Anonimización en la normativa de protección de datos personales

La anonimización de datos es un proceso de delimitación y supresión de aquella información que permite identificar a una persona, siendo su  finalidad eliminar de forma irreversible y permanente cualquier posibilidad de identificación de dicho individuo. Así, los titulares de los bancos de datos personales pueden anonimizar la información personal recopilada para luego utilizar y/o compartir los datos anónimos para fines estadísticos o de investigación,  como por ejemplo, qué grupos de edad prefieren un servicio en particular, o cuántas personas han contratado determinado servicio. 

Aunque la disociación también consiste en modificar la información para que no se pueda identificar a una persona, al ser un procedimiento reversible no definitivo ni permanente, se puede volver a modificar la información al punto inicial, de manera tal que sí se pueda volver a identificar al titular del dato personal. 

Al tratar este tema, parece necesario comenzar explorando si la Normativa de Protección de Datos Personales (“Normativa”), define la «anonimización» y “disociación”. Si revisamos la Ley de Protección Datos Personales, Ley No. 29733 (“Ley”) y su Reglamento, el Decreto Supremo No. 003-2013-JUS, encontramos una definición bastante amplia de los procedimientos de “anonimización” y “disociación”. Sin embargo, pareciera que se tratase de conceptos idénticos al atribuirseles los mismos efectos jurídicos, así, la Ley señala lo siguiente: 

“Artículo 2.- Definiciones. 

(…) 14. Procedimiento de anonimización. Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es irreversible. 15. Procedimiento de disociación. Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es reversible. (…)”. 

“Artículo 6.- Principio de finalidad. 

Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo, los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización”. 

“Artículo 14.- Limitaciones al consentimiento para el tratamiento de datos personales. 

No se requiere consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos: (…) 8. Cuando se hubiera aplicada un procedimiento de anonimización o disociación”. 

“Artículo 28- Obligaciones. 

El titular y el encargado de tratamiento de datos personales, según sea el caso, tienen las siguientes obligaciones: (…) 4. No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación. (…) 7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación”. 

Anonimización y disociación ¿son lo mismo?

Según la Normativa, los datos personales que hayan pasado por el procedimiento de anonimización o disociación se convierten en datos que no hacen identificable a su titular. Entonces, ¿cuál es la diferencia entre ambas definiciones? La diferencia principal es que el procedimiento de anonimización es irreversible, mientras que el procedimiento de disociación sí es reversible. Sin duda, la característica de reversibilidad hace que finalmente, ambos procedimientos sean totalmente distintos; sin embargo, ¿por qué la Ley y el Reglamento, las utilizan de manera indistinta en sus disposiciones como si fueran definiciones idénticas? 

Es más, tanto la anonimización como la disociación se constituyen indistintamente como excepciones para los principios de finalidad y consentimiento, siendo que en cualquiera de los dos supuestos se habilita a utilizar los datos personales para finalidades por las cuales no fueran recopilados sin necesidad de solicitar el consentimiento al titular del dato personal. ¿Ello debería ser así?, ¿qué tan similares son estos procedimientos como para no cumplir con principios rectores tan importantes en la Normativa de Protección de Datos Personales? 

Al respecto, la regulación europea en materia de protección de datos personales establece que, “si una información está anonimizada, no estará sujeta al Reglamento, puesto que los datos tratados no permitirán identificar a una persona y, por consiguiente, no serán considerados datos personales.  Por el contrario, con los datos disociados reversibles, sí se puede llegar a identificar a una persona, por lo que se podría utilizar como una medida adicional para proteger los datos de los titulares, pero no eximirá a una empresa de estar sujeta a cumplir con los principios establecidos en el Reglamento”. 

Por consiguiente, en el procedimiento de anonimización, los datos identificativos se convierten en imposibles de asociar a un sujeto determinado, es decir, los datos dejan de ser datos personales; y por ello, se debería entender que, no estarían dentro del ámbito de protección de la Ley. 

Por el contrario, en la disociación, no se elimina toda la información relativa al titular del dato personal, con lo cual aún se cuenta con información adicional y personal que puede dar lugar a su identificación y por ello, resulta claro que la normativa en materia de protección de datos debe continuar aplicándose. 

En resumen, al ser el procedimiento de disociación reversible, existe el riesgo que la información disociada siga siendo un dato personal, por lo que esta información debería estar protegida por la Normativa o al menos se debería establecer parámetros para que se tomen las medidas de seguridad en el procedimiento de disociación. Por ejemplo, se podría establecer medidas técnicas y organizativas adecuadas para minimizar el riesgo de identificación; y si el riesgo resultante sigue siendo  alto, los datos disociados deberían considerarse «datos personales», lo que generaría obligaciones de protección de datos.

^[1] Fuente: HipSnip, Declaración legal de HipSnip < http://hipsnip.com/hip/legal > consultado por última vez el 5 de febrero de 2021.

^[2] Fuente: https://www.camposcatafal.com/es/la-anonimizacion-y-la-disociacion-reversible-de-datos-personales-en-el-rgpd/. Consultado por última vez el 6 de febrero de 2021.