Seudonimización de datos personales


Josep Aragonés Salvat     25/03/2021

El GDPR recomienda aplicar, en cualquier fase del tratamiento de datos personales, medidas técnicas y organizativas como la seudonimización, destinadas a cumplir de forma efectiva los principios de protección de datos y proteger los derechos de los interesados.

La seudonimización es una medida que permite obtener un nivel de seguridad adecuado al riesgo, aunque su implementación estará limitada al estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, siempre ponderados con la probabilidad y gravedad de los riesgos para los derechos y libertades de las personas físicas.

La seudonimización, a efectos del GDPR, es el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

El proceso de seudonimización consiste en reemplazar los identificadores de los datos personales por un atributo o código no público, que impida reconstruir el identificador inicial, pudiendo tratar los datos relacionados sin saber a qué persona pertenecen. Este proceso siempre será reversible de tal forma que pueda recuperarse el dato personal original. Por tanto, será fundamental garantizar la custodia de la información adicional asociada para que no permita vincular el dato seudonimizado con el del titular. Los datos seudonimizados se consideran igualmente datos personales, por lo que les es de aplicación el GDPR y la LOPDGDD.

La anonimización puede ser otra medida a implementar cuando sea irrelevante identificar al interesado. En este caso se deberá eliminar cualquier información que guarde relación con una persona física identificada o identificable, ni utilizando información adicional, o sea, se convertirán en datos anónimos de forma irreversible y por tanto quedarán fuera del ámbito de aplicación de la normativa de protección de datos (GDPR y LOPDGDD).

Ventajas de aplicar medidas de seudonimización de datos personales

  • El GDPR “incentiva” el uso de la seudonimización estableciendo obligaciones menos estrictas para los responsables y encargados del tratamiento que adopten este tipo de medida de seguridad, de tal manera que les permitirá:
  • Tratar datos personales (junto con otros requisitos) con una finalidad distinta a la inicial, sin basar este tratamiento ulterior en el consentimiento del interesado o en una obligación legal (art. 6.4.e GDPR)
  • Planificar la protección de datos desde el diseño y por defecto (art. 25 GDPR).
  • Garantizar un nivel de seguridad adecuado al riesgo (art. 32.1.a GDPR).
  • Reducir los riesgos para los interesados afectados en caso de una brecha de seguridad (por ejemplo, un ciberataque), si las técnicas de seudonimización empleadas impiden al ciberdelincuente la reversión de los datos personales afectados por el ciberataque a los datos originales (cdo. 28 GDPR).
  • Disminuir las posibilidades de que la AEPD iniciara un procedimiento sancionador, o ser una de las eximentes a la obligación de tener que notificar una brecha de seguridad a los interesados afectados (art. 34.3.a GDPR).
  • Constituir las garantías adecuadas (junto con otras medidas) que permitan un tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siempre que de esa forma puedan alcanzarse dichos fines (art. 89 GDPR).
  • Utilizar lícitamente datos personales con fines de investigación en salud y, en particular, biomédica, bajo unas condiciones específicas determinadas (disp. ad. 17 LOPDGDD).
  • Llevar a cabo transferencias internacionales de datos personales en base a las garantías adecuadas del artículo 46 GDPR, al estar incluida como medida técnica adicional dentro de la lista (no exhaustiva) del anexo 2 de las Recomendaciones 1/2020 del Comité Europeo de Protección de Datos (EDPB).


Guías de la AEPD relacionadas con la seudonimización y anonimización de datos personales


Normativa relacionada con la seudonimización y la anonimización de datos personales


Artículo 4.5 GDPR. Definiciones

A efectos del presente Reglamento se entenderá por:

«seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

Artículo 6.4 GDPR. Licitud del tratamiento

Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado (...), el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas: (...)

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Artículo 11 GDPR. Tratamiento que no requiere identificación

1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.

2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

Artículo 25.1 GDPR. Protección de datos desde el diseño y por defecto

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. (...)

Artículo 32.1 GDPR. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales; (...)

Artículo 89.1 GDPR. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo. (...)

Considerando 26 GDPR

Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

Considerando 28 GDPR

La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

Considerando 29 GDPR

Para incentivar la aplicación de la seudonimización en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional para la atribución de los datos personales a una persona concreta. El responsable que trate datos personales debe indicar cuáles son sus personas autorizadas.

Considerando 75 GDPR

Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; (...)

Considerando 78 GDPR

(...) A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. (...)

Considerando 156 GDPR

El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). (...)