El pasado 13 de octubre, la Agencia Española de Protección de Datos (“AEDP”) publicó dos nuevas guías: “Orientaciones sobre protección de datos en la reutilización de la información del sector público” y “Orientaciones y garantías en los procedimientos de anonimización de datos personales”.La primera guía analiza el marco normativo de la reutilización de la información del sector público, además de describir medidas proactivas para evaluar la incidencia de la reutilización en la protección de datos personales.
La AEDP recuerda que la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público (“Ley de Reutilización”) no legitima por sí misma la difusión de datos personales, ya que su tratamiento se rige por la normativa de protección de datos. Por ello, es necesario examinar los riesgos para los interesados y las medidas que pueden minimizarlos mediante una evaluación de impacto de los datos personales.
Aunque la guía identifica la anonimización como la alternativa más apropiada, también incide en la necesidad de evaluar los riesgos de que el reutilizador pueda reidentificar a las personas. Por ello, además de las medidas técnicas y organizativas dirigidas a anonimizar los datos, sugiere la adopción de compromisos jurídicamente vinculantes para minimizar estos riesgos
En este sentido, la AEPD recomienda la concesión de licencias específicas (opción contemplada en la Ley de Reutilización), lo que permite tanto establecer garantías específicas adaptadas a la tipología de los datos, como incluir compromisos jurídicos dirigidos a evitar la reidentificación de los interesados, con la ventaja añadida de tener fuerza ejecutoria contractual.
La segunda guía ofrece pautas para facilitar los procedimientos de anonimización de datos personales y su implementación, y pretende asimismo promover el conocimiento de estas técnicas. La AEPD entiende la anonimización como el proceso encaminado a eliminar o reducir al mínimo los riesgos de reidentificación de las personas, constituyéndose así en una forma de ofrecer mayores garantías de privacidad. Ahora bien, debido al avance de la tecnología y la cantidad cada vez mayor de información disponible, la AEPD descarta la posibilidad de que la anonimización sea absoluta, y de lo que se trata, dice, es de que el esfuerzo de reidentificación no pueda abordarse “en términos de relación esfuerzo-beneficio”.
La guía enumera principios a tener en cuenta en los procesos de anonimización, propone pautas para el establecimiento de un protocolo de actuación a seguir en estos procesos (entre otros aspectos, se pone de manifiesto la relevancia de evaluar los riesgos de una eventual reidentificación y se valoran distintas técnicas de anonimización), señala la importancia de informar y formar al personal implicado en los procesos de anonimización y al que trabaja con los datos anonimizados, destaca la necesidad de establecer garantías para proteger los derechos de los interesados (acuerdos de confidencialidad, auditorías del uso de la información anonimizada por parte de su destinatario…) y califica de fundamental la realización de auditorías periódicas de las políticas de anonimización, que deben estar documentadas.
Marta Serrano y Sergio Sanfulgencio
