firma-e@firma-e.com   968 93 18 12 Blog
Firma-e
  • La empresa¿Qué hacemos?
  • EquipoNosotros
  • Servicios¿Qué hacemos?
    • Gestión electrónica
      • PRP. Facturación Electrónica a Empresa Privada y AAPP
      • PRP. Recepción Facturas de Proveedores
      • PRP. Gestión Documental Electrónica
      • PRP. Soporte y Atención al Cliente
      • Facturación Electrónica ERPs
    • Ciberseguridad / GRC
      • Análisis de Riesgos
      • Test de Intrusión
      • Implantación ISO 27001
      • ENS – Esquema nacional de seguridad
      • INES – Informe Nacional del Estado de Seguridad
    • Privacidad y Protección de Datos
      • Implantación RGPD
      • Auditoría RGPD
      • Delegado de Protección de Datos (DPD)
      • Formación
      • Adecuación a la LSSICE
  • ReferenciasNuestros clientes
  • PartnersNuestras alianzas
  • Área PrivadaProveedores / Clientes

Técnicas de anonimizar datos personales según las Autoridades Europeas de Protección de Datos.

  • Inicio
  • Blog
  • Técnicas de anonimizar datos personales según las Autoridades Europeas de Protección de Datos.
Técnicas de anonimizar datos personales según las Autoridades Europeas de Protección de Datos.

Técnicas de anonimizar datos personales según las Autoridades Europeas de Protección de Datos.

Por: Firma-e 07/10/2014 Categoría: Ciberseguridad/GRC

La entrada semanal de nuestro blog recoge en esta ocasión una publicación procedente de la plataforma Privacidad Lógica y publicada hace algunos meses que, por su interés y por las dudas que el tema sigue suscitando en los interesados, consideramos recomendable devolver a la actualidad ahora desde nuestras páginas.

Como decimos, este artículo titulado ‘Técnicas de anonimizar datos personales según las Agencias Europeas de Protección de Datos’, repasa el nuevo Dictamen europeo referente a la anonimización de datos personales y sus implicaciones para las distintas sociedades.

Publicado el 22 de Abril de 2014 por Francisco Javier Sempere

protección de datos“El Grupo del Artículo 29 de Protección de Datos, del que forman parte todas las Autoridades Europeas, ha elaborado un nuevo Dictamen referente a la anonimización de los datos personales (por cierto, bastante “infumable”), partiendo del “Open Data”, es decir, de la reutilización de datos que permita beneficios para la sociedad.

¿Qué es un dato anónimo?

La Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su Considerando 26 señala que“que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado”.

Por su parte, la Directiva 2002/58, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, también se refiere a la “anonimización” en parte de su articulado:

 – Considerando 26: Los datos sobre tráfico utilizados para la comercialización de los servicios de comunicaciones o para la prestación de servicios de valor añadido deben también eliminarse o hacerse anónimos tras la prestación del servicio.

– Artículo 6.1: (…) los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.

 – Artículo 9.1: En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido.

 Partiendo del citado articulado que acabamos de transcribir, el Grupo del Artículo 29 considera que para que exista una verdadera “anonimización” de datos personales, ésta debe ser irreversible, es decir, que no permita la identificación del titular de los datos personales, si bien hay que tener valorar el riesgo inherente a realizar dicha “anonimización”, ya que dado el estado actual de la tecnología, podemos encontrarnos con situaciones que, aunque a primera vista no parecía que permitiesen la reversibilidad, debido al uso de diferentes tecnologías, sí sea factible la misma, es decir, se pueda identificar al interesado.

 Ejemplo: los datos genéticos, ya que no sería suficiente con eliminar el nombre y apellidos, puesto que según el Grupo del Artículo 29 se puede obtener la identificación de la persona utilizando otros medios como obituarios, registros de genealogías, motores de búsqueda; incluso, aunque hubiese una donación anónima de ADN, utilizando los metadatos del mismo (momento de la donación, edad, lugar de residencia).

 Siguiendo con los citados riesgos, el responsable que realice la “anonimización” debe tener en cuenta, además:

– Diferenciarlo de la “pseudoanonimización”, que sí puede permitir la identificación del sujeto;

 – Que sean anónimos no supone que no sea aplicable la legislación. Así, por ejemplo, el artículo 5.3 de la Directiva 2002/58, sobre acceso a la información (incluyendo la de carácter no personal) del abonado;

 – El uso que se le dé a los datos anónimos, sobre todo en el caso de perfiles, ya que pueden tener un impacto negativo.

 Técnicas de anonimización y su relación con la tecnología.

 Según el Dictamen del Grupo del Artículo 29, existen diversas técnicas cuya aplicación dependerá del grado de madurez de la tecnología, debiendo tener en cuenta las siguientes tres premisas:

 – “Singling out”: supone aislar algunos datos del individuo de todo el conjunto de sus datos personales;

 –  “Linkability”: es la posibilidad de vincular al menos dos datos a un sujeto o grupo de sujetos, de manera que que si es sobre estos últimos, la anonimización sería “fuerte” respecto a aislar a un individuo (no se podría reconocer el mismo) pero sería “débil” sobre la “linkability” al poder identificarlo respecto a un grupo;

 –  “Inference”: permite conocer el valor de un atributo sobre el valor de conjunto de otros atributos.

 En este sentido, para el Grupo, cualquier técnica de anonimización, para que sea efectiva, debe ser capaz de superar los tres elementos citados anteriormente.

 Aunque en la práctica las técnicas de anonimización están siendo objeto de estudio, el Dictamen analiza principalmente la “randomization” y la “generalization”, aunque también se refiere a otras como “pseudonymisation”, “differential-privacy”, “l-diversity”, y “t-closeness”, poniéndolo en relación con las tres premisas citadas anteriormente, así como los riesgos que pueden producir.

 Para este análisis, el Grupo parte de que sobre cada individuo existen una serie de registros, que a su vez están formados por un conjunto de valores (por ejemplo, 2013) para cada atributo (por ejemplo, años).”

Termina de Leer el artículo original

Fuente Privacidad Lógica

Etiquetas:

empresas Europa Protección de datos

Compartir

Tweet

Lo más leído

  • Pilares de la Seguridad de la Información: confidencialidad, integridad y disponibilidad publicado el octubre 14, 2014
  • ¿Qué es un SGSI – Sistema de Gestión de Seguridad de la Información? publicado el febrero 19, 2013
  • ¿Qué es el Esquema Nacional de Seguridad – ENS? ¿Cuál es su ámbito de aplicación y sus objetivos? publicado el febrero 14, 2013
  • ¿Qué es un Test de Intrusión? (1ª parte) publicado el marzo 11, 2013
  • Firma electrónica: tipos de firma y sus diferencias publicado el junio 25, 2014

Categorías

  • Actualidad
  • Ciberseguridad/GRC
  • Gestión electrónica
  • Privacidad y Protección de Datos

Entradas recientes

  • PLATAFORMA INTELIGENTE FIRMA-E EUROPEA
  • Ciberseguridad, una asignatura obligada que pocos aprueban
  • OFICIALMENTE ya tenemos nueva Ley de Protección de Datos Personales ¿Cuáles son sus principales novedades?
  • Modificaciones “Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales”
  • ¿A qué empresas aplica la Factura Electrónica a través de FACeB2B?

Nuestra oficina

  • Av. Teniente Montesinos, 8, Edificio Z, 3ª planta, 30100 Espinardo, Murcia
    +34 968 93 18 12
    +34 868 94 26 41
    firma-e@firma-e.com

Info Face

Localización

– Ver en Google maps –

Contacto




Acepto la política de privacidad y protección de datos
Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES
Responsable: Firma, Proyectos y Formación S.L.; Finalidad: gestionar su solicitud de contacto; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.

© Firma, proyectos y formación, S.L. - 1999-2019
  • Contacto
  • Aviso Legal
  • Política de Privacidad
  • Política de Cookies
  • Política Corporativa de Calidad
  • Política Corporativa de Seguridad
NEWSLETTER

Introduce tu email para estar informado de todas las novedades

Acepto la política de privacidad y de datos

Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES

Responsable: Firma, Proyectos y Formación S.L.; Finalidad: enviarle las novedades y publicaciones informativas llevadas a cabo en Firma-e; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.