Seudonimización - Pseudonymization
Seudónimos es una gestión de datos y la des-identificación procedimiento por el cual la información personal identificable campos dentro de un datos de registro son sustituidos por uno o más identificadores artificiales, o seudónimos . Un solo seudónimo para cada campo reemplazado o colección de campos reemplazados hace que el registro de datos sea menos identificable y al mismo tiempo sigue siendo adecuado para el análisis y el procesamiento de datos .
La seudonimización (o seudonimización, la ortografía según las pautas europeas) es una forma de cumplir con las nuevas demandas del Reglamento General de Protección de Datos (GDPR) de la Unión Europea para el almacenamiento seguro de datos de información personal. Los datos seudonimizados se pueden restaurar a su estado original con la adición de información que luego permite volver a identificar a las personas, mientras que los datos anonimizados nunca se pueden restaurar a su estado original.
Impacto de la sentencia Schrems II
La importancia de la seudonimización compatible con GDPR aumentó drásticamente en junio de 2021 cuando la Junta Europea de Protección de Datos (EDPB) y la Comisión Europea destacaron la seudonimización compatible con GDPR como la medida técnica complementaria de vanguardia para el uso legal continuo de personal de la UE. datos cuando se utilizan procesadores en la nube de terceros países (es decir, no pertenecientes a la UE) o proveedores de servicios remotos en virtud de la sentencia "Schrems II" del Tribunal de Justicia de la Unión Europea (TJUE). Según el GDPR y la Guía final de EDPB Schrems II, el término seudonimización requiere un nuevo "estado" protegido de datos, produciendo un resultado protegido que:
(1) Protege los identificadores directos, indirectos y cuasi-identificadores, junto con las características y comportamientos;
(2) Protege a nivel de registro y conjunto de datos versus solo a nivel de campo, de modo que la protección viaja dondequiera que vayan los datos, incluso cuando están en uso; y
(3) Protege contra la reidentificación no autorizada a través del Efecto Mosaico al generar altos niveles de entropía (incertidumbre) asignando dinámicamente diferentes tokens en diferentes momentos para varios propósitos.
La combinación de estas protecciones es necesaria para evitar la reidentificación de los interesados sin el uso de información adicional mantenida por separado, como se requiere en el artículo 4 (5) del RGPD y como se subraya en el párrafo 85 (4) del EDPB Schrems II final. Guia. La seudonimización compatible con GDPR requiere que los datos sean "anónimos" en el sentido más estricto de la palabra en la UE, anónimos a nivel mundial, pero para la información adicional que se mantiene por separado y se pone a disposición en condiciones controladas según lo autorizado por el controlador de datos para la reidentificación permitida de la persona. sujetos de datos.
Antes del fallo Schrems II, la seudonimización era una técnica utilizada por expertos en seguridad o funcionarios gubernamentales para ocultar información de identificación personal para mantener la estructura de datos y la privacidad de la información . Algunos ejemplos comunes de información confidencial incluyen el código postal, la ubicación de las personas, los nombres de las personas, la raza y el sexo, etc.
Después de la sentencia Schrems II, la seudonimización compatible con GDPR debe satisfacer los elementos antes mencionados como un "resultado" frente a una mera técnica.
Campos de información
La elección de los campos de datos que se van a seudonimizar es en parte subjetiva. Los campos menos selectivos, como la fecha de nacimiento o el código postal, a menudo también se incluyen porque generalmente están disponibles en otras fuentes y, por lo tanto, facilitan la identificación de un registro. La seudonimización de estos campos menos identificativos elimina la mayor parte de su valor analítico y, por lo tanto, normalmente va acompañada de la introducción de nuevas formas derivadas y menos identificativas, como el año de nacimiento o una región de código postal más grande .
Los campos de datos que son menos identificativos, como la fecha de asistencia, generalmente no están seudonimizados. Es importante darse cuenta de que esto se debe a que se pierde demasiada utilidad estadística al hacerlo, no a que los datos no puedan identificarse. Por ejemplo, dado el conocimiento previo de algunas fechas de asistencia, es fácil identificar los datos de alguien en un conjunto de datos seudonimizados seleccionando solo a aquellas personas con ese patrón de fechas. Este es un ejemplo de un ataque de inferencia .
La debilidad de los datos seudonimizados anteriores al RGPD frente a los ataques de inferencia se suele pasar por alto. Un ejemplo famoso es el escándalo de datos de búsqueda de AOL . El ejemplo de AOL de reidentificación no autorizada no requería el acceso a la "información adicional" guardada por separado que estaba bajo el control del controlador de datos, como ahora se requiere para la seudonimización compatible con GDPR, que se describe a continuación en la sección "Nueva definición de seudonimización bajo GDPR". .
La protección de datos seudonimizados estadísticamente útiles de la reidentificación requiere:
- una sólida base de seguridad de la información
- Controlar el riesgo de que los analistas, investigadores u otros trabajadores de datos causen una violación de la privacidad.
El seudónimo permite rastrear los datos hasta sus orígenes, lo que distingue la seudonimización de la anonimización , donde se han eliminado todos los datos relacionados con personas que podrían permitir el retroceso. La seudonimización es un problema, por ejemplo, en los datos relacionados con el paciente que deben transmitirse de forma segura entre centros clínicos.
La aplicación de la seudonimización a la salud electrónica tiene como objetivo preservar la privacidad del paciente y la confidencialidad de los datos . Permite el uso primario de registros médicos por parte de proveedores de atención médica autorizados y la privacidad preservando el uso secundario por parte de investigadores. En los EE. UU., HIPAA proporciona pautas sobre cómo se deben manejar los datos de atención médica y la desidentificación o seudonimización de los datos es una forma de simplificar el cumplimiento de HIPAA. Sin embargo, la seudonimización simple para la preservación de la privacidad a menudo alcanza sus límites cuando se trata de datos genéticos (ver también privacidad genética ). Debido a la naturaleza de identificación de los datos genéticos, la despersonalización a menudo no es suficiente para ocultar a la persona correspondiente. Las posibles soluciones son la combinación de seudonimización con fragmentación y cifrado .
Un ejemplo de aplicación de procedimiento de seudónimos es la creación de conjuntos de datos para de-identificación investigación mediante la sustitución de la identificación de palabras con las palabras de la misma categoría (por ejemplo, la sustitución de un nombre con un nombre aleatorio a partir de los nombres de diccionario), sin embargo, en este caso es en general no es posible rastrear los datos hasta sus orígenes.
Nueva definición de seudonimización según el RGPD
A partir del 25 de mayo de 2018, el Reglamento general de protección de datos de la UE (GDPR) define la seudonimización por primera vez a nivel de la UE en el artículo 4 (5). Según los requisitos de definición del artículo 4 (5), los datos se seudonimizan si no pueden atribuirse a un sujeto de datos específico sin el uso de "información adicional" guardada por separado. Los datos seudonimizados incorporan el estado del arte en Protección de datos por diseño y por defecto porque requieren la protección de identificadores directos e indirectos (no solo directos). La protección de datos por diseño y por defecto del RGPD, tal como se materializa en la seudonimización, requieren la protección de ambos e identificadores indirectos para que los datos personales no sean referenciables (o reidentificables) a través del "Efecto mosaico" sin acceso a la "información adicional" que el controlador mantiene por separado. Porque se requiere el acceso a la "información adicional" guardada por separado Para la reidentificación, el controlador puede limitar la atribución de datos a un sujeto de datos específico para respaldar solo fines legales.
El artículo 25 (1) del RGPD identifica la seudonimización como una " medida técnica y organizativa apropiada " y el artículo 25 (2) requiere que los controladores:
“… Implementar las medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, solo se procesen los datos personales que son necesarios para cada propósito específico del procesamiento. Esa obligación se aplica a la cantidad de datos personales recopilados, el alcance de su procesamiento, el período de su almacenamiento y su accesibilidad. En particular, dichas medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas ".
Un núcleo central de la protección de datos por diseño y por defecto según el artículo 25 del RGPD es la aplicación de los controles de tecnología que respaldan los usos adecuados y la capacidad de demostrar que, de hecho, puede cumplir sus promesas. Las tecnologías como la seudonimización que imponen la protección de datos por diseño y por defecto muestran a los interesados individuales que, además de encontrar nuevas formas de obtener valor de los datos, las organizaciones están aplicando enfoques técnicos igualmente innovadores para proteger la privacidad de los datos, un tema especialmente sensible y de actualidad dado la epidemia de violaciones a la seguridad de los datos en todo el mundo.
Las áreas dinámicas y en crecimiento de la actividad económica (la "economía de confianza", la investigación en ciencias de la vida, la medicina / educación personalizada, el Internet de las cosas, la personalización de bienes y servicios) se basan en personas que confían en que sus datos son privados, están protegidos y solo se utilizan para fines adecuados que les aporten el máximo valor a ellos y a la sociedad. Esta confianza no se puede mantener utilizando enfoques obsoletos para la protección de datos. La seudonimización, tal como se define recientemente en el GDPR, es un medio para ayudar a lograr la protección de datos por diseño y, por defecto, para ganar y mantener la confianza y servir de manera más efectiva a las empresas, investigadores, proveedores de atención médica y todos los que confían en la integridad de los datos.
La seudonimización compatible con GDPR no solo permite un mayor uso respetuoso de la privacidad de los datos en el mundo actual de intercambio y combinación de datos de " big data ", sino que también permite a los controladores y procesadores de datos obtener beneficios explícitos bajo el GDPR para datos correctamente seudonimizados. Los datos seudonimizados se destacan en varios artículos del RGPD, que incluyen:
- Artículo 6 (4) como salvaguardia para ayudar a garantizar la compatibilidad del nuevo procesamiento de datos.
- El artículo 25 como medida técnica y organizativa para ayudar a hacer cumplir los principios de minimización de datos y el cumplimiento de las obligaciones de Protección de datos por diseño y por defecto.
- Los artículos 32, 33 y 34 como medida de seguridad que ayudan a hacer que las violaciones de datos “no puedan resultar en un riesgo para los derechos y libertades de las personas físicas”, reduciendo así la responsabilidad y las obligaciones de notificación por violaciones de datos.
- El artículo 89, apartado 1, como salvaguardia en relación con el tratamiento con fines de archivo en interés público; fines de investigación científica o histórica; o con fines estadísticos; Además, los beneficios de la seudonimización en virtud del artículo 89 (1) también proporcionan una mayor flexibilidad en virtud de:
- Artículo 5 (1) (b) con respecto a la limitación del propósito;
- Artículo 5, apartado 1, letra e) con respecto a la limitación del almacenamiento; y
- Artículo 9 (2) (j) con respecto a la superación de la prohibición general de procesamiento Artículo 9 (1) categorías especiales de datos personales.
- Además, en el dictamen del Grupo de Trabajo 06/2014 del artículo 29 se reconoce que los datos debidamente seudonimizados juegan “... un papel con respecto a la evaluación del impacto potencial del procesamiento en el interesado ... inclinando la balanza a favor del controlador ”Para ayudar a respaldar el procesamiento del interés legítimo como base legal en virtud del artículo 6 (1) (f) del RGPD. Los beneficios del procesamiento de datos personales utilizando el interés legítimo habilitado con seudonimato como base legal bajo el GDPR incluyen, sin limitación:
- De conformidad con el artículo 17 (1) (c), si un controlador de datos demuestra que "tiene motivos legítimos imperiosos para el procesamiento" respaldado por medidas técnicas y organizativas para satisfacer la prueba de equilibrio de intereses, tiene una mayor flexibilidad para cumplir con las solicitudes del derecho al olvido. .
- Según el artículo 18 (1) (d), un controlador de datos tiene flexibilidad para cumplir con las reclamaciones para restringir el procesamiento de datos personales si puede demostrar que tiene medidas técnicas y organizativas establecidas para que los derechos del controlador de datos anulen adecuadamente los de el interesado porque los derechos de los interesados están protegidos.
- En virtud del artículo 20, apartado 1, los responsables del tratamiento de datos que utilicen el tratamiento de interés legítimo no están sujetos al derecho de portabilidad, que se aplica únicamente al tratamiento basado en el consentimiento.
- De conformidad con el artículo 21, apartado 1, un responsable del tratamiento que utilice el tratamiento de interés legítimo puede demostrar que dispone de las medidas técnicas y organizativas adecuadas para que los derechos del responsable del tratamiento prevalezcan sobre los del interesado debido a los derechos de los interesados. están protegidos; sin embargo, los interesados siempre tienen derecho en virtud del artículo 21, apartado 3, a no recibir publicidad directa como resultado de dicho tratamiento.