Seguint la idea d'aquest apunt de Thomas Zerdick, cap de la Unitat de Tecnologia i Privacitat del Supervisor Europeu de Protecció de Dades, la primera regla d’or en protecció de dades seria que, si no necessites dades personals, no les recullis. I la segona? Doncs, si necessites dades personals, comença per pseudonimitzar-les. Bé, potser seria millor dir: comença per valorar pseudonimitzar.
Aquesta mesura, que usualment és l'excepció, tret de sectors molt concrets, hauria de ser "mirada" des d'una altra perspectiva per tal d'integrar-la en els processos de disseny i desenvolupament de la tecnologia. Un bon propòsit per començar el 2022? Bé, com a mínim anar-ho plantejant, ja que aquest any i tots els que seguiran continuaran marcats per l'economia de la dada, per una societat datificada i digitalitzada.
Dit això, i donant per assolida la primera regla, els responsables del tractament només tracten les dades personals que són estrictament necessàries per desenvolupar les competències i funcions que tenen atribuïdes. Partint de la premissa que qualsevol actuació que comporti el tractament de dades personals ha de posar la persona en el centre i eliminar o reduir qualsevol risc que se’n pugui derivar per als seus drets i llibertats, cal veure què és i què ens exigeix la pseudonimització.
El Reglament General de Protecció de Dades (RGPD) defineix la pseudonimització, en l'article 4.5, com "el tractament de dades personals de manera que ja no es puguin atribuir a un interessat sense utilitzar informació addicional, sempre que aquesta informació consti per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixen a una persona física identificada o identificable".
Per tant, comporta que la finalitat que el responsable vol assolir requereix tractar dades personals i, en conseqüència, necessita una base jurídica (art. 6 del RGPD) que en legitimi el tractament. És important distingir-la del cas de l’anonimització, en què l’assoliment de la finalitat perseguida no requeriria tractar dades personals i, per tant, no seria aplicable la normativa de protecció de dades.
Recordem que les dades personals pseudonimitzades s’han de considerar informació sobre una persona física identificable. Per tant, els tractaments de dades pseudonimitzades continuen subjectes al compliment de les obligacions regulades en la normativa de protecció de dades.
En definitiva, la pseudonimització és un instrument de la protecció de dades des del disseny i per defecte, és un element del principi de responsabilitat proactiva i és, també, un exemple de l’aplicació de l’enfocament en el risc. La seva aplicació no exclou cap altra mesura aplicable i cal considerar-la una eina per ajudar els responsables del tractament a complir les seves obligacions i per reduir els riscos per a les persones (p. ex., en cas que es produeixi una violació de seguretat).
La pseudonimització es pot aplicar en qualsevol fase o moment del tractament (recollida, registre, estructuració, extracció, consulta, comunicació, etc.). En concret, s'hauria d’aplicar tan aviat com fos possible, sense desvirtuar el compliment de la finalitat del tractament.
Si bé la determinació de si s’apliquen o no tècniques de pseudonimització, i en quin moment, correspon al responsable del tractament, el principi de responsabilitat proactiva també li exigiria triar un encarregat del tractament que pugui garantir-la, ja que entraria dins de la diligència necessària en la seva elecció.
A més, la LOPDGDD, en l'article 28, estableix que, tant el responsable com l’encarregat del tractament, en el moment de fixar les mesures tècniques i organitzatives més apropiades per garantir i acreditar que el tractament és conforme a la normativa de protecció de dades, han de tenir en compte, en particular, els riscos superiors que es poden produir, entre d'altres, quan el tractament pugui generar la reversió no autoritzada de la pseudonimització.
Anant una mica més enllà, si tenim present el que estableix el considerant 78 del RGPD, que indica que “[…] Cal encoratjar els productors de les aplicacions, dels productes i dels serveis basats en el tractament de dades personals perquè tinguin en compte el dret a la protecció de dades quan els desenvolupen, dissenyen, seleccionen i usen i que s’assegurin, amb la deguda atenció a l’estat de la tècnica, que els responsables i els encarregats del tractament estan en condicions de complir les seves obligacions en matèria de protecció de dades […]", el responsable hauria de buscar les solucions tècniques més apropiades (en el disseny i el desenvolupament) per complir les obligacions establertes a la normativa de protecció de dades, que també inclouria la possibilitat de pseudonimitzar les dades quan escaigui.
Finalment, i només a títol d’exemple, un dels àmbits on la pseudonimització pren una especial rellevància com a mesura per reduir riscos és en la recerca científica, i així ho recull el RGPD en el considerant 156: “[…] El tractament posterior de dades personals amb finalitats d'arxiu en interès públic, finalitats de recerca científica o històrica o finalitats estadístiques, s’ha d’efectuar quan el responsable del tractament hagi avaluat la viabilitat de complir aquestes finalitats mitjançant un tractament de dades que no permet identificar els interessats, o que ja no ho permeti, sempre que hi hagi les garanties adequades (com, per exemple, la pseudonimització de dades).”
En aquest marc, la disposició addicional 17.2.d de la LOPDGDD ha recollit expressament que “es considera lícit l’ús de dades personals pseudonimitzades amb finalitats de recerca en salut i, en particular, biomèdica […]". Regula, també, que es poden reidentificar les dades en el seu origen quan, amb motiu d’una recerca que utilitzi dades pseudonimitzades, s’apreciï que hi ha un perill real i concret per a la seguretat o la salut d’una persona o un grup de persones, o una amenaça greu per als seus drets o sigui necessari per garantir una assistència sanitària adequada.
Però, si bé en aquest entorn de recerca pren tota la rellevància, res no obsta perquè s'apliqui de manera més general en qualsevol tractament de dades personals. En conclusió, la pseudonimització té un gran potencial per convertir-se en un element essencial a tenir en compte dins de l’estratègia per al compliment de la normativa de protecció de dades de les organitzacions.