¿En qué base es posible la anonimización de datos personales y qué significa realmente anonimizar? Estas preguntas son especialmente importantes en el contexto del Big Data y la Inteligencia Artificial.
Introducción
La RGPD solo aplica a datos personales o relacionados con personas. Define en Art. 4 Número 5 la pseudonimización como una forma de inferir a una persona a partir de los datos disponibles. Los datos pseudónimos son, por lo tanto, igualmente cubiertos por la RGPD porque son relacionados con personas.
El concepto de personenbeziehbarkeit debe ser entendido en un sentido muy amplio. Esto se desprende, entre otros, del sentencia del TJUE del 19.10.2016 – C-582/14, según la cual incluso las direcciones IP dinámicas deben considerarse como datos personales (porque son personenbeziehbare) . El Tribunal Supremo alemán confirmó esto.
Mi tesis: La anonimización de datos personales para fines legítimos siempre está permitida.
Mi tesis, para la cual doy fundamentos en el artículo.
El Tribunal de Justicia de la Unión Europea (TJUE) estableció que los datos se consideran personales incluso si, en teoría, y posiblemente con la ayuda de terceros como servicios secretos o proveedores de telecomunicaciones, fuera posible identificar a una persona a partir de un valor de datos.
Por lo tanto, el RGPD se aplica a todos los datos que tengan relación con una persona o, con mayores esfuerzos razonables y objetivamente realizables, podrían relacionarse con una persona.
Datos anónimos y datos anonimizados
Datos anónimos son por definición no personales y no identificables.
El RGPD no se aplica a los datos anónimos.
Los datos anónimos no se pueden relacionar con una persona en particular.
Debido a las aplicaciones de Big Data, que incluyen también la Inteligencia Artificial, sería posible en cada caso individual, mediante el análisis de un gran conjunto de datos con una cierta probabilidad, llegar a una persona en particular. Esto solo puede lograrse si existe un Registro de Personas. Si no hay registro de personas, lógicamente tampoco se puede derivar un vínculo personal (real o seguro) de los datos anónimos.
Los datos anonimizados son datos que, aunque provienen de datos personales, han sido anonimizados. La siguiente tabla ayudará a comprender la diferencia.
| Anonimo vs. anonimizado | Fuente de datos |
|---|---|
| Datos anónimos | Zufall o.ä. |
| Datos anonimizados | Datos personales |
En última instancia, no importa la terminología siempre y cuando la anonimización haya sido perfectamente realizada. Teóricamente sería posible que un procedimiento de anonimización matemáticamente no fuera infalible debido a posibilidades numéricas o estadísticas que permitirían revertir o descifrar la anonimización que en realidad no se llevó a cabo.
La cuestión de cuándo una anonimización es perfecta no se abordará aquí. En cambio, se analizará si el proceso de anonimización es compatible con el RGPD. Previamente, se presentarán ejemplos para aclarar la diferencia entre datos pseudónimos y datos anónimos,
Ejemplos de datos pseudónimos, anonimizados y anónimos
Los datos pseudónimos son aquellos que no son personales, pero pueden referirse a personas con la adición de información adicional. Esto es mi explicación informal de una definición que en Artículo 4 Número 5 RGPD se da de manera diferente, aunque según mi opinión es idéntica en su núcleo.
Se considerarán sinónimos los términos "seudónimos" y "datos pseudónimos" con fines de simplificación. Es posible que no exista diferencia entre ambos términos, lo cual no he investigado en detalle y, para mí, al menos por ahora, no tiene relevancia.
Como punto de partida para datos pseudónimos se utiliza en este ejemplo un dato personal, a saber la dirección IP 192.168.66.77 ejemplar. La siguiente tabla muestra varias posibilidades para almacenar una información que posteriormente puede ser evaluada junto con la IP. (Note: I kept the "" untouched as per your request).
| Tipo de valor de datos | Ejemplo de expresión | Regla educativa |
|---|---|---|
| Pseudónimo | 4711 | Crea un valor hash a partir del valor de entrada y reemplázalo por ese valor hash |
| Pseudónimo | 192.168.66.x | Igualiza el último byte del valor de entrada |
| Pseudónimo | 0815 | Asignar un valor aleatorio al valor de entrada y almacenar el valor de entrada y el valor aleatorio en bases de datos separadas |
| Anomimizadas | 0815 | Asignar un valor aleatorio al valor de entrada. Enviar el valor aleatorio a un tercero que lo procese. En el tercero (importador de datos), los datos son idealmente anónimos, mientras que en el exportador de datos, los datos son personales. |
| Anónimo | 0815 | Genera un valor aleatorio (que sea completamente independiente del valor de entrada). El valor de entrada puede persistir para fines legítimos |
Como muestra la tabla, no se puede determinar directamente por un valor si ha sido pseudomizado, anónimo o anonimizado. Más bien, depende de la regla de formación del valor. También es importante si existe una posible relación entre el valor de entrada y el valor objetivo, y si esta relación es reconstruible, por ejemplo, mediante la lectura de datos adicionales o mediante el reconocimiento de la lógica detrás de la regla de formación (que se mantiene confidencial).
Al igual que con los datos anónimos y anómimos, no importa si las informaciones personales recogidas aún existen o no. Los datos anónimizados y anónimos siempre carecen de relación personal y nunca pueden ser relacionados con personas. Los datos que son personificables son por definición no anónimos ni anonimizables.
Los datos perfectamente anonimizados tienen el mismo nivel de protección de datos que los datos anónimos
Conclusión lógica derivada de la definición del término "anonymisación".
Los datos anonimizados son datos anónimos que se han generado en virtud de la recopilación de datos personales o relacionados con personas. Consulte también la definición sobre Anonymisierung en Wikipedia. Allí incluso se permite que los datos anonimizados puedan existir si su retroalimentación a las personas es teóricamente o prácticamente posible, aunque con un gran y no económico esfuerzo.
Desde mi punto de vista, los datos anonimizados incluyen dos perspectivas:
- Exportador de datos: Poseedor de los datos personales, que los manipula. En el caso del exportador de datos, existen datos personales y un valor manipulado adicional. Este valor manipulado se envía a un tercero, de modo que este no puede revertir la manipulación
- Importador de datos: Tercera parte (o también segunda parte), que recibe los datos modificados del exportador de datos. Los datos modificados no permiten inferir sobre una persona. En el importador de datos, estos datos son idealmente anónimos. En el exportador de datos, los datos originales eran personales
Para una consideración más profunda en un ejemplo práctico, consulte mi contribución al herramienta de análisis Jentis.
Fundamentos legales para la anonimización de datos personales
Para poder anonimizar datos personales, es necesario obtener primero dichos datos personales. La obtención de tales datos se considera una tratamiento de datos según el artículo 4, número 2 del Reglamento General de Protección de Datos (RGPD). Ya que la mera posibilidad de conocer los datos supone un tratamiento (si hay un ofrecimiento subyacente), había investigado exhaustivamente anteriormente sobre el concepto de recolección de datos y había introducido el concepto del contenedor de datos. ([1])
Una anonimización que significa eliminar o destruir datos personales debe ser investigada solo en relación con el proceso de anonimización. Se supone que la eliminación o destrucción de los datos presentes es permitida. Ver también Stürmer Beck, ZD 2020, 626
El Artículo 6 de la RGPD establece las bases legales según las cuales se pueden procesar datos personales. Un proceso es dado cuando los datos son
- recopiladas (de las cuales se ha podido tener conocimiento),
- registrados,
- organizado
- ordenada,
- guardado
- adaptado,
- modificado,
- leído
- consultado
- utilizado
- a través de la transmisión revelada
- extendido
- proporcionado
- ajustado,
- conectado,
- restringido,
- eliminado o
- destruye
fueron.
Como procesos para la anonimización, se pueden considerar el uso, el cambio, el borrado o el destrucción de manera ad hoc. Los dos últimos quedan descartados porque una utilización de datos sigue siendo posible incluso cuando los datos son anónimos. El cambio tampoco es adecuado, ya que el contenido informativo de los datos sobre una persona no está presente en la anonimización. Sin embargo, el uso de datos personales sería más bien una condición necesaria para la anonimización y, a mi entender, sería la única posible actividad de procesamiento en consideración.
Categorías especiales de datos
Si la anonimización es una actividad de tratamiento según la RGPD, debería considerarse el artículo 9, apartado 1 de la RGPD, siempre y cuando se traten categorías especiales de datos personales. El apartado 2 del mismo artículo permite, sin embargo, la posibilidad de que se traten las categorías especiales de datos, siempre y cuando se trate de datos personales públicamente conocidos. En cualquier caso, podrían anonimizarse los datos públicos, incluso si se trata de categorías críticas de datos. El artículo g del mismo apartado permite la anonimización de dichos datos, en su caso también cuando exista un interés público relevante. Un ejemplo actual sería el análisis de datos de salud para mitigar una pandemia. También podría utilizarse el artículo i del mismo apartado.
Anomimización para la recopilación estadística de datos
En el artículo 9, apartado 2, letra j del RGPD, se otorga explícitamente permiso para la recopilación estadística de datos de categorías especiales, lo que se refiere al artículo 89, apartado 1 del RGPD. La recopilación estadística de datos y el procesamiento de datos anónimos también se mencionan en el considerando 26, donde se aclara que el RGPD no se aplica a estas modalidades de procesamiento.
En el Fundamento de Consideración 50, se describe explícitamente nuevamente: (In the Founding Consideration 50, it is explicitly described again:):
La ulterior procesamiento para […] fines científicos […] de investigación o para fines estadísticos debería considerarse un proceso de tratamiento válido y legal.
Extracto del considerando 50 del Reglamento General de Protección de Datos (RGPD)
El considerando 50 establece explícitamente que los fines estadísticos permiten un tratamiento legítimo. Por lo tanto, en mi opinión, la anonimización de datos personales para fines científicos o estadísticos siempre está permitida, siempre que los fines del tratamiento de esos datos anonimizados sean legítimos.
Responsabilidad por el procesamiento de datos
Con el ejemplo de la dirección IP, que se recoge obligatoriamente cada vez que se accede a una página web, quiero mostrar cuándo surge responsabilidad por un tratamiento de datos.
Cuando un usuario accede a una página web, el propietario de la misma recibe desde el usuario su dirección de red, es decir, su IP. La dirección de red es un dato personal. El propietario de la página web ha procesado datos personales del usuario porque
a) que la página web sea una oferta,
b) el usuario haya aceptado la oferta,
c) el usuario ha transmitido su dirección de red como dato personal al operador del sitio web
d) el administrador del sitio web haya recibido (recopilado) y, por lo tanto, procesado la dirección de red a través de su servidor web.
Por eso, por cierto, cada sitio web debe tener una declaración de protección de datos según el artículo 12 del RGPD . Las excepciones son sitios web vacíos o casi vacíos que no persiguen ningún propósito. Esta norma legal es, desafortunadamente, desconocida para muchos responsables de la protección de datos. Un ejemplo lo muestra. Le escribí al responsable, con quien me había encontrado personalmente, y le expliqué la situación. No respondió y tampoco contestó a mi pregunta. Conoce mi dirección de correo electrónico porque la incluyó en su lista de distribución, a la que suministra información manualmente mediante correos electrónicos que también llegan a mí. Finalmente, lo informé de que su sitio web se mencionaría como ejemplo negativo en un artículo (en este). ([1]) ([2])
Por lo tanto, visitar una página web significa obtener legítimamente una dirección de red personal, ya que es técnicamente necesario.
Puede esta dirección de red anonimizarse ahora? El Artículo 6 del RGPD establece las bases legales para el tratamiento de datos. Aquí es especialmente relevante Artículo 6, apartado 1 f del RGPD, que habla de interés legítimo. La autorización no la considero aquí por ahora, pero me refiero a ella por otra razón en otro momento.
El fragmento de texto relevante sobre el interés legítimo establece que el procesamiento de datos es legal
…, salvo que los intereses o los derechos y libertades fundamentales de la persona afectada, que exigen la protección de datos personales, prevalezcan
Extracto del artículo 6, apartado 1, letra f del RGPD
Al realizar una anonimización, no se generan datos protegidos. Más bien, los datos personales ya recopilados permanecen exactamente en la misma forma y no se transmiten a terceros ni se procesan de manera protegida.
Según mi evaluación, el artículo 6, apartado 1, f de la RGPD permite la anonimización de datos personales siempre que exista un interés legítimo del responsable para ello. Un tal interés podría ser el desarrollo de procedimientos de Inteligencia Artificial o cualquier otro propósito legítimo que parezca razonable.
Por otro lado, la anonimización podría ser entendida como un proceso que no está cubierto por el tratamiento de datos según la RGPD y, por lo tanto, tampoco requeriría una base legal, siendo siempre posible (al menos cuando los fines del tratamiento de los datos anónimos son legítimos). Véase en este sentido el artículo Anonimización como un tratamiento relevante para la protección de datos? en la revista ZD 2020.
Objetivo del procesamiento
La anonimización de los datos presentados suele servir a menudo para otro propósito que al original. El artículo 6, apartado 4 de la RGPD establece que se debe comprobar,
…si el procesamiento es compatible con el propósito para el cual los datos personales se recopilaron originalmente…
Extracto del artículo 6, apartado 4 del RGPD
También el artículo 5, apartado 1 f de la RGPD establece una vinculación y un control de finalidad. Sin embargo, veo que el propósito de la anonimización se remonta al propósito del uso de datos anonimizados. Y en este sentido, creo que cualquier legítimo propósito del uso de datos anonimizados es adecuado para justificar la anonimización y, por lo tanto, el interés legítimo.
En mi opinión, el propósito no importa en la anonimización, siempre y cuando exista un interés legítimo del responsable de acuerdo con el artículo 6, apartado 1, letra f del RGPD. Los demás párrafos del artículo 6, apartado 4 del RGPD establecen:
- Letra a: la conexión entre los propósitos, es decir, el propósito original y el propósito de la anonimización
- Letra b: Relación entre la persona afectada y el responsable
- Letra c: Tipo de datos personales
- Letra d: Posibles consecuencias de la prevista ulterior utilización
- Letra e: Existencia de garantías adecuadas
En cuanto a la anonimización, mi opinión al respecto es la siguiente:
- Letra d: En caso de una anonimización perfecta, no existen, por sí mismas, consecuencias relevantes
- La letra "e" es irrelevante en una anonimización perfecta
- La letra c es, en ese sentido, igualmente irrelevante en una anonimización perfecta
- La letra b podría ser relevante para determinar si existe un interés legítimo. Sin embargo, en el contexto de una anonimización perfecta, esta letra podría ser completamente irrelevante, algo que la jurisprudencia debería aclarar
- En mi opinión, para la letra a se aplica lo mismo que para la letra b
¿Es posible la anonimización con consentimiento?
La respuesta lógica es No. Según Artículo 7, apartado 3 de la RGPD, la persona afectada tiene derecho a retirar su consentimiento en cualquier momento. La anonimización no puede ser revertida y por lo tanto tampoco puede ser revocada.
Si una anonimización fuera reversible, entonces no sería una anonimización.
Entonces, esta pregunta es claramente respondible siempre y cuando se otorgue un derecho de revocación. También un proceso de eliminación no puede ser revertido, por lo que también la autorización como base legal queda excluida para eliminar datos, siempre y cuando se otorgue un derecho de revocación. Esto es al menos válido para la eliminación perfecta. Si existen copias de seguridad, puede cuestionarse si se trata de una eliminación. En cualquier caso, no habría sido una eliminación perfecta y la eliminación sería en realidad incompleta. Es posible que se considere admisible que en el sistema jurídico los datos eliminados sigan existiendo en copias de seguridad. Sin embargo, supongo que si estos datos de copia de seguridad llegaran a terceros, podrían convertirse en un gran problema.
Una autorización sin posibilidad de revocación es concebible en principio. Al menos, la persona afectada debería ser informada adecuadamente antes de dar su consentimiento. Sin embargo, esto contradice ya sea el artículo 7, apartado 3 del RGPD o el hecho de que se esté dando consentimiento para algo que reduce o elimina por completo la afectación de una persona.
¿Es la anonimización una modificación de datos o una vinculación de datos?
El término "procesamiento de datos" incluye la vinculación o la modificación de datos personales. Una vinculación, en cualquier caso, no puede existir en el caso de la anonimización, porque entonces no se trataría de datos anónimos.
En cualquier caso, una modificación de los datos personales tampoco se produce, porque de los datos personales o relacionados con personas no queda nada.
En mi opinión, existen al menos dos maneras de lograr la anonimización.
Anomimización al eliminar datos personales
Si se deben eliminar datos personales, existe la posibilidad general de realizar una anonimización. Esto se aplica independientemente de posibles bases legales que puedan estar en contra. Solo me refiero al posible proceso. Si la eliminación fuera apropiada o deseada, sería posible anonimizar los datos justo antes de que se eliminen.
Anomimización mediante conteo (evaluación estadística)
Con el anonimizado a través de contar me refiero al determinar ciertos rasgos, para los que se han encontrado inicialmente ningún resultado. Un ejemplo de un rasgo es un rango de edad de personas, por ejemplo, entre 40 y 49 años. Al anonimizar a través de contar puede mantenerse sin cambios el conjunto de datos personales. Sin embargo, debe asegurarse de que la base de datos considerada sea lo suficientemente grande como para no caer en una contabilidad individual. Compare con el concepto de k-anonimidad, que exige que al menos k individuos sean considerados como un conjunto común para evitar inferencias sobre personas individuales de manera aleatoria. Ver también Google FloC, un enfoque fallido para evitar cookies.
Existen 100.000 personas en un pool de datos y se hace una asignación de edad por persona, entonces se puede contar cuántas personas están en la franja de edad mencionada. En la base de datos se registra que, por ejemplo, 27.583 personas tienen entre 40 y 49 años. También se pueden contar otros rasgos sobre todas las personas. Esto sería un ejemplo de una anonimización para la cual (al menos teóricamente) podría haber un rechazo. Sin embargo, un rechazo también podría traer peligros, porque si varios individuos dieran su rechazo, el pool de datos podría disminuir hasta tal punto que no se podría garantizar una anonimización perfecta. Para contrarrestarlo, se podría realizar la asignación de grupos de edad en la masa de datos anónima para cada x. persona. O se podrían evaluar bloques de registros de datos al mismo tiempo. De esta manera tampoco sería posible un rechazo, lo cual considero que es altamente problemático y a menudo también teóricamente no realizable en una anonimización.
Sería posible una discriminación a través de la evaluación de datos anónimos. Por ejemplo, podría establecerse que un grupo de edad determinado es más propenso a una cierta enfermedad. Sin embargo, eso sería una afirmación de hecho (a condición de que la investigación sea representativa), que también se ha llegado a conclusiones sobre Covid en diversas formas y, en efecto, ha perjudicado a muchas personas en su vida diaria. Que una persona del grupo de edad determinada podría tener algo en contra de la obtención de tal conocimiento potencialmente perjudicial para ella, no podría ser invocado legalmente (esto es independiente de la cuestión de si el proceso de anonimización de datos es admisible). Lo consideraría simplemente una mala suerte. Por otro lado, también sería una mala suerte personal para todos los niños que actualmente no pueden recibir protección contra Covid-19 mediante vacunación.
¿Puede la anonimización siempre estar permitida?
La pregunta se centra en si la anonimización de datos personales es permitida independientemente de las circunstancias específicas del responsable frente a la persona afectada y sin importar el propósito del procesamiento inicial, legítimo, de esos datos personales.
Invito a un experimento de pensamiento y recuerdo que grandes físicos han creado las bases de nuestra comunicación telefónica actual, nuestros ordenadores y smartphones así como la posibilidad de navegación por satélite exclusivamente con esta metodología.
Supongamos que ha obtenido legalmente datos personales de miles de personas. Ahora, anonimiza estos datos y obtiene un conjunto de datos con datos completamente anonimizados.
¿Cómo puede alguien llegar a conocer que usted posee datos anonimizados? Los datos son anónimos y no pueden ser retrotraídos a un caso, es decir, una persona. Nadie puede quejarse con usted porque la persona en cuestión no está involucrada de manera consciente. Aunque legalmente podría no hacer ninguna diferencia si alguien llega a conocer o no un procedimiento, es así que el procedimiento de anonimización solo podría ser reconocido por un White Box Insider. El término White Box proviene de la informática y significa tener una intima conocimiento sobre un sistema, poder investigar su funcionamiento. Por otro lado, hay una Black Box o Grey Box, que solo permite observar desde fuera. El término de Insider fue introducido por mí en este contexto. Normalmente se habla de un White Box Test. Un test es algo diferente a llegar a conocer. Por lo tanto, el término del Insider fue elegido como designación para una persona que tiene una intima conocimiento sobre un sistema.
Se podría deducir de el artículo 5, apartado 1 a) de la RGPD que es posible una anonimización de datos y que se debe informar a las personas afectadas. El artículo 5, apartado 1 e) de la RGPD incluso habla en favor de la anonimización, ya que con ella se puede evitar acceder directamente o antes de lo posible a los datos personales originales. Además, el inciso f del mismo artículo también habla en favor de la anonimización, ya que esto aumenta la seguridad de los datos al infinito.
Supongamos que una "persona afectada" ahora sabe que se ha anonimizado su información. No quiero seguir indagando en si existe o no afectación, ni en qué tipo de afectación. Me interesa más si y cómo se podrían eliminar del conjunto de datos anonimizados precisamente los datos que provienen de la "persona afectada". Esta pregunta se puede responder lógicamente.
Aunque se hayan anonimizado los datos de un conjunto de datos, a menudo no se pueden eliminar completamente los datos individuales que se obtuvieron de datos personales. En este caso, si una persona afectada lo solicitara de manera legítima, se tendría que eliminar todo el conjunto de datos.
Supongamos que el conjunto de datos de datos anonimizados ya se ha transferido o se ha combinado con otros datos anónimos. ¿Deberían entonces eliminarse todos estos demás conjuntos de datos anónimos, que provienen de un millón de registros de personas, porque una persona ha presentado una objeción al tratamiento de sus datos personales? Afirmo que esto no es así.
La anonimización de direcciones IP ocurre en Alemania diariamente miles de millones de veces, y sin ningún tipo de información al usuario. Considero esto conforme a la ley, por ejemplo, al contar de forma anónima los visitantes de una página web. Esto se aplica al menos si no se utilizan cookies que ayuden a evitar un doble conteo de la misma persona. No estoy del todo seguro de si se violan las obligaciones de información si la anonimización se lleva a cabo sin notificación, aunque considero que es secundario. En cualquier caso, las consecuencias de la anonimización son manejables.
Cabe destacar que un contador de visitantes no necesariamente analiza datos personales y, si lo hace, podría ser para fines relacionados con los que originalmente se recopilaron los datos.
Argumentos en contra
Debido a una discusión en XING, me gustaría presentar aquí algunos argumentos en contra que se han planteado para argumentar que la anonimización está cubierta por el procesamiento de datos que ya está en curso.
¿Mismo fundamento legal?
Se mencionó como objeción:
"_La base legal para la anonimización es la misma por la cual se recogieron los datos personales. Pues el tratamiento es un proceso o, en general (pueden darse excepciones), una secuencia de procesos
Si una serie de operaciones existe o no, solo es relevante si el propósito dentro de la operación es el mismo. Esto a menudo no es el caso en la anonimización. Pensemos solo en las aplicaciones de Big Data y en los análisis estadísticos para obtener conocimientos.
Los datos siempre se almacenan de alguna manera
La afirmación fue que los datos siempre se guardarían y que por eso el proceso de anonimización estuviera justificado.
Esto es incorrecto. El tratamiento de datos según la RGPD comienza ya con la recopilación de datos. La recopilación de datos, a su vez, es la posibilidad objetiva de conocimiento de los datos. La condición previa para ello es que una notificación haya sido enviada al receptor de datos por parte del emisor de datos debido a un ofrecimiento del receptor de datos. Consulte mi artículo sobre recopilación de datos.
Los datos siempre se tratan, utilizan o se aprovechan de alguna manera
Parte de la contraargumentación fue que los datos siempre se tratarían, utilizarían o se usarían de alguna manera. Aunque no lo considere un argumento, quiero replicar.
Los datos no siempre se tratan, utilizan o utilizan. Estos términos también son en parte irrelevantes, porque no forman parte de la definición de la RGPD de Art. 4 Abs 2. RGPD. Como se escribió en el apartado anterior, los datos a veces ni siquiera llegan a ser conocidos. Basta con que podrían llegar a ser conocidos. Una "tratamiento" o "utilización" de los datos puede no suceder en absoluto en algunas ocasiones.
¿Eliminar es lo mismo que anonimizar?
Evidentemente, borrar es algo distinto a anonimizar.
La anonimización de los datos de partida es finalmente posible manteniendo los datos de partida, lo que no parece ser el caso al borrar.
Al eliminar se libera espacio de almacenamiento, al anonimizar en cambio se consume espacio de almacenamiento adicional o diferente, dependiendo de si las fuentes de datos permanecen intactas o no.
La anonimización de datos significa un esfuerzo mucho mayor que la eliminación de datos. Para la anonimización deben aplicarse algoritmos y para controlar la pérdida del enlace con la persona deben utilizarse procedimientos matemáticos.
Del uso lingüístico se puede deducir solo que borrar algo es diferente a anonimizarlo. Es cierto que en ambos procesos, idealmente, se pierde la relación con las personas.
¿Eliminar tiene un propósito diferente al de la recopilación, por lo que también se aplica a la anonimización?
El borrado de datos tiene (siempre?) un propósito diferente al que se perseguía originalmente al recopilar los datos que se van a eliminar. Por lo tanto, podría concluirse que también se permite anonimizar los datos para otros fines que el propósito original de su recopilación.
Digo que no es cierto, porque el borrado está explícitamente regulado en la RGPD. El borrado es entonces exigible cuando ya no se da el propósito de los datos personales recopilados. Véase por ejemplo Artículo 17 RGPD al respecto. Una persona afectada puede, por tanto, solicitar un borrado si lo expresa. Sin embargo, una anonimización en lugar de un borrado no es algo que una persona pueda exigir. Art. 17 Abs. 3 e limita el derecho a borrar para evitar disputas legales, mientras que yo no veo ninguna posibilidad de limitar la anonimización de los datos siempre y cuando se considere que la anonimización es en general admisible. Sobre esto se puede discutir porque una anonimización no siempre será perfecta. Lo que entiendo por una anonimización perfecta es algo que no se puede cuestionar.
El propósito de la anonimización es la destrucción del vínculo personal
Eso solo es cierto si los datos originales se eliminan o destruyen durante el proceso de anonimización. Una anonimización que conserva los datos originales no altera el grado de referencia a personas en general, si se considera la totalidad de los datos y si la anonimización se realiza de forma perfecta.
El propósito de la anonimización, a mi entender, es evaluar estadísticamente los datos con fines determinados, respetando los derechos de personalidad. Los fines que esto abarca dependen del tipo de evaluación o de los objetivos perseguidos. Me refiero nuevamente a las aplicaciones de Big Data y las aplicaciones de la Inteligencia Artificial. Por ejemplo, se podrían anonimizar los datos de personas infectadas con gripe para determinar si los hombres suelen enfermar más frecuentemente que las mujeres. Para ello podría recurrirse a otros conjuntos de datos. El ejemplo es ficticio y no tiene en cuenta el hecho de que ciertas categorías de datos personales están protegidas por el artículo 9 de la RGPD bajo un especial régimen de protección.
¿Qué responsabilidad surge de una anonimización?
De la misma manera que en los enlaces externos en páginas web, me parece que la pregunta sobre la responsabilidad del proceso de anonimización se encuentra. Alguien que coloca un enlace externo en una página sin marcarlo como tal, podría ser considerado plenamente responsable de la manipulación de datos resultante en un tercero. Esto puede limitarse si al remitente no le es conocido que el tercero está procesando ilegalmente los datos, es decir, transmitiendo la dirección de red y tráfico del visitante a su página a un tercero. En este caso, no pasa mucho, piensa uno. Probablemente sea así en la mayoría de los casos. Sin embargo, podría parecer diferente si el objetivo del enlace está siendo vigilado por un servicio secreto.
En la perfecta anonimización de datos, no ocurre nada más que una evaluación estadística no crítica que no tiene ningún vínculo con personas. Ser responsable de esto, matemáticamente, no implica ninguna responsabilidad. Si bien una persona afectada podría demandar al responsable por el proceso de anonimización, me pregunto qué incluiría la demanda. Probablemente no se podría reclamar un daño y perjuicios. El demandante podría reclamar la cesación de la acción. Aquí hay muchas posibilidades, pero en mi opinión, producirían resultados infructuosos y parecería más como si se quisiera demandar por el simple hecho de poder hacerlo.
Sin embargo, podría ser diferente si la anonimización no es perfecta. En este caso, no habría anonimización en el sentido estricto de la palabra, lo que podría dar lugar a un procesamiento de datos ilegal, ya que se realizaría sin una base legal.
En general, creo que la responsabilidad derivada de la anonimización será extremadamente baja o incluso inexistente. Mientras existan millones de violaciones de privacidad evidentes en sitios web, me parece absurdo, aunque probablemente sea legal en principio, centrarse en la anonimización.
Conclusión
Especially para aplicaciones de AI como ChatGPT o otros modelos de lenguaje o procedimientos de procesamiento de imágenes, así como otras análisis de grandes conjuntos de datos, es relevante la pregunta sobre la anonimización de los datos. En el caso de la AI, incluso se trata del derecho de autor y la cuestión de una adecuada transformación de los datos. La anonimización puede considerarse como una transformación de los datos.
Para datos anónimos, el RGPD no es aplicable. Una vez que los datos se han anonimizado, el RGPD ya no se aplica.
El proceso de anonimización de datos personales o relacionados con personas puede ser legitimado por una base legal según el artículo 6, apartado 1 de la RGPD y es posible que se utilice ad hoc (en la mayoría de los casos) el interés legítimo. El artículo 6, apartado 4 de la RGPD ayuda a evaluar si existe un interés legítimo. Por otro lado, el Fundamento de Razón 50 permite el procesamiento estadístico de datos sin ninguna vinculación adicional. ([1])
Creo que es posible que el legislador apruebe una ley que permita la anonimización de datos, lo que constituiría una disposición legal conforme al artículo 6, apartado 2, del RGPD. Si bien, en caso de duda, el Tribunal de Justicia de la Unión Europea debería determinar su solidez, considero que sería posible aprobar tal ley para generar claridad.
Según mi opinión, cualquier anonimización perfecta de datos personales legítimamente obtenidos es admisible, siempre y cuando los fines que se persiguen con los datos anónimos sean legítimos. Pues entonces, según mi visión, siempre hay un interés legítimo para la anonimización de datos, o el razonamiento 50 se cumple, ya que se realiza una procesamiento estadístico. Creo que también los autores del artículo mencionado anteriormente en la revista ZD 2020 ven las cosas así, porque los autores escriben al final de su análisis: „_Si – como es el caso normal – no hay indicios de Si existen intereses contrapuestos de la persona afectada, el anonimizar datos personales es por lo tanto un proceso de tratamiento de datos permitido según la RGPD
Puedo imaginarme incluso que la anonymización de datos personales ilegalmente obtenidos, no protegidos por un especial amparo, es legal desde el punto de vista del derecho a la protección de datos, porque mediante la anonymización de los datos nada más sucede que en el mejor de los casos pueden surgir nuevas conclusiones (sin relación con personas). Esto se aplica como está escrito, solo en relación con la protección de datos y no con el derecho penal o lo que sea.
El conservación de una percepción no está generalmente prohibido y, según mi opinión ingenua, desde la perspectiva del derecho de protección de datos nadie puede impedirlo, siempre que la base de datos no esté protegida. En este caso solo me refiero a la protección de datos y no a una clasificación penal, como podría ser el robo de documentos.
Si bien surge un nuevo conocimiento del análisis de documentos confidenciales, considero que esto es moralmente aceptable siempre que no haya relación con personas y los documentos confidenciales se retienen únicamente por razones estratégicas o políticas. Jurídicamente, esto podría ser visto de manera diferente por los servicios secretos, etc., planteándose la cuestión de cuán legítima es realmente la actividad de estos servicios secretos y de las leyes que les dan forma. El derecho penal también podría tener una perspectiva diferente, pero solo estoy hablando del derecho a la privacidad según el RGPD.
Me gustaría conocer su opinión al respecto, incluso si menciona las bases legales que podrían contradecir mis argumentos. Marco este Beitrag como provisional y no lo considero completamente definitivo en algunas partes. Actualización: después de la publicación del artículo, nadie ha expresado dudas serias. Esto al menos indica que no parecen existir dudas importantes en este momento.
Puntos clave de este artículo
Los datos anonimizados pueden ser procesados sin el consentimiento de la persona afectada, ya que ya no se consideran datos personales.
Los datos pseudónimos pueden ser rastreados de vuelta a personas mediante información adicional, mientras que los datos anónimos nunca pueden ser asociados a personas.
Los datos anonimizados pueden ser considerados de manera diferente tanto por el "exportador de datos" (quien anonimiza los datos) como por el "importador de datos" (quien recibe los datos).
El Reglamento General de Protección de Datos (RGPD) permite la anonimización de datos para fines científicos y estadísticos, incluso si se trata de datos sensibles.
La anonimización perfecta significa que los datos se modifican de tal manera que ya no se pueden asignar a una persona específica.
Aunque los datos anonimizados pueden proporcionar información útil, existe el riesgo de que aún se puedan deducir conclusiones sobre individuos a partir de ellos.
Los datos anonimizados a menudo no se pueden separar completamente de los datos originales, por lo que puede ser imposible eliminar por completo la información de una persona afectada.
Eliminar y anonimizar datos son procedimientos distintos con propósitos diferentes.
Sobre estas afirmaciones clave
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
