Seudonimización VS. Anonimización de datos personales

Comentario de Manuel Castilleja 27 de marzo de 2025

SEUDONIMIZACIÓN VS. ANONIMIZACIÓN DE DATOS PERSONALES

  1. SEUDONIMIZACIÓN

La seudonimización de datos personales es una medida técnica de seguridad apropiada para garantizar un nivel de seguridad adecuado al riesgo que pueda suponer un tratamiento de datos personales para los interesados, que es obligatoria para cualquier entidad, siempre que económica y técnicamente sea posible de adoptar y lo permita el tratamiento y los riesgos que el mismo implica (art. 32.1.a RGPD).

La seudonimización de datos personales la podríamos definir como el proceso por el que se reemplaza la información identificativa de los datos personales por un atributo o código no público, que impida reconstruir el identificador inicial y por tanto conocer el dato personal original, pero que de la misma forma y cuando sea necesario con información adicional se pueda revertir al dato personal original.

El art. 4.5) RGPD define la seudonimización como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

La seudonimización es por tanto un proceso reversible que, a quien disponga de la información adicional, le va a permitir vincular los datos seudonimizados con el titular de los mismos, por lo que resulta fundamental garantizar la custodia de la esa información adicional que permite la reversión al dato original y por tanto la atribución de los datos personales a una persona concreta (Cdo.29 RGPD).

Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable (Cdo. 26 RGPD), por tanto se consideran datos personales, por lo que les es de aplicación la normativa de protección de datos (RGPD y LOPDGDD).

  1. ANONIMIZACIÓN

La anonimización de datos personales la podríamos definir como el proceso por el que se produce una ruptura total de los datos personales con su información identificativa, para que no se puedan asociar de ninguna manera con la persona titular de los mismos, es decir, para que no se pueda asociar a una persona ni identificarla, por tanto un dato anonimizado en ningún caso es posible vincularlo a la persona a la que inicialmente identificaba.

El Cdo. 26 RGPD define como anónima la información que no guarda relación con una persona física identificada o identificable y los datos anónimos como aquellos que hacen que el interesado no sea identificable o deje de serlo.

La anonimización es por tanto un proceso irreversible y dado que los datos anónimos datos anónimos (los que obtenemos ya con este atributo) o anonimizados (los que obtenemos tras un proceso de anonimización) dejan de considerarse datos personales no le es de aplicación la normativa de protección de datos (RGPD y LOPDGDD) (Cdo.26 RGPD).

Aunque la anonimización efectiva permite excluir los datos anonimizados del ámbito del RGPD y la LOPDGDD, no existe una garantía absoluta de irreversibilidad debido a los avances en técnicas de reidentificación y la posibilidad de combinar datos anónimos con otras fuentes externas. Por ello, las organizaciones deben evaluar continuamente los riesgos y aplicar técnicas de anonimización avanzadas para minimizar la probabilidad de reidentificación. Además, la AEPD recomienda realizar análisis periódicos para verificar la efectividad de los procesos de anonimización.

  1. SEUDONIMIZACIÓN VS. ANONIMIZACIÓN

Por tanto, respecto a los dos puntos anteriores podríamos concluir que:

  • Los datos seudonimizados o seudónimos se pueden revertir al dato personal original, por lo tanto se consideran datos personales y les es de aplicación la normativa de protección de datos.
  • Los datos anonimizados o anónimos, “generalmente” no se pueden revertir al dato personal original, por lo tanto no se consideran datos personales y no les es de aplicación la normativa de protección de datos.
  1. VENTAJAS DE APLICAR MEDIDAS DE SEUDONIMIZACIÓN DE DATOS PERSONALES

Como indicábamos en el punto 1, el RGPD obliga, siempre que sea posible, a aplicar medidas técnicas que en su caso incluya la seudonimización de datos personales, y en cierto modo “incentiva” su uso estableciendo obligaciones “menos estrictas” para los responsables y encargados del tratamiento que adopten este tipo de medida de seguridad, de tal manera que les permitirá:

  • Tratar datos personales (junto con otros requisitos) con una finalidad distinta a la inicial, sin basar este tratamiento ulterior en el consentimiento del interesado o en una obligación legal (art. 6.4.e RGPD)
  • Aplicar de forma efectiva los principios del art. 5 RGPD y la protección de datos desde el diseño y por defecto (art. 25 RGPD).
  • Garantizar un nivel de seguridad adecuado al riesgo (art. 32.1.a RGPD).
  • En caso de producirse una brecha de seguridad de los datos personales, por ejemplo un ciberataque, impedirá al ciberdelincuente la reversión de los datos personales seudonimizados afectados a los datos originales, y al reducirse los riesgos para los interesados afectados (Cdo. 28 RGPD):
    • No habrá que comunicarla a los interesados afectados (art. 34.3.a RGPD).
    • Disminuyen las posibilidades de que la autoridad de control iniciara un procedimiento sancionador.
  • Constituir las garantías adecuadas (junto con otras medidas) que permitan un tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siempre que de esa forma puedan alcanzarse dichos fines (art. 89 RGPD).
  • Utilizar lícitamente datos personales con fines de investigación en salud y, en particular, biomédica, bajo unas condiciones específicas (disp. ad. 17 LOPDGDD).
  • Llevar a cabo transferencias internacionales de datos personales en base a las garantías adecuadas del artículo 46 RGPD, al estar incluida como medida técnica adicional dentro de la lista (no exhaustiva) del anexo 2 de las Recomendaciones 1/2020 del Comité Europeo de Protección de Datos (CEPD).

Guías, directrices y herramientas de autoridades de control relacionadas con la seudonimización y anonimización de datos personales

Normativa relacionada con la seudonimización y la anonimización de datos personales

Artículo 4.5 RGPD. Definiciones

A efectos del presente Reglamento se entenderá por:

«seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

Artículo 6.4 RGPD. Licitud del tratamiento

Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado (…), el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas: (…)

  1. e) la existencia de garantías adecuadas,que podrán incluir el cifrado o la seudonimización.

Artículo 25.1 RGPD. Protección de datos desde el diseño y por defecto

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. (…)

Artículo 32.1 RGPD. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  1. a) laseudonimizacióny el cifrado de datos personales; (…)

Artículo 89.1 RGPD. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo. (…)

Considerando 26 RGPD

Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

Considerando 28 RGPD

La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

Considerando 29 RGPD

Para incentivar la aplicación de la seudonimización en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional para la atribución de los datos personales a una persona concreta. El responsable que trate datos personales debe indicar cuáles son sus personas autorizadas.

Considerando 75 RGPD

Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; (…)

Considerando 78 RGPD

(…) A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. (…)

Considerando 156 RGPD

El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). (…)

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido