Anonimitzar: "Fer anònimes unes dades per impedir la identificació personal."
Pseudonimització: "Tècnica de confidencialitat de les dades personals que consisteix a substituir les informacions que identifiquen una persona per un pseudònim."
Pseudònim: "Nom fals emprat per un autor en lloc del seu."
Totes aquestes definicions, que pots trobar a l’Optimot, es refereixen a conceptes que has de tenir ben presents a l’hora de gestionar la informació des de la perspectiva de la normativa de protecció de dades personals. Les definicions transcrites de diccionaris serveixen com a primera aproximació a aquests conceptes, però el que interessa de debò és conèixer què disposa la normativa de protecció de dades respecte d’aquests conceptes, sobretot el Reglament general de protecció de dades (RGPD).
En aquest apunt, em referiré a tres tipus de dades: 1) “dades anònimes” o “dades dissociades” (que podem considerar equivalents); 2) “dades pseudonimitzades”, i 3) “dades personals” (que, com veurem, inclouen les pseudonimitzades).
Dades personals: l’article 4.1 del RGPD defineix aquest concepte com “qualsevol informació sobre una persona física identificada o identificable”. Estem parlant, doncs, de qualsevol tipus d’informació o dada que es pot vincular o atribuir a una persona física, ja sigui perquè apareix identificada directament o bé perquè es pot identificar indirectament, sense esforços desproporcionats, a partir del context i de la combinació de diversos elements.
En relació amb la possibilitat que una persona sigui “identificable”, el considerant 26 del RGPD disposa el següent: “Per determinar si una persona física és identificable, cal tenir en compte tots els mitjans que raonablement pot utilitzar el responsable del tractament o qualsevol altra persona per identificar directament o indirectament la persona física, com per exemple la singularització. Per determinar si hi ha una probabilitat raonable que s'utilitzin mitjans per identificar una persona física, cal considerar-ne tots els factors objectius, com els costos i el temps necessaris per a la identificació, tenint en compte tant la tecnologia disponible en el moment del tractament com els avenços tecnològics.”
Dades anonimitzades o dissociades: de manera antagònica al concepte de "dades personals", que identifiquen les persones, les dades anomenades "dissociades" o "anonimitzades" han trencat el fil conductor entre una informació i una persona física, de manera que no és possible reidentificar-la ni revertir el vincle o la connexió que les unia; són dades, doncs, en què la informació s’ha separat de la persona. Per això es parla de dades dissociades. També encaixarien en aquest mateix concepte les dades agregades, que contenen informació resumida o general i que pot estar referida a un nombre o percentatge de persones físiques d’un col·lectiu, a les quals, però, no s’identifica. Aquestes dades agregades se solen utilitzar quan la finalitat estadística no requereix que es tractin dades personals o el resultat d’aquell tractament no s’utilitza per donar suport a mesures o decisions relatives a persones físiques concretes, tal com disposa el considerant 162 del RGPD.
Sobre les dades dissociades o anonimitzades, el considerant 26 del RGPD precisa que “els principis de protecció de dades no s’apliquen a la informació anònima, és a dir, a la informació que no té relació amb una persona física identificada o identificable, ni a les dades convertides en anònimes de manera que la persona interessada no sigui identificable o deixi de ser-ho”. Per tant, si la informació no es pot vincular a una persona física concreta, el concepte de "dada personal" no entra en joc i, en conseqüència, a aquesta informació no li són aplicables els principis i les garanties que estableix el RGPD i la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). Els aspectes més destacats de la LOPDGDD es van tractar en un apunt anterior d’aquest espai, que pots consultar aquí.
Dades pseudonimitzades: l’article 4.5 del RGPD defineix la pseudonimització com “el tractament de dades personals de manera que ja no es puguin atribuir a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixen a una persona física identificada o identificable”. Són dades que contenen informació vinculada a una persona física a la qual s’ha assignat un número, un codi o un element equivalent, de manera que no es pot identificar directament sinó que cal disposar d’informació addicional que té l’accés restringit.
El considerant 26 del RGPD, ja esmentat, també es refereix a aquesta categoria de dades: “Les dades personals pseudonimitzades, que es podrien atribuir a una persona física utilitzant informació addicional, s’han de considerar informació sobre una persona física identificable.” Així doncs, cal subratllar que aquesta tipologia de dades seria una subcategoria o subtipus de dades personals, a la qual s’aplicarien, per tant, els principis i les garanties del RGPD i de la LOPDGDD, en la mesura que la persona pot ser identificable.
Al RGPD, la pseudonimització es configura com una mesura vinculada directament al principi de seguretat (art. 5.1.f) i, indirectament, al de minimització de les dades (art. 5.1.c). Per tant és un mecanisme que pot reduir els riscos per a les persones i contribuir que els responsables i encarregats del tractament compleixin les obligacions de protecció de dades (considerant 28) i pseudonimitzin les dades personals al més aviat possible (considerant 78). La importància d’aquesta pràctica està corroborada pel fet que figura en el primer lloc de la llista de l’article 32.1 del RGPD, sobre mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc. Això, a banda de moltes altres mencions en l’articulat del RGPD en aquesta línia, com ara la de l’article 89 sobre els tractaments de dades amb finalitats d’arxius en interès públic, en què s’encoratja a pseudonimitzar les dades quan no sigui possible anonimitzar o dissociar.
Un cop exposada la base teòrica de la trilogia formada pels conceptes vistos, a continuació en poso alguns exemples:
- Dada personal: “Carles San José Amat ha escrit un article sobre anonimització i pseudonimització de les dades per a l’EAPC.” Un altre: “El senyor C.S.A. ha escrit un article sobre anonimització i pseudonimització de les dades per a l’EAPC.” I un més: “El cap d’Inspecció de l’APDCAT ha escrit un article sobre anonimització i pseudonimització de les dades per a l’EAPC.” En el primer cas, una informació es vincula a la persona identificada pel seu nom i cognoms, mentre que en el segon i el tercer la identificació és indirecta.
- Dada pseudonimitzada: “L’agent policial amb número de TIP 123456 informa que va presenciar […].” Un altre: “Ha comparegut com a testimoni davant el Tribunal l’agent amb codi C3POR2D2.” I l’últim: “L’estudiant universitari amb el NIA 123456789 ha obtingut una beca per […].” En tots els exemples, les persones que accedissin a aquesta informació no podrien vincular-la a la persona física a la qual es refereix cadascun dels codis; per fer-ho, caldria acudir a una informació addicional que té un sistema d’accés més restringit.
- Dada dissociada o anònima: “A la senyora Maria […], se li ha estimat la reclamació que va formular davant la GAIP contra la resolució de l’Ajuntament de […], que desestimava la seva sol·licitud d’accés a informació pública.” Un altre: "Al senyor […], se li ha imposat una sanció per una infracció de trànsit al municipi de […]”. En ambdós casos, s’han ocultat les dades d’identificació i, alhora, s’ha evitat qualsevol possibilitat d’identificació indirecta.
Si en algun moment et pertoca aplicar mesures d’anonimització de la informació, cal que tinguis cura que l’ocultació de les dades sigui efectiva. Perquè, malauradament, hi ha bastant casos de divulgació d’informació pretesament anonimitzada o dissociada en què no s’ha aconseguit evitar la identificació indirecta de la persona afectada. Deixo de banda alguns casos en què l’ocultació havia estat tan grollera i poc acurada que ni tan sols mereix el qualificatiu d’"anonimització incorrecta".
Poso aquí alguns exemples d’anonimització incorrecta:
- Substituir el nom i cognoms per les inicials, juntament amb altres dades (localitat, entitat on es presta serveis, etc.), que permetrien identificar la persona.
- Ocultar totes les dades identificatives d’un document, però mantenir el CSV (codi segur de verificació), de manera que qualsevol podria accedir al contingut íntegre.
- Publicar imatges de persones amb pixelació del rostre, però mantenir altres elements que permeten identificar-les. (Aquí en trobaràs un exemple publicat recentment als mitjans.)
Aquestes darreres consideracions sobre la necessitat de ser diligent en l’anonimització tenen una importància formidable en relació amb la transparència, tant en el vessant de publicitat activa com en el d’accés a informació pública. En efecte, la Llei 19/2014 ha establert en diversos preceptes (art. 7, 23 i 24) el límit relatiu al dret a la protecció de dades personals. Quan hi concorre aquest límit, la llei disposa en l’article 25 la figura de l’accés parcial, com a solució que permet conciliar els diferents drets que interactuen. Però, com estableix l’apartat 3 del mateix article 25, “l’Administració ha de garantir, pels mitjans més adients, la reserva de la informació afectada per les limitacions legals”.
Espero que el que acabes de llegir et serveixi per familiaritzar-te i comprendre millor els conceptes de la pseudonimització, l’anonimització o la dissociació de la informació que conté dades personals.