Els processos d’anonimització i de dissolució reversible de dades personals, aplicables per les empreses, es diferencien en el caràcter reversible, o no, de la informació que permet identificar una persona

El Reglament General de Protecció de Dades (RGPD), aplicable a partir del 25 de maig de 2018, defineix, en el seu art. 4.1., les dades personals com:

“Tota informació sobre una persona física identificada o identificable («l’interessat »);

Tanmateix considera persona física identificable

“Tota persona la identitat pugui determinar, directament o indirectament, en particular mitjançant un identificador, com ara un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona “.

Per garantir la privacitat de les dades personals les empreses poden adoptar els procediments d’anonimització i dissociació reversible.

• La anonimització de dades és un procés de delimitació i supressió d’aquella informació que permeti identificar una persona. La finalitat d’aquest procés és el d’eliminar de forma irreversible i permanent qualsevol possibilitat d’identificació d’una persona.
• En canvi, tot i que la dissociació reversible també consisteix a modificar la informació perquè no es pugui identificar una persona, en ser reversible, es pot tornar a modificar la informació al punt inicial de manera que si es pugui identificar a un usuari.

Així doncs, una diferència essencial entre els dos procediments és, precisament, que la dissociació reversible no és definitiva, ni permanent. És, precisament, el fet que es pugui identificar o no a un usuari amb la informació tractada el que condiciona si aquesta informació estarà subjecta, o no, al RGPD.

L’article 1.1 del RGPD estipula que el “Reglament estableix les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals”, de manera que si una informació està anonimitzada, no estarà subjecta al Reglament, ja que les dades tractades no permetran identificar una persona i, per tant, no seran considerades dades personals. Per contra, amb les dades dissociades reversibles, sí que es pot arribar a identificar una persona, de manera que es podria utilitzar com una mesura addicional per protegir les dades dels interessats però no eximiria a una empresa d’estar subjecta al Reglament.

La pròpia AEPD en el seu informe 0283/2008 estableix que “serà suficient la mera possibilitat, fins i tot remota, que, mitjançant la utilització, amb caràcter previ, coetani o posterior de qualsevol mitjà (procés informàtic, programa, eina del sistema, etc) , la informació concernent als titulars de les dades, pugui revelar la identitat dels mateixos, perquè quedi plenament sotmesa a la Llei Orgànica de Protecció de dades “. Es pot deduir d’aquest informe que el mateix principi s’aplicarà al RGPD.

Campos Catafal porta assessorant i representant a emprenedors, autònoms i empreses des de 1983. Recordeu que el present article és informatiu i no substitueix l’assessorament legal d’un advocat. Si vol el nostre assessorament professional sobre aquest tema, contacti amb nosaltres.