caes

Tecnologia

El que has de saber sobre la seudonimització de les dades

Què és la seudonimització? El Reglament (UE) 2016/479, del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades, art. 4.5, estableix que “la seudonimització és el tractament de dades personals de manera tal que ja no poden atribuir-se a un interessat sense utilitzar informació addicional, sempre que dita informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixin a una persona física identificada o identificable.” Segueix llegint! T’expliquem més sobre la seudonimització de les dades.

Publicat el

Anonimització i seudonimització de dades personals

Segons l’AEPD (l’Agència Espanyola de Protecció de Dades):

Els processos d’anonimització i seudonimització són una eina vàlida per a garantir la privacitat de les dades personals i les seves limitacions són inherents a l’avenç de la tecnologia.

Existeix una proporcionalitat manifesta en el que respecta a la capacitat tecnològica d’anonimitzar i la possibilitat de la reidentificació de les persones les dades de les quals han estat anonimitzades, és a dir, la mateixa capacitat de la tecnologia per a anonimitzar dades personals pot ser utilitzada per a la reidentificació de les persones. A més a més, s’ha de tenir en compte el risc que la pròpia societat de la informació afegeix a les dades anonimitzades, risc que per altra part evoluciona al llarg del temps, pel que s’haurà de contemplar el risc dels processos d’anonimització com una contingència latent al llarg de la vida de la informació i no en un moment concret, i en conseqüència, les mesures encaminades a valorar i gestionar els riscs han de tenir caràcter periòdic.

No és possible considerar que els processos d’anonimització garanteixin al 100% la no reidentificació de les persones, pel que serà necessari sustentar la fortalesa de l’anonimització en mesures d’avaluació d’impacte (EIPD), organitzatives, de seguretat de la informació, tecnològiques i, en definitiva, qualsevol mesura que serveixi tant per a atenuar els riscs de reidentificació de les persones com per a pal·liar les conseqüències de que aquests es materialitzin.

Diferències entre seudonimització i anonimització

Cal destacar que existeix entre els conceptes de seudonimització i anonimització. Com senyala l’AEPD en el document “La K-Anonimidad como medida de la privacidad” les dades seudonimitzades constitueixen informació sobre una persona física a partir de la qual és possible realitzar la seva identificació dins d’una probabilitat raonable tenint en compte mitjans i factors objectius, així com els costos, el temps i la tecnologia necessaris per a materialitzar la seva identificació.

La diferència del terme en ambdues normes ha evolucionat des d’una limitada anonimització a una materialització d’aquesta en el terme seudonimització del RGPD on es posa de manifest la dificultat d’aconseguir, en l’actualitat, una anonimització perfecta o que garanteixi, en termes absoluts l’emmascarament de la identitat de les persones.

En conclusió, amb una dada anonimitzada en cap cap és possible la vinculació de les dades amb la persona a la que hagués identificat. L’anonimització és, a més, un procediment irreversible. En canvi, la seudonimització es redueix a limitar la traçabilitat entre el conjunt de dades tractades i la persona física de la qual es queda la identitat associada a aquestes, per tant, és un procediment reversible en la majoria de les seves tècniques.

Tècniques de seudonimització

Per a la correcta seudonimització és molt important la custodia d’informació addicional que permet vincular la dada seudonimitzada amb el titular del mateix.

Tal i com apareix en el Dictamen 05/2014 del Grup de Treball sobre Protecció de Dades de Caràcter de l’article 29, de 10 d’abril de 2014, cinc tècniques de seudonimització més rellevants són:

Las 5 técnicas de seudonimización de datos personales

  • Xifratge amb clau secreta: el posseïdor de la clau pot reidentificar a l’interessat fàcilment. Amb aquesta tècnica de seudonimització tan sols és necessari desxifrar el conjunt de dades, degut a que aquest conté les dades personals, tot i que sigui en forma xifrada. Si s’apliquen els sistemes de xifrat més avançats, tan sols és possible desxifrar les dades si es coneix la clau.
  • Funció hash: es tracta d’una funció de seudonimització que retorna un resultat de grandària fixa a partir d’un valor d’entrada a qualsevol grandària (aquesta entrada pot estar formada per un sol atribut o per un conjunt d’atributs). Aquesta funció no és reversible, és a dir, no existeix el risc de revertir el resultat, com en el cas del xifrat. Tot i així, si es coneix el rang dels valors d’entrada de la funció hash, es poden passar aquests valors per la funció a fi d’obtenir el valor real d’un registre determinat. Habitualment, les funcions hash es dissenyen per a poder executar-se de manera relativament ràpida, pel que estan subjectes a atacs de força bruta que consisteixen en provar totes les possibles entrades per a crear taules de correspondència. També es poden crear taules precalculades per a aconseguir una reversió massiva d’un gran nombre de valors hash.
  • Funció amb clau emmagatzemada: és un tipus de funció hash que utilitza una clau secreta com valor d’entrada suplementari. El responsable del tractament pot reproduir l’execució de la funció amb l’atribut i la clau secreta.
  • Xifratge determinista o funció hash amb clau d’esborrat de clau: és una tècnica de seudonimització que equival a generar un nombre aleatori a mode de pseudònim per a cada atribut de la base de dades i, posteriorment, esborrar la taula de correspondència. Aquest tipus de seudonimització redueix el risc que entre les dades personals del conjunt de dades es vinculin amb les dades personals relatives a la mateixa persona contingudes en un altre conjunt de dades en el que s’utilitza un pseudònim diferent.
  • Descomposició en tokens: es tracta d’una tècnica de seudonimització que s’utilitza normalment en el sector financer per a intercanviar els números d’identificació de targetes per valors que són de poca utilitat pels atacats. Té el seu origen en les tècniques mencionades en els punts anteriors, i sol basar-se en l’aplicació de mecanismes de xifrat unidireccionals, o bé en l’assignació, mitjançant una funció de l’índex, d’un nombre de seqüència o un nombre generat aleatòriament que no derivi matemàticament de les dades originals.

Errors freqüents sobre seudonimització

Hi ha alguns errors sobre seudonimització que es repeteixen freqüentment:

  1. Pensar que un conjunt de dades seudonimitzat és anònim.
  2. Utilitzar la mateixa clau en bases de dades diferents: és de vital importància utilitzar claus diferents per a reduir la vinculació.
  3. Utilitzar claus diferents o claus rotatòries per a cada usuari: s’ha d’evitar utilitzar claus diferents per a diferents conjunts d’usuaris i canviar la clau segons l’ús.
  4. Conservar la clau: si la clau secreta s’emmagatzema junt amb les dades seudonimitzades, un atacant podria arribar a vincular-los amb l’atribut original.

En conclusió, la seudonimització consisteix en substituir un atribut per un altre en un registre. Així, tot i que segueixi existint la possibilitat de vincular a la persona física de manera indirecta amb el conjunt de dades origen es dificulta l’acció.

Esperem haver resolt els teus dubtes sobre el concepte de seudonimització, si creus que ens hem deixat informació rellevant o desitges que escriguem sobre altres temes, envia’ns un correu a hola@ecityclic.com i intentarem fer-ho ;)

Gràcies per llegir-nos!