Togas.biz

La Agencia Española de Protección de Datos (AEPD), en colaboración con el Supervisor Europeo de Protección de Datos (EDPS), publicó un informe sobre el hash como técnica de seudonimización de datos personales el pasado 4 de noviembre.

Este esperado informe arroja luz sobre los criterios a tener en cuenta cuando el tratamiento de datos personales conlleva la utilización de esta técnica. El informe es de especial relevancia para todas las empresas que utilicen tecnología blockchain, al ser el hash el elemento fundamental de registro de información.

La guía especifica que la adecuación de esta técnica para proteger datos personales dependerá de diversos factores que hay que analizar caso por caso, como son, entre otros:

  • el propio cálculo del hash,
  • el algoritmo de creación seleccionado,
  • la entropía de la información a “hashear”,
  • la vinculación del hash con otra información, ya sea de forma directa o indirecta,
  • la utilización de contraseñas o elementos aleatorios introducidos, que fortalecen la seguridad del hash y permiten una seudonimización más robusta, y
  • la realización de auditorías periódicas de los procesos de gestión del sistema de hash.

La posibilidad de reidentificación de los datos personales seudonimizados a través de un hash crece cuanto mayor y más uniforme sea la información que hay detrás del hash. La propia guía ofrece ejemplos sobre como dificultar la reidentificación, como son la encriptación del mensaje a “hashear”, o la adición de “sal” o ruido al mensaje original.

La AEPD incide en la importancia de analizar el riesgo de reidentificación de los datos personales al utilizar técnicas de hash para la seudinimización de información.

De especial relevancia resulta la aceptación de la anonimización de un hash cuando se eliminan los elementos aleatorios introducidos, de modo que no ni el responsable del tratamiento es capaz de reidentificar a los individuos a los que se refieren los datos anonimizados. En este sentido, la AEPD considera de especial importancia analizar dos factores:

  • si los datos que permiten la reidentificación han sido eliminados; y
  • el tiempo durante el que el hash mantendrá su robustez.

A principios de año, la AEPD publicó otra guía sobre cómo aplicar técnicas de k-anonimización sobre datos personales, de la que ya dimos cuenta en otra entrada.

Para quienes traten datos personales a través de tecnología blockchain, este informe resultará de ayuda para responder a la incógnita sobre como cumplir con el derecho a la supresión de los datos personales.

Ya nos referimos a esta espinosa cuestión en este blog con ocasión de la publicación de un informe por parte de la autoridad francesa de protección de datos sobre las consecuencias de la utilización de esta tecnología.

En el presente informe, la AEPD y el EDPS marcan una pauta a seguir a la hora de facilitar el ejercicio del derecho de supresión de datos personales registrados en una blockchain a través de un hash, al concebir un método de anonimización de los datos personales seudonimizados a través de un hash.

Pedro Méndez de Vigo