: consiste en modificar los atributos en el conjunto de datos para que sean menos precisos, manteniendo la distribución general. De este modo, un observador supondrá que los valores son precisos, pero esto sólo será cierto hasta cierto punto. Bien aplicada, esta técnica permite que no se pueda identificar a un individuo así como reparar o detectar cómo se han modificado los datos.

– Permutación: Esta técnica, consiste en mezclar los valores de los atributos en una tabla para que algunos de ellos estén artificialmente vinculados a diferentes titulares de los datos. Esta modalidad es útil cuando es importante mantener la distribución exacta de cada atributo dentro del conjunto de datos.

– Privacidad diferencial: Se utiliza cuando el controlador de datos genera vistas anonimizadas de un conjunto de datos mientras conserva una copia de los datos originales. Estas vistas anonimizadas normalmente se generan a través de un subconjunto de consultas para un tercero en particular. Dicho subconjunto, incluye algo de ruido aleatorio agregado deliberadamente ex-post.

• La generalización: Consiste en generalizar o diluir los atributos de los interesados modificando la escala respectiva u orden de magnitud (una región en lugar de una ciudad, un mes en lugar de una semana).

Aunque este enfoque puede ser efectivo para prevenir el aislamiento, no permite la anonimización efectiva en todos los casos; en particular, requiere enfoques cuantitativos específicos y sofisticados para evitar la vinculación y la inferencia. Existen varias modalidades:

– Agregación y anonimato k (Aggregation y k-anonymity):  Con ella se pretende impedir que una personas sea  singularizada al agruparla con al menos un grupo k de personas. Para ello los valores de los atributos se generalizan de modo que cada individuo comparta el mismo valor.

– Diversidad l, proximidad t (L-diversity/T-closeness): Se añade complejidad a la técnica antes descrita, y se amplia el «k-anonymity»  asegurándose de que en cada clase de equivalencia, cada atributo tenga al menos l valores diferentes.

En difinitiva, en el proceso de anonimización, los responsables del tratamiento deben conocer bien las fotalezas y debilidades de cada técnica, y considerar bien las circunstancias  concretas para aplicar la técnica o combinación de técnicas, más adecuadas para garantizar la privacidad de datos y que no se pueda singularizar a una persona, ni vincular los registros ni información a ella relativos.

Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.