La referencia al término “pseudo” - ¿Pseudo… qué?
Resumen: La utilización del
término “seudo” o “pseudo” para los abogados especialistas en protección de
datos tiene diferentes utilidades, siendo dicho término utilizado para
referirse, desde hace bastante tiempo atrás, a las denominadas
“pseudo-auditorías de protección de datos”, pero también, desde la entrada en
vigor del reglamento europeo de protección de datos, para disponer de un nuevo
término asociado a la identificación de personas y, por ende, al tratamiento de
los datos personales e información asociada a aquella. El presente artículo
pretende efectuar un desglose de términos respecto a los cuales, compañeros de
profesión, tal vez, futuros DPO´s, serán sus compañeros de viaje.
Desde hace un mes ya disponemos
del Reglamento Europeo de Protección de Datos, un nuevo marco normativo base y
obligatorio para todos los estados miembros, el cual, introduce un término
denominado “seudonimización”[1] que, si
bien, es definido por el propio reglamento, el mismo, tiene especial “dificultad” tanto para su asimilación
como para su aplicación directa. Partiendo
de la definición de la RAE y poniendo en comparación el término “seudo”[2] y “anonimizar”[3], el primero de
ellos, hace referencia al verbo falsear, mientras que el segundo, hace
referencia al verbo eliminar, teniendo ambos un punto en común en aplicación al
reglamento, la identidad, en este caso del denominado “interesado.”[4]
Siguiendo con el término
expresado en el propio reglamento, destaca la principal esencia del término
atribución, como nexo causal, siendo éste canalizador de la técnica que
permitirá la identificación indirecta del interesado, es decir, la modificación
de atributos asignados entre la información adicional del interesado y los
datos personales del mismo. Sin embargo, esta técnica de seudonimización no
elimina la identificación, puesto que el interesado puede ser perfectamente
identificado de forma indirecta.
Ligado al precedente, una de las
mayores novedades introducidas por el reglamento es la no aplicación del mismo
a los interesados que no pueden ser identificados mediante la anonimización,
aquella técnica tendente a hacer irreversible durante el tratamiento de la
información contenida la identidad del interesado[5]. Por tanto,
la anonimización como la seudonimización, hacen referencia al tratamiento,
entendiendo por éste, desde el origen del dato de carácter personal e
información adicional hasta su supresión o destrucción. Sin embargo, esta
exención contemplada en el Reglamento “choca
frontalmente” con la aplicación que, hasta la fecha venía efectuándose,
especialmente, en el ámbito sanitario y, más concretamente, en las
investigaciones dentro del mismo, puesto que, a pesar de la existencia de la
técnica de anonimización, el interesado debía ser informado con la finalidad,
en virtud del principio de calidad de datos, respecto a las consecuencias que
uso de dicha técnica de anonimización supondría[6].
El problema radica en la falta de
normas prescriptivas que establezcan los distintos medios que permitan aplicar
una u otra técnica. En España, la referencia primordial, la encontramos en la Ley
14/2007, de 3 de julio, de Investigación Biomédica, en cuyo artículo 3 c)
define el término anonimización como aquel proceso
por el cual deja de ser posible establecer por medios razonables el nexo entre
un dato y el sujeto al que se refiere. Si desglosamos el significado, el
término causal es la “razonabilidad”, la cual hemos de ponerla en estrecha
relación con múltiples extremos, y en esencia con el Considerando (26) de la
Directiva 95/46[7], la cual quedará derogada
con la entrada en vigor del Reglamento el 28 de mayo del 2018, siendo
extensiva, como peculiaridad dentro de la misma numeración de considerando del
Reglamento donde reza: Para determinar si
existe una probabilidad razonable que se utilicen medios para identificar a una
persona física, deben tenerse en cuenta todos los factores objetivos, como los
costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto
la tecnología disponible en el momento del tratamiento como los avance
tecnológicos.
Afectos al precedente nexo
causal, múltiples factores, muchos de los cuales son indeterminados y, respecto
a los cuales, el responsable del tratamiento deberá hacerse ecos de los mismos,
se ha de partir de la estimación para acomodar el nexo causal de razonabilidad,
algunos de ellos, ya puestos de relieve en la jurisprudencia en cuanto al
ámbito objetivo de aplicación:
§
El primer elemento objetivo de delimitación del
ámbito de aplicación es la identificación de una persona a través de la
información obtenida por separado o conjuntamente de los datos personales
recabados, sea ésta tratada en ficheros automatizados o manuales e
indistintamente del soporte utilizado. Por lo tanto, a partir de los datos que
dispongamos, sean éstos tomados separadamente o conjuntamente, aquellos nos
deben mostrar una información que permita identificar a una persona física.
Información, cuyo concepto jurídico -libertad de información- se reconoce y
protege a través del artículo 20.1 d) CE al establecer como derecho fundamental
del individuo el poder “comunicar y
recibir libremente información”, siendo éstas limitadas “en los preceptos de las leyes que lo
desarrollen y, especialmente, en el derecho al honor, a la intimidad.”
§
Que la información contenida esté destinada a un
fichero, entendiéndose como tal a un conjunto organizado de datos personales. “No basta, sin embargo, la realización de
una de estas actuaciones para que la Ley despliegue sus efectos protectores y
las garantías y derechos del afectado. Es preciso algo más: que las actuaciones
de recogida, grabación, conservación, etc. se realicen de forma automatizada o
bien, si se realizan de forma manual, que los datos personales estén contenidos
o destinados a un fichero.”
§
Que dicho fichero sea tratado en virtud de las
características de tratamiento que establece la normativa al efecto,
exigiéndose el establecimiento de unos determinados criterios, tanto en la
estructura como en la organización del fichero.
§
Que en base a los criterios precedentes, la
búsqueda, consulta, tratamiento, interconexión o cualquiera operación técnica o
manual, consistente o que albergue datos de carácter personal no sea
complicada, difícil o ardua, tanto en tiempo como en forma. En conclusión, que
las operaciones que se efectúen sobre un fichero que contenga información
personal sean realizadas bajo parámetros y/o criterios sencillos que
posibiliten un tratamiento -consulta,
búsqueda, interconexión, etc.- y que permitan identificar los datos contenidos
en ellos con una persona física e identificable.
§
Se hace referencia a lo que se denomina “vida”
del dato de carácter personal, es decir, desde que el sujeto obligado por la
normativa de protección de datos obtiene, bien de forma directa bien de forma
indirecta, la información que le permite identificar al individuo a través del
tratamiento en un fichero, sea cual fuere el soporte utilizado, hasta su desaparición
-cancelación, bloqueo, supresión.-
Adicionalmente, no sólo el/los
elemento/s objetivos, tal y como establece el Reglamento en su Considerando
(26) sino factores indeterminados, en virtud de previsiones futuras al estado
de la técnica o novedades tecnológicas, debiendo efectuar revisiones periódicas
si la técnica aplicada es acorde a evitar o encuadrar las técnicas de
tratamiento establecidas, una bajo aplicación directa del Reglamento
-seudonimización-, la otra exenta -anonimización-, dado que técnicas de
aleatoriedad -algoritmos-, cifrados -hash; clave privada-; privacidad
diferencial o, inclusive la propia seudonimización, pudieren no ser acordes a
las previsiones dispuestas en el propio Reglamento.
A pesar que el Reglamento ha
introducido el término objeto del presente artículo, exonerando el término
estrechamente ligado de anonimización, en especial, a situaciones laborales,
médicas y otras relacionadas, el ámbito de profiling y la disposición de información
adicional asociada -big data- respecto a la cual bajo procesos de
reversibilidad o ingeneria inversa poder identificar a un interesado es el
principal escollo a salvaguardar, puesto que el Big Data, especialmente, el
denominado Data Lake, configurado a partir de datos destructurados,
aparentemente sin atribución de identificación, pudiere ser fuente de
reversibilidad en contrario a través de vigilancia estratégica bajo parámetros
de identificación.
La cuestión, una entre las miles
que deja en la “nube”, es si las distintas técnicas expuestas, permiten desde
su origen evitar la aplicación directa del Reglamento o, si por el contrario,
es necesario definir claramente y documentalmente, los tratamientos y las
medidas a establecer como previsión de incompatibilidades futuras tecnológicas.
Así mismo, si la seudonimización, siendo ésta una medida de seguridad en el
tratamiento, tiene cabida en la acepción y establecimiento de medidas
organizativas y técnicas adicionales, puesto que dicha técnica, ya de por sí,
se encuadra dentro de dicho característica, puesto que el Reglamento obliga a
que el/los atributos establecidos en la diferenciación de dato personal e
información adicional relacione dichas medidas organizativas y técnicas.
Ahora bien, y haciendo alusión a
tiempos pasados, donde el término pseudo, relacionado con las auditorías de
protección de datos -falsedad en el servicio jurídico prestado-, era un “foco”
de intrusión, de irreversibilidad a la correcta adecuación, es importante
señalar, que gracias al Reglamento dicho término pudiere ser erradicado en el
ámbito referido, dado que el DPO actúa como garantista. La propia Agencia de
Protección de Datos, en su afán de ampliar nuevos abanicos de comunicación e
inter-actuación con los ciudadanos -interesados- y obligados -empresas- debería
hacer especial hincapié en la seguridad de disponer de compañeros de profesión
o profesionales especializados que en un futuro próximo evite que se siga
usando el término pseudo para calificar, por así decirlo, a la inocua
adaptación existente. También es necesaria que nuestra profesión sea abanderada
para evitar e informar de lo que dentro de dos años se avecina, sin olvidarnos,
como he puesto de manifiesto en alguna ocasión, respecto al paradigma
establecido por el propio Reglamento en cuanto a sellos de calidad y
fundaciones sin ánimo de lucro que pudieren intervenir como
intermediarios.
Para concluir un artículo, que
califico como arduo y denso, solamente hacer referencia a la necesidad
obligatoria para determinar el tratamiento y la posibilidad de técnicas
tendentes a anonimizar la identidad del interesado o, por el contrario, a
reducir la vinculación de identificación, las denominadas Evaluaciones de
Impacto y el Privacy Desing tanto por diseño como por defecto[8], al igual,
que será de suma importancia a implementación o documental al uso respecto a
las normas y directrices[9]
establecidas en canto a las medidas organizativas, legales y técnicas tendentes
a la protección de la información, fruto del principio de transparencia. De
igual forma, la necesidad de ampliar, el tan de moda, Compliance Penal[10] para
evitar o atenuar una posible responsabilidad derivada del tratamiento ilícito
en el tratamiento de datos personales.
Sé que iba a concluir, pero no
quiero pasar por alto, un ámbito “olvidado” y respecto al cual las técnicas de
seudonimización son vitales. Ese ámbito es el periodístico y las fuentes junto
con la información adicional que sobre un interesado se disponga. Es de sobra
conocida las directrices en este ámbito, por parte de la autoridad inglesa
-ICO-[11],
pero sin embargo, el Reglamento se ha quedado muy corto, por no decir, en
“blanco” al trasladar la responsabilidad legislativa a los distintos estados en
este ámbito[12].
Efrén
Santos Pascual
Asociado ENATIC
Socio-Abogado
ICEF Consultores
[1] Artículo 4-5) “Seudonimización”: el
tratamiento de datos personales de manera tal que ya no puedan atribuirse a un
interesado sin utilizar información adicional, siempre que dicha información
adicional figure por separado y esté sujeta a medidas técnicas y organizativas
destinadas a garantizar que los datos personales no se atribuyan a una persona
física identificada o identificable.”
[2] 1. elem. compos. Significa 'falso'. Seudópodo o pseudópodo,
seudocientífico o pseudocientífico.
[3] 1. tr. Expresar un dato relativo a entidades o personas, eliminando la
referencia a su identidad.
[4] Definición que hay que extraerla del propio Reglamento cuando define
“datos personales”: toda información
sobre una persona física identificada o identificable […]”
[5] “Considerando (26) […] Por lo tanto, los
principios de protección de datos no deben aplicarse a la información anónima,
es decir, a la información que no guarda relación con una persona física,
identificada o identificable, ni a los datos convertidos en anónimos de forma
que el interesado, no sea identificable, o deje de serlo. En consecuencia, el
presente Reglamento no afecta al tratamiento de dicha información anónima […]”
[6] Directrices europeas sobre confidencialidad
y privacidad en la asistencia sanitaria dentro del Proyecto EuroSOCAP
(2003-2007). “La anonimización no proporciona una alternativa a la obtención
del consentimiento explícito, sino que más bien es una protección adicional
para que la información confidencial sea usada únicamente de forma legítima o
divulgada con consentimiento […] la anonimización de los datos es, por sí
misma, un procesamiento de los mismos. Lo que es más, la información previa no
debería ser usada como una excusa para informar a los sujetos de los datos de la
finalidad del procesamiento pretendido tras haber sido éstos anonimizados. En
realidad la anonimización debería ser usada en situaciones en las que los datos
no necesiten ser guardados de forma personal y no se sepa cuáles son las
finalidades para las que van a ser usados.”
[7] “Que los principios de la protección deberán
aplicarse a cualquier información relativa a una persona identificada o
identificable; que, para determinar si una persona es identificable, hay que
considerar el conjunto de los medios que puedan ser razonablemente utilizados
por el responsable del tratamiento o por cualquier otra persona, para
identificar a dicha persona; que los principios de la protección no se aplicarán
a aquellos datos hechos anónimos de manera tal que ya no sea posible
identificar al interesado; que los códigos de conducta con arreglo al artículo
27 pueden constituir un elemento útil para proporcionar indicaciones sobre los
medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de
forma tal que impida identificar al interesado;
[8] Considerando (78) “La protección de los
derechos y libertades de las personas físicas con respecto al tratamiento de
datos personales exige la adopción de medidas técnicas y organizativas
apropiadas con el fin de garantizar el cumplimiento de los requisitos del
presente Reglamento. A fin de poder demostrar la conformidad con el presente
Reglamento, el responsable del tratamiento debe adoptar políticas internas y
aplicar medidas que cumplan en particular los principios de protección de datos
desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras,
en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes
posible los datos personales, dar transparencia a las funciones y el
tratamiento de datos personales, permitiendo a los interesados supervisar el
tratamiento de datos y al responsable del tratamiento crear y mejorar elementos
de seguridad […]
[9] Considerando (77) “Se podrían proporcionar
directrices para la aplicación de medidas oportunas y para demostrar el
cumplimiento por parte del responsable o del encargado del tratamiento,
especialmente con respecto a la identificación del riesgo relacionado con el
tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y
gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que
revistan, en particular, la forma de códigos de conducta aprobados,
certificaciones aprobadas, directrices dadas por el Comité o indicaciones
proporcionadas por un delegado de protección de datos. El Comité también puede
emitir directrices sobre operaciones de tratamiento que se considere improbable
supongan un alto riesgo para los derechos y libertades de las personas físicas,
e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el
riesgo en cuestión.”
[10] UNE-ISO 19600:2015 Sistemas de gestión de
compliance. Directrices para implantar, evaluar, mantener y mejorar un sistema
de gestión de compliance eficaz y que genera respuesta por parte de la
organización.
[11] Data protection
and journalism: a quick guide.
https://ico.org.uk/media/for-organisations/documents/1547/data-protection-and-journalism-quick-guide.pdf
Data protection and journalism: a
guide for the media.
https://ico.org.uk/media/for-organisations/documents/1552/data-protection-and-journalism-media-guidance.pdf
[12] Artículo 85 Reglamento. Los Estados miembros conciliarán por ley el
derecho a la protección de los datos personales en virtud del presente
Reglamento con el derecho a la libertad de expresión y de información, incluido
el tratamiento con fines periodísticos y fines de expresión académica,
artística o literaria. 2.Para el tratamiento realizado con fines periodísticos
o con fines de expresión académica, artística o literaria, los Estados miembros
establecerán exenciones o excepciones de lo dispuesto en los capítulos II
(principios), III (derechos del interesado), IV (responsable y encargado del
tratamiento), V (transferencia de datos personales a terceros países u
organizaciones internacionales), VI (autoridades de control independientes),
VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones
específicas de tratamiento de datos), si son necesarias para conciliar el
derecho a la protección de los datos personales con la libertad de expresión e
información. 3. Cada Estado miembro notificará a la Comisión las disposiciones
legislativas que adopte de conformidad con el apartado 2 y, sin dilación, cualquier
modificación posterior, legislativa u otra, de las mismas.
