La Agencia Española de Protección de Datos ha publicado dos nuevas guías: una para fomentar la reutilización de la información del sector público y otra para facilitar los procedimientos de anonimización de datos personales.
La guía ‘Orientaciones y garantías en los procedimientos de anonimización de datos personales’ pretende facilitar unas pautas útiles para implementar estas técnicas, ya que este recurso adquiere una gran importancia para garantizar la protección de los ciudadanos en el desarrollo de estudios e investigaciones de interés social, científico y económico.
La Ley 37/2007, sobre reutilización de la información del sector público, modificada por la Ley 18/2015, establece la obligación inequívoca para las Administraciones y organismos del sector público de autorizar la reutilización de los documentos y ampliar su ámbito de aplicación a las bibliotecas, los museos y los archivos. La Ley señala que la reutilización de documentos que contengan datos de carácter personal se regirá por lo dispuesto en la Ley Orgánica 15/1999, de protección de datos de carácter personal (LOPD).
Los principales riesgos asociados a la reutilización y puesta a disposición de la información del sector público están relacionados con la reidentificación de los ciudadanos, teniendo en cuenta el valor económico de los datos personales y los perfiles de conducta que pueden obtenerse a partir de ellos, por ejemplo, a través de técnicas como el big data o la minería de datos. La Agencia considera que la constatación de estos riesgos no debería conducir a la restricción de las posibilidades de reutilización de la información del sector público, máxime teniendo en cuenta las innegables ventajas que puede suponer en materia de innovación, crecimiento de la economía e impulso de la sociedad de la información y el conocimiento.
Por su parte, la guía 'Orientaciones sobre protección de datos en la reutilización de la información del sector público' recoge los aspectos que deben tener en cuenta los gestores de las instituciones públicas para impulsar la reutilización de la información y facilitar la puesta a disposición de la misma con las debidas garantías en materia de protección de datos.
Anonimización
Según señala la AEPD, "el tratamiento y la explotación de grandes volúmenes de información pueden ofrecer múltiples beneficios a la sociedad siempre que se mantenga el respeto por los derechos de las personas, su privacidad y la protección de sus datos personales. En este contexto, la anonimización de los datos personales adquiere un valor especial como una fórmula que puede garantizar el avance de la sociedad de la información sin menoscabar el respeto a la protección de datos. Para alcanzar este objetivo es preciso garantizar la irreversibilidad de la anonimización."
En este sentido, "La finalidad del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, es decir, además de evitar la identificación de las personas, los datos anonimizados deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva una distorsión de los datos reales."
En el proceso de anonimización se deberá producir "la ruptura de la cadena de identificación de las personas" , tanto directa como indirecta (entendiéndose por identificación indirecta aquella que pueda tener lugar "como consecuencia de información de una o varias fuentes que por sí misma o en combinación de otros factores puede permitir la reidentificación de las personas cuando sus datos hubieran sido anonimizados. Por ejemplo, la combinación de sexo, edad, lugar de nacimiento y padecimiento de una determinada enfermedad pueden permitir la identificación indirecta de una persona concreta").
En el diseño del proceso de anonimización será necesario prever las consecuencias de una eventual reidentificación de las personas que pudiera generar un perjuicio o merma de sus derechos. Igualmente será necesario prever una hipotética pérdida de información por negligencia del personal implicado, por falta de una política de anonimización adecuada o por una revelación de secreto intencionada que diera lugar a la pérdida de las variables de identificación o claves de identificación de las personas.
Principios de anonimización
Los procesos de anonimización se deben de enfocar desde el concepto de protección de datos desde el diseño, lo que significa que los requisitos de privacidad serán tenidos en cuenta desde las etapas iniciales del diseño del sistema de información o del producto utilizado para el proceso de anonimización y durante todo el ciclo de vida de dicho producto o sistema de información.
El concepto de privacidad desde el diseño en los procesos de anonimización puede resumirse en la aplicación de los siguientes principios:
1. Principio proactivo.
La protección de la privacidad es el primer objetivo de la anonimización y su gestión debe realizarse de forma proactiva y no reactiva. Desde el inicio conceptual del diseño del sistema de información o producto a utilizar en el proceso de anonimización se tomarán las medidas necesarias para garantizar la privacidad de las personas. La privacidad no puede garantizarse a posteriori como el resultado de la reparación de brechas existentes en el proceso de anonimización o perjuicios ocasionados a los interesados, por lo que es necesario asegurar la inexistencia de posibles cadenas de reidentificación de los interesados en los datos anonimizados.
Una medida importante en el estado inicial del concepto de un sistema de información o producto empleado en los procesos de anonimización es realizar una clasificación inicial de los datos y disponer de una escala o gradiente de sensibilidad de la información. Esta clasificación puede ser cualitativa o cuantitativa y servirá de referencia dentro de una organización.
Por ejemplo, puede desarrollarse un esquema de clasificación consistente en un esquema basado al menos en tres niveles de identificación de personas (microdatos, datos de identificación indirecta y datos sensibles), donde se asigne un valor cuantitativo a cada una de las variables de identificación. La escala será conocida por todo el personal implicado en el proceso de anonimización y será clave fundamental a tener en cuenta en el análisis de riesgos o Evaluación de Impacto en la Protección de los Datos Personales (EIPD2 ) del proceso de anonimización.
2. Principio de privacidad por defecto.
El primer requisito conceptual en el diseño de un sistema de información será garantizar la confidencialidad de los interesados. Por lo tanto, conviene que desde el inicio se salvaguarde la privacidad teniendo en cuenta la granularidad o grado de detalle final que deben tener los datos anonimizados. En este sentido, mantener una escala cualitativa o cuantitativa como la referida en el punto anterior es una herramienta de indudable utilidad para la eliminación de las variables atendiendo a criterios de granularidad preestablecidos.
3. Principio de privacidad objetiva.
Como resultado de la EIPD existirá un umbral de riesgo o índice de riesgo residual de reidentificación. Este índice de riesgo será asumido por el responsable del fichero y del tratamiento como riesgo aceptable y será tenido en consideración para el diseño del proceso de anonimización. Finalmente, el umbral de riesgo residual de reidentificación será conocido por el destinatario de la información anonimizada y, cuando los datos anonimizados sean para uso público, también se dará a conocer públicamente informando de dicho riesgo a las personas o entidades que utilicen la información.
4. Principio de plena funcionalidad.
Desde el inicio del diseño del sistema de información se tendrá en cuenta la utilidad final de los datos anonimizados, garantizando en la medida de lo posible la inexistencia de distorsión con relación a los datos no anonimizados. De esta forma, se garantizará la utilidad de los datos anonimizados. En algunos casos, con el fin de garantizar la privacidad de las personas, puede ser necesario utilizar distorsiones de rango geográficas como en el caso de personas con patologías extremadamente raras. En estos casos se comunicará al destinatario de la información el motivo por el que se han utilizado varianzas de rango geográfico o cualquier otro tipo de varianzas que hubieran sido utilizadas en el proceso de anonimización (temporales, de longitud, etc.)
5. Principio de privacidad en el ciclo de vida de la información.
Las medidas que garantizan la privacidad de los interesados son aplicables durante el ciclo completo de la vida de la información partiendo de la información sin anonimizar. Por ejemplo, en el inicio de proceso de anonimización se procede a la eliminación de las variables de identificación que no se consideren necesarias o que no fuera posible anonimizar y, una vez se inicia la explotación de la información anonimizada, se seguirán tomando medidas que garanticen la privacidad de los interesados, como auditorías en las que se verifique el uso de la información, procedimientos de destrucción de la información, etc.
6. Principio de información y formación.
Una de las claves para garantizar la privacidad de los interesados es la formación e información que se facilite al personal involucrado en el proceso de anonimización y en la explotación de la información anonimizada. Durante el ciclo de vida de la información, todo el personal con acceso a los datos anonimizados o no anonimizados será convenientemente formado e informado acerca de sus obligaciones. El diseño del sistema de información o producto utilizado para el proceso de anonimización contemplará esta necesidad desde su diseño conceptual, teniendo en cuenta los perfiles y las necesidades de cada uno de los actores involucrados en el proceso de anonimización.
Garantías del proceso de anonimización
Según señala la AEPD, "El proceso de anonimización no puede asegurar la imposibilidad de reidentificación de las personas en términos absolutos, motivo por el cual se deben de tener en cuenta las garantías jurídicas necesarias para preservar los derechos de los interesados.
En este sentido algunos de los aspectos que deben ser tenidos en cuenta son:
1. Acuerdos de confidencialidad que impliquen a los siguientes actores:Responsable del fichero; Responsable del proceso de anonimización; Responsable del tratamiento de datos anonimizados; Personal con acceso a la información anonimizada.
2. Obtener el compromiso del destinatario de la información para mantener la anonimización y la obligación de informar al responsable del fichero ante cualquier sospecha de reidentificación.
3. Realización de auditorías de uso de la información anonimizada por parte del responsable del fichero al responsable del tratamiento de los datos anonimizados.
4. Las garantías estarán incluidas en el contrato suscrito entre el responsable del fichero y el destinatario de la información anonimizada.
La reutilización de la información pública y la protección de datos personales
En cuanto al tema abordado por la otra Guía difundida hoy, sobre reutilización de la información del sector públicio, que complemente al anterior sobre procedimientos para llevar a cabo la anonimización de los datos personales, se señala que "La información generada por el sector público, con la potencialidad que le otorga el desarrollo de la sociedad de la información, posee un gran interés para las empresas a la hora de operar en sus ámbitos de actuación, contribuyendo al crecimiento económico y a la creación de empleo". Ello "favorece su reutilización para la provisión de nuevos productos y servicios", pero esta reutilización debe compatibilizarse con el derecho fundamental a la protección de datos reconocido en el artículo 18.4 de la Constitución y en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
En este sentido debe recordase que la Ley 37/2007, de 16 de noviembre contempla referencias específicas a la normativa de protección de datos personales, señalando que la reutilización de documentos que contengan datos de carácter personal se regirá por lo dispuesto en la Ley Orgánica 15/1999 de protección de datos de carácter personal (LOPD) (artículo 4.6). Esta remisión a la LOPD implica que la obligación general de reutilización no es automática cuando está en juego el derecho a la protección de datos personales y que el organismo del sector público no puede invocar sistemáticamente la necesidad de cumplir con la Ley de reutilización como razón legítima para facilitar estos datos, ya que dicha ley, en sí misma, no supone una legitimación para su tratamiento.
Por todo ello la guía concluye:
1. La Ley 37/2007, de reutilización de la información del sector público, no legitima por sí misma la difusión de datos personales ya que su tratamiento se rige por la LOPD.
2. La decisión sobre la reutilización de la información del sector público está condicionada por las limitaciones incluidas en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, en lo que afectan al tratamiento de datos personales, tal y como exige el artículo 3.4 de la Ley 37/2007. Estas limitaciones deben ponderarse de manera diferente según que los datos sean objeto de publicidad activa o estén relacionados con el ejercicio individual del derecho de acceso a la información pública (para más detalles se recomienda consultar el apartado 2 de este documento).
3. Para decidir si se facilitan datos personales con fines de reutilización es necesario examinar los riesgos para los interesados y las medidas que pueden minimizarlos mediante una evaluación de impacto sobre los datos personales (puede ampliar la información en el apartado 3 de este documento).
4. La alternativa más apropiada para permitir la reutilización de información pública que contenga datos personales es proceder a su anonimización, de forma que estén excluidos de la aplicación de la normativa de protección de datos personales.
5. La evolución tecnológica y la diversidad de fuentes disponibles con datos personales pueden dificultar una adecuada anonimización de la información. Por ello, la anonimización exige evaluar los riesgos de que el reutilizador pueda reidentificar a las personas (para ampliar la información sobre estos riesgos puede consultar el apartado 4). Además, puede ampliar la información sobre cómo proceder a la anonimización consultando las Orientaciones elaboradas por la Agencia.
6. Para garantizar que no se reidentifiquen los datos personales, las medidas técnicas y organizativas dirigidas a anonimizarlos pueden complementarse con compromisos jurídicamente vinculantes (más información en el apartado 5).
7. La opción más apropiada para exigir compromisos jurídicos para evitar la reidentificación es la concesión de licencias específicas, prevista en la Ley 37/2007 (puede ampliar la información sobre este punto en el apartado 6).
8. La evaluación de impacto sobre los datos personales o sobre los riesgos de reidentificación si se opta por la anonimización puede ser realizada por la administración, pero también sería posible solicitar la colaboración de los reutilizadores (véase el apartado 5).