Los procesos de anonimización y de disociación reversible de datos personales, aplicables por las empresas, se diferencian en el carácter reversible,  o no, de la información que permite identificar a una persona.

El Reglamento General de Protección de Datos (RGPD), aplicable a partir del 25 de mayo de 2018, define en su art. 4.1. los datos personales como

“toda información sobre una persona física identificada o identificable («el interesado»);

Asimismo, considera persona física identificable

«toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Para garantizar la privacidad de los datos personales  las empresas pueden adoptar los procedimientos de anonimización y disociación reversible.

• La anonimización de datos, tal como comentábamos en un anterior post, es un proceso de delimitación y supresión de aquella información que permita identificar a una persona. La finalidad de este proceso es el de eliminar de forma irreversible y permanente cualquier posibilidad de identificación de dicho individuo.
• En cambio, aunque la disociación reversible también consiste en modificar la información para que no se pueda identificar a una persona, al ser reversible, se puede volver a modificar la información al punto inicial de modo que sí se pueda identificar a un usuario.

Así pues, una diferencia esencial entre ambos procedimientos es precisamente que la disociación reversible no es definitiva ni permanente. Es precisamente el hecho de que se pueda identificar o no a un usuario con la información tratada lo que condiciona si dicha información estará sujeta, o no, al RGPD.

El artículo 1.1 del RGPD estipula que el “Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales”, por lo que si una información está anonimizada, no estará sujeta al Reglamento, puesto que los datos tratados no permitirán identificar a una persona y, por consiguiente, no serán considerados datos personales.  Por el contrario, con los datos disasociados reversibles, sí que se puede llegar a identificar a una persona, por lo que se podría utilizar como una medida adicional para proteger los datos de los interesados pero no eximiría a una empresa de estar sujeta al Reglamento.

La propia AEPD en su informe 0283/2008 establece que “será suficiente la mera posibilidad, incluso remota, de que, mediante la utilización, con carácter previo, coetáneo o posterior de cualquier medio (proceso informático, programa, herramienta del sistema, etc), la información concerniente a los titulares de los datos, pueda revelar la identidad de los mismos, para que quede plenamente sometida a la Ley Orgánica de Protección de Datos”. Se puede deducir de este informe que el mismo principio se aplicará al RGPD.

Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.