Se publican nuevas guías de recomendaciones de la Agencia Española de Protección de Datos

La AEPD ha publicado guías para fomentar la reutilización de la información del sector público con garantías para los ciudadanos.

El objeto del presente post es apuntar a algunos aspectos del documento relativo a los procedimientos de anonimización.

El uso de grandes volúmenes de datos puede ser de gran utilidad en la toma de decisiones a todos los niveles. Cuando hablamos de “big data” parece que le damos un tinte negativo de tratamiento descontrolado y masivo de datos con fines comerciales, pero pensemos en la infinidad de aplicaciones prácticas y beneficiosas para los ciudadanos que los datos ofrecen: imaginemos que conseguimos las estadísticas de los enfermos con una determinada patología en todo un territorio. Mediante un cruce masivo de datos podríamos obtener información muy precisa de factores de riesgo que podrían atajarse: focos de contaminación cercana, incidencia del tabaco, clima, etc. Evidentemente esa información habría tenido que ser extraida de las bases de datos de hospitales, pero si ha sido previamente tratada para “anonimizar” los datos relevantes,  se minimizaría el riesgo del tratamiento. En realidad, para hacer tratamiento masivo de este tipo de información, en la mayoría de los casos, es irrelevante conocer la identidad de las personas sino sus perfiles.

La anonimización es una forma de eliminar las posibilidades de identificación de las personas. Aunque el anonimato absoluto es difícil de garantizar, sí se pueden establecer mecanismos que garanticen la protección de datos al tiempo que fomenten el uso de la información con fines de interés social, científico o económico.

En la guía publicada por la Agencia Española de Protección de Datos, se establecen:

  • Los principios de la anonimización
  • Las etapas de cualquier proceso de anonimización
  • La formación e información al personal involucrado en estos procesos
  • Las garantías
  • Las auditorías a que deberían someterse estos procesos
  • La documentación de una política de anonimización

Insistiendo en los riesgos que la tecnología trae consigo, es difícil garantizar una anonimización al 100% y por ello cualquier proceso debe tener en cuenta que habría que revisar periódicamente que las garantías se cumplen a medida que evoluciona dicha tecnología.

A efectos prácticos, el informe apunta a un posible esquema de la documentación que debería ser tenido en cuenta en un proceso de anonimización:

  • Política de uso y acceso a los datos anonimizados: obligaciones del personal
  • Documento de aplicabilidad de medidas de anonimización que contendrá al menos:
    • Responsables del proceso de preanonimización y anonimización
    • Medidas organizativas
    • Definición de variables de identificación
    • Mecanismos técnicos de anonimización
    • Política de claves
    • Acuerdos de confidencialidad
  • Normas y procedimientos
  • Informes y dictámenes:
    • Del equipo de viabilidad si hubiera sido definido
    • Del equipo de seguridad
    • De análisis de riesgos (Evaluación de impacto en protección de datos)
    • De auditoría de la información y el proceso de anonimización.

Con estas medidas se trata, en definitiva, que el uso masivo de datos no se convierta en un riesgo en sí mismo o si lo es, que el riesgo sea el mínimo. El uso de datos a gran escala puede tener innumerables ventajas, pero sólo si se garantizan los derechos fundamentales de los ciudadanos.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

H&A

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios