La anonimizaci\u00f3n de datos es un proceso de delimitaci\u00f3n y supresi\u00f3n de aquella informaci\u00f3n que permite identificar a una persona, siendo su\u00a0 finalidad eliminar de forma irreversible y permanente cualquier posibilidad de identificaci\u00f3n de dicho individuo. As\u00ed, los titulares de los bancos de datos personales pueden anonimizar la informaci\u00f3n personal recopilada para luego utilizar y\/o compartir los datos an\u00f3nimos para fines estad\u00edsticos o de investigaci\u00f3n,\u00a0 como por ejemplo, qu\u00e9 grupos de edad prefieren un servicio en particular, o cu\u00e1ntas personas han contratado determinado servicio<\/span>.\u00a0<\/span><\/p>\n Aunque la disociaci\u00f3n tambi\u00e9n consiste en modificar la informaci\u00f3n para que no se pueda identificar a una persona, al ser un procedimiento reversible no definitivo ni permanente, se puede volver a modificar la informaci\u00f3n al punto inicial, de manera tal que s\u00ed se pueda volver a identificar al titular del dato personal.\u00a0<\/span><\/p>\n Al tratar este tema, parece necesario comenzar explorando si la Normativa de Protecci\u00f3n de Datos Personales (\u201c<\/span>Normativa<\/i><\/b>\u201d), define la \u00abanonimizaci\u00f3n\u00bb y \u201cdisociaci\u00f3n\u201d. Si revisamos la Ley de Protecci\u00f3n Datos Personales, Ley No. 29733 (\u201c<\/span>Le<\/i><\/b>y<\/i><\/b>\u201d) y su Reglamento, el Decreto Supremo No. 003-2013-JUS, encontramos una definici\u00f3n bastante amplia de los procedimientos de \u201canonimizaci\u00f3n\u201d y \u201cdisociaci\u00f3n\u201d. Sin embargo, pareciera que se tratase de conceptos id\u00e9nticos al atribuirseles los mismos efectos jur\u00eddicos, as\u00ed, la Ley se\u00f1ala lo siguiente:\u00a0<\/span><\/p>\n \u201c<\/span>Art\u00edculo 2.- Definiciones.\u00a0<\/i><\/b><\/p>\n (\u2026) 14. Procedimiento de <\/span><\/i>anonimizaci\u00f3n<\/span><\/i>. <\/span><\/i>Tratamiento de datos personales que impide la identificaci\u00f3n o que no hace identificable al titular de estos. El procedimiento es irreversible.<\/span><\/i> 15. Procedimiento de <\/span><\/i>disociaci\u00f3n<\/span><\/i>. <\/span><\/i>Tratamiento de datos personales que impide la identificaci\u00f3n o que no hace identificable al titular de estos. El procedimiento es reversible. (\u2026)\u201d.\u00a0<\/span><\/i><\/p>\n <\/p>\n \u201c<\/span>Art\u00edculo 6.- Principio de finalidad.\u00a0<\/i><\/b><\/p>\n Los datos personales deben ser recopilados para una finalidad determinada, expl\u00edcita y l\u00edcita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequ\u00edvoca como tal al momento de su recopilaci\u00f3n, excluyendo, los casos de actividades de valor hist\u00f3rico, estad\u00edstico o cient\u00edfico cuando se utilice un procedimiento de <\/span><\/i>disociaci\u00f3n o anonimizaci\u00f3n<\/span><\/i>\u201d.\u00a0<\/span><\/i><\/p>\n <\/p>\n \u201c<\/span>Art\u00edculo 14.- Limitaciones al consentimiento para el tratamiento de datos personales.\u00a0<\/i><\/b><\/p>\n No se requiere consentimiento del titular de<\/span><\/i> datos personales, para los efectos de su tratamiento, en los siguientes casos: (\u2026) 8. Cuando se hubiera aplicada un procedimiento de <\/span><\/i>anonimizaci\u00f3n o disociaci\u00f3n<\/span><\/i>\u201d.\u00a0<\/span><\/i><\/p>\n <\/p>\n \u201c<\/span>Art\u00edculo 28- Obligaciones.\u00a0<\/i><\/b><\/p>\n El titular y el encargado de tratamiento de datos personales, seg\u00fan sea el caso, tienen las siguientes obligaciones: (\u2026) 4. No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilaci\u00f3n, salvo que medie procedimiento de anonimizaci\u00f3n o disociaci\u00f3n. (\u2026) 7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de <\/span><\/i>anonimizaci\u00f3n o disociaci\u00f3n<\/span><\/i>\u201d.\u00a0<\/span><\/i><\/b><\/p>\n Seg\u00fan la Normativa, los datos personales que hayan pasado por el procedimiento de anonimizaci\u00f3n o disociaci\u00f3n se convierten en datos que no hacen identificable a su titular. Entonces, \u00bfcu\u00e1l es la diferencia entre ambas definiciones? La diferencia principal es que el procedimiento de anonimizaci\u00f3n es irreversible, mientras que el procedimiento de disociaci\u00f3n s\u00ed es reversible. Sin duda, la caracter\u00edstica de reversibilidad hace que finalmente, ambos procedimientos sean totalmente distintos; sin embargo, \u00bfpor qu\u00e9 la Ley y el Reglamento, las utilizan de manera indistinta en sus disposiciones como si fueran definiciones id\u00e9nticas?\u00a0<\/span><\/p>\n Es m\u00e1s, tanto la anonimizaci\u00f3n como la disociaci\u00f3n se constituyen indistintamente como excepciones para los principios de finalidad y consentimiento, siendo que en cualquiera de los dos supuestos se habilita a utilizar los datos personales para finalidades por las cuales no fueran recopilados sin necesidad de solicitar el consentimiento al titular del dato personal. \u00bfEllo deber\u00eda ser as\u00ed?, \u00bfqu\u00e9 tan similares son estos procedimientos como para no cumplir con principios rectores tan importantes en la Normativa de Protecci\u00f3n de Datos Personales?\u00a0<\/span><\/p>\n Al respecto, la regulaci\u00f3n europea en materia de protecci\u00f3n de datos personales establece que, \u201csi una informaci\u00f3n est\u00e1 anonimizada, no estar\u00e1 sujeta al Reglamento, puesto que los datos tratados no permitir\u00e1n identificar a una persona y, por consiguiente, no ser\u00e1n considerados datos personales.\u00a0 Por el contrario, con los datos disociados reversibles, s\u00ed se puede llegar a identificar a una persona, por lo que se podr\u00eda utilizar como una medida adicional para proteger los datos de los titulares, pero no eximir\u00e1 a una empresa de estar sujeta a cumplir con los principios establecidos en el Reglamento\u201d<\/span>.\u00a0<\/span><\/p>\n Por consiguiente, en el procedimiento de anonimizaci\u00f3n, los datos identificativos se convierten en imposibles de asociar a un sujeto determinado, es decir, los datos dejan de ser datos personales; y por ello, se deber\u00eda entender que, no estar\u00edan dentro del \u00e1mbito de protecci\u00f3n de la Ley.\u00a0<\/span><\/p>\n Por el contrario, en la disociaci\u00f3n, no se elimina toda la informaci\u00f3n relativa al titular del dato personal, con lo cual a\u00fan se cuenta con informaci\u00f3n adicional y personal que puede dar lugar a su identificaci\u00f3n y por ello, resulta claro que la normativa en materia de protecci\u00f3n de datos debe continuar aplic\u00e1ndose.\u00a0<\/span><\/p>\n En resumen, al ser el procedimiento de disociaci\u00f3n reversible, existe el riesgo que la informaci\u00f3n disociada siga siendo un dato personal, por lo que esta informaci\u00f3n deber\u00eda estar protegida por la Normativa o al menos se deber\u00eda establecer par\u00e1metros para que se tomen las medidas de seguridad en el procedimiento de disociaci\u00f3n. Por ejemplo, se podr\u00eda establecer medidas t\u00e9cnicas y organizativas adecuadas para minimizar el riesgo de identificaci\u00f3n; y si el riesgo resultante sigue siendo\u00a0 alto, los datos disociados deber\u00edan considerarse \u00abdatos personales\u00bb, lo que generar\u00eda obligaciones de protecci\u00f3n de datos.<\/span><\/p>\n [1]<\/sup> Fuente: HipSnip,\u00a0Declaraci\u00f3n legal de HipSnip<\/em>\u00a0<\u00a0http:\/\/hipsnip.com\/hip\/legal<\/a> > consultado por \u00faltima vez el 5 de febrero de 2021.<\/p>\n [2]<\/sup> Fuente: https:\/\/www.camposcatafal.com\/es\/la-anonimizacion-y-la-disociacion-reversible-de-datos-personales-en-el-rgpd\/<\/a>. Consultado por \u00faltima vez el 6 de febrero de 2021.<\/p>\n","protected":false},"excerpt":{"rendered":"Anonimizaci\u00f3n en la normativa de protecci\u00f3n de datos personales La anonimizaci\u00f3n de datos es un proceso de delimitaci\u00f3n y supresi\u00f3n de aquella informaci\u00f3n que permite identificar a una persona, siendo su\u00a0 finalidad eliminar de forma irreversible y permanente cualquier posibilidad de identificaci\u00f3n de dicho individuo. As\u00ed, los titulares de los bancos de datos personales pueden… Ver art\u00edculo<\/a>","protected":false},"author":28,"featured_media":2236,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-2232","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts\/2232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/comments?post=2232"}],"version-history":[{"count":2,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts\/2232\/revisions"}],"predecessor-version":[{"id":2234,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/posts\/2232\/revisions\/2234"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/media\/2236"}],"wp:attachment":[{"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/media?parent=2232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/categories?post=2232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.porto.legal\/blog\/wp-json\/wp\/v2\/tags?post=2232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Anonimizaci\u00f3n y disociaci\u00f3n \u00bfson lo mismo?<\/h2>\n