¿He mencionado recientemente que el Reglamento General de Protección de Datos (GDPR) es una ley complicada? Claro, hay algunos principios subyacentes, como la privacidad por diseño (PbD) y otras ideas, que una vez que entiendes, todo tiene más sentido. Pero hay muchas sorpresas cuando profundizas en la jerga legal. Por ejemplo, seudonimización.

¿Qué es eso?

Antes de explicar la seudonimización, es importante comprender que el RGPD de la UE solo cubre los datos personales. Es lo que en los Estados Unidos llamaríamos información de identificación personal (PII). Piense en nombres, direcciones, números de teléfono, números de cuenta y, más recientemente, direcciones de correo electrónico e IP.

Qué Son y qué no son los Datos Personales

¿Qué pasa si elimina estos identificadores de datos personales de, por ejemplo, una hoja de cálculo, un informe o algún otro contenido de archivo?

Estás liberado de las regulaciones oficiales del RGPD (y de las multas).

Tampoco tendría que implementar todos los principios de privacidad por Diseño (minimización, planes de retención) y salvaguardias de seguridad para estos datos no personales.

La propiedad intelectual de su empresa (software, planes de negocios para dominar el mundo y otros tipos de propiedad intelectual) tampoco está incluida en el RGPD.

Sí, esto significa que si los hackers roban los planes de marketing para el próximo lanzamiento de un gran producto, no tiene que informar del incidente a la autoridad local de protección de datos o a la DPA

Por supuesto, una empresa aún querría tomar medidas de protección de datos, ¿podemos recomendar un enfoque de adentro hacia afuera? – por su contenido, pero el GDPR no lo requiere!

El cifrado no es una solución

De vuelta a los datos personales. La mayoría de las empresas no pueden simplemente quitarlo de su contenido. Aunque, no es mala idea minimizar los archivos donde aparecen estos datos personales.

Una forma de tratar el contenido que contiene datos personales y reducir algunas de las cargas del RGPD es cifrarlo.

Bajo el GDPR, a diferencia de la Directiva de Protección de Datos anterior, el cifrado de datos le brinda algunos beneficios. Se menciona explícitamente como una forma legítima de abordar la seguridad del procesamiento de datos personales, uno de los requisitos clave de la ley.

Las empresas que cifran sus datos personales también tienen la ventaja de no tener que notificar a los interesados en caso de violación. (Sin embargo, aún así, tendrían que notificar al DPA local.)

¿Es el cifrado un truco barato que le permite evitar algunas de las reglas del RGPD de la UE?

no Es un mal truco y tiene algunas ventajas, pero no es barato.

En nuestra filosofía de IOS, consideramos el cifrado como una solución posible, pero muy poco práctica, para proteger los datos de los archivos. En pocas palabras: el cifrado al por mayor de archivos que contienen datos personales haría que sea muy difícil o casi imposible para los empleados realizar su trabajo.

Como hemos estado diciendo todo el tiempo, el sistema de archivos es donde los empleados guardan y comparten el contenido (hojas de cálculo, documentos, presentaciones) en el que están trabajando ahora. Son sus escritorios virtuales, y agregar una capa de cifrado es gustar mover cosas y hacer que su escritorio sea aún más descuidado — ¡a nadie le gusta eso!- además de ser administrativamente difícil de gestionar.

Seudonimización: Sustitución de Identificadores Por Códigos

Y esto finalmente nos lleva a la seudonimización.

Es una técnica aprobada por el RGPD para codificar datos personales con el fin de reducir algunas de las cargas de esta ley.

La idea es reemplazar los identificadores personales con un código aleatorio. Es la misma idea detrás de los escritores que usan seudónimos para ocultar sus identidades. El GDPR dice que puede hacer esto a mayor escala como una forma de disminuir algunos de los requisitos del GDPR.

En general, tendría que haber un sistema de admisión que procesara los identificadores de datos sin procesar y los convirtiera a estos códigos especiales. Y tendría que haber una tabla maestra que mapee los códigos de vuelta a los identificadores reales para aquellos procesos que necesitan la información original.

Utilizando este enfoque, los empleados podrían trabajar con archivos seudonimizados en los que se ocultarían las identidades de los interesados. El resto del archivo, por supuesto, sería legible.

El cifrado parcial es quizás una forma de pensar sobre esta técnica.

Al igual que el cifrado, la seudonimización se considera una medida de protección de seguridad (véase el artículo 32) y también se menciona explícitamente como una técnica de «protección de datos por diseño y por defecto» o PbD (véase el artículo 25). También se considera una técnica de minimización de datos personales, muy importante para el RGPD.

Y para las violaciones de datos, a este no abogado le parece que los interesados no necesariamente tendrían que ser notificados si sus datos seudonimizados fueran robados. Técnicamente, depende de si hay suficientes cuasi identificadores en el archivo robado (recuerde el código postal, la fecha de nacimiento y el género) para permitir que los hackers vuelvan a identificar al sujeto de los datos.

En cualquier caso, los seudónimos tienen otras ventajas. La gente de la IAPP, una organización sin fines de lucro para profesionales de la privacidad que ha escrito extensamente sobre el RGPD, tiene una excelente publicación de blog que explica más sobre el tema.

Y escribiré más sobre este tema en una publicación futura.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.