La Agencia Española de Protección de Datos (en adelante AEPD) elaboró una traducción de la “Guía básica de anonimización” elaborada por la Autoridad Nacional de Protección de Datos de Singapur (Personal Data Protection Commission – PDPC). Este documento nos proporciona orientaciones sobre cómo realizar de forma adecuada la anonimización básica y la desidentificación de conjuntos de datos estructurados, textuales y no complejos.

El Reglamento General de Protección de Datos (en adelante, “RGPD”) establece, en su art. 32, medidas para garantizar un nivel adecuado al riesgo; la seudonimización y el cifrado de datos personales.  Es por ello que la anonimización y seudonimización permiten la protección de los datos personales de los interesados si se realiza de forma adecuada, siendo constitutiva de infracción muy grave “la reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados” (art. 72 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)

Para abordar el documento, es necesario partir de algunos conceptos básicos:

• Anonimización: proceso que consiste en la conversión de datos personales en datos personales que no se pueden utilizar para identificar a ningún individuo. La anonimización incluye tanto la aplicación de medidas técnicas de anonimización como salvaguardas para evitar la reidentificación.
• Desidentificación: se basa en la eliminación de identificadores (como: nombre, dirección o número de DNI) que identifican directamente a un individuo. En la Guía se incide en que se suele equiparar erróneamente a la anonimización. Sin embargo, es necesario clarificar que la desidentificación es solo el primer paso de la anonimización. Un conjunto de datos desidentificado puede volver a identificarse fácilmente.
• Reidentificación se refiere a la identificación de los particulares a partir de un conjunto de datos que previamente fue desidentificado o anonimizado.

Los datos anonimizados no se consideran datos personales y, por lo tanto, no les resulta de aplicación la normativa de protección de datos. En este sentido se establece el Considerando 26 del RGPD.

En la Guía se presentan cinco pasos para anonimizar los conjuntos de datos cuando sea apropiado.

Un registro de datos personales se compone de atributos de datos que tienen diversos grados de identificabilidad y sensibilidad a un individuo. Por ejemplo: los “identificadores directos” son atributos que son exclusivos de un individuo y se pueden usar como atributos de datos clave para volver a identificar al individuo.

Para desidentificar los datos, es necesario eliminar todos los identificadores directos (por ejemplo, los nombres). Opcionalmente, se puede asignar un seudónimo a cada registro si es necesario vincular el registro a un individuo único.

En el siguiente paso, se aplicarán técnicas de anonimización de los identificadores indirectos para que no se puedan combinar fácilmente con otros conjuntos de datos que puedan contener información adicional para volver a identificar a las personas.

Al abordar el paso 4, en la Guía se menciona el método k-anonimidad para calcular el nivel de riesgo de reidentificación de un conjunto de datos.

El modelo k-anonimidad se utiliza como vía antes de que se hayan aplicado técnicas de anonimización (por ejemplo, generalización), y para la verificación posterior, para garantizar que los identificadores indirectos de cualquier registro sean compartidos por al menos k-1 otros registros. Por lo tanto, no es posible vincular o señalar el registro de un individuo, ya que siempre hay k atributos idénticos. La Guía añade la siguiente nota respecto a la k-anonimidad:

“Siempre que sea posible, debe establecer un valor de k-anonimidad más alto (por ejemplo, 5 o más) para el intercambio de datos externos, mientras que se puede establecer un valor más bajo (por ejemplo, 3) para el intercambio de datos internos o la retención de datos a largo plazo.

Sin embargo, si no puede anonimizar sus datos para lograrlo, debe implementar medidas de seguridad más estrictas para garantizar que los datos anonimizados no se divulguen a partes no autorizadas y se mitiguen los riesgos de reidentificación.

Alternativamente, puede contratar a expertos para que proporcionen métodos de evaluación alternativos para lograr riesgos de reidentificación equivalentes.”

Por último, la Guía cuenta con un Anexo donde se incluye un catálogo de técnicas básicas de anonimización de datos:

• Seudonimización (o “codificación”): consiste en la sustitución de datos de identificación por valores inventados. Los seudónimos pueden ser irreversibles cuando los valores originales se eliminan correctamente y la seudonimización se realiza de una manera no repetible. Esta técnica se utiliza cuando los valores de los datos deben distinguirse de forma única y no se conserva ningún carácter o cualquier otra información implícita sobre los identificadores directos del atributo original.
• Supresión de registros: eliminación de un registro completo en un conjunto de datos. Esta técnica afecta a múltiples atributos al mismo tiempo. La eliminación debe ser permanente y no solo una función de “ocultar fila”.
• Enmascaramiento de caracteres: se refiere al cambio de los caracteres de un valor de datos. Puede realizarse mediante el uso de un símbolo (por ejemplo “*” o “x”). Esta técnica se suele utilizar cuando el valor de los datos es una cadena de caracteres y ocultar parte de ella es suficiente para proporcionar el grado de anonimato requerido.
• Generalización: se basa en la reducción deliberada de la precisión de los datos. Un ejemplo de esta técnica consistiría en convertir la edad de una persona en un rango de edad. Normalmente se utiliza esta técnica para supuestos en los que la generalización permite que la información resultante siga siendo útil para el propósito previsto.
• Intercambio: esta técnica –también conocida como barajado y permutación – consiste en reorganizar los datos en el conjunto de información de forma que los valores de los atributos individuales sigan representados en el conjunto de datos, pero generalmente no responden a los registros originales.
• Perturbación de datos: mediante esta técnica los valores del conjunto de datos original se modifican para que sean ligeramente diferentes. Se suele utilizar para identificadores indirectos (normalmente números y fechas), que pueden ser potencialmente identificables cuando se combinan con otras fuentes de datos, pero los cambios leves en el valor son aceptables para el atributo. Esta técnica no debe utilizarse cuando la precisión de los datos sea crucial.
• Agregación de datos: consiste en la conversión de un conjunto de datos de una lista de registros a valores resumidos. Se suele utilizar cuando no se requieren registros individuales y los datos agregados son suficientes para la finalidad.

Igualmente,  la AEPD en su web ofrece una herramienta gratuita de anonimización de datos para los usuarios en el siguiente enlace.