ANÁLISIS: ¿Anonimizar o seudonimizar? Esa es la cuestión

Heidy Balanta
Consultora en protección de datos
Directora de Escuela de Privacidad

La anonimización es el proceso mediante el cual se eliminan, de forma irreversible, todos los elementos que permiten identificar a una persona. Cuando ese proceso es efectivo los datos dejan de ser datos personales y, por tanto, escapan al ámbito de aplicación de la normativa de protección de datos personales. La seudonimización, en cambio, consiste en reemplazar identificadores directos por códigos o seudónimos, pero manteniendo la posibilidad de revertir el proceso con información adicional guardada por separado.

En el caso del Reglamento General de Protección de Datos (RGPD), los datos seudonimizados siguen siendo datos personales y, por tanto, siguen sometidos a la normativa. Sin embargo, la Comisión Europea publicó el Omnibus Digital[1], un paquete de reformas a su marco normativo digital que incluye, entre muchas otras cosas, una modificación al artículo 4(1) del RGPD: propuso limitar el concepto de dato personal para establecer que los datos seudonimizados no serían personales para quien no tuviera los medios para reidentificar a la persona. La lógica es: si un responsable no puede identificar a nadie con esos datos, ¿para qué someterlos al régimen de datos personales?

Sin embargo, el Consejo Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos emitieron una Opinión Conjunta[2] calificando los cambios de excesivos, contrarios a la jurisprudencia del Tribunal de Justicia de la Unión Europea y potencialmente lesivos para los derechos fundamentales, y según algunas notas de prensa, se eliminó la propuesta de actualización de dicho concepto de dato personal, y permanecerá vigente[3].

Pero que la propuesta haya llegado tan lejos, con el respaldo inicial de la Comisión y la presión de la industria tecnológica detrás, dice mucho sobre las tensiones que existen en el ecosistema de datos. Y sobre por qué el debate no va a desaparecer. El verdadero problema aparece cuando se incorpora al análisis lo que la inteligencia artificial hace hoy con los datos. No estamos hablando solo de reidentificación directa, sino de inferencia. Los sistemas de aprendizaje automático pueden inferir atributos sensibles de las personas y, en ciertos contextos, permitir la identificación directa o indirecta de individuos a partir de datos aparentemente anonimizados. Aunque estas inferencias son probabilísticas y no infalibles, su capacidad para influir en decisiones automatizadas sobre personas plantea desafíos significativos para los marcos tradicionales de protección de datos.

Esta capacidad de inferencia transforma radicalmente el debate sobre la anonimización. Un conjunto de datos que hoy cumple con todos los estándares técnicos de no identificabilidad puede quedar obsoleto mañana, cuando un nuevo modelo sea capaz de cruzarlo con otra fuente disponible y producir un perfil individual detallado. Este es el punto que, curiosamente, pocas veces se pone sobre la mesa. La anonimización no se promueve solo porque sea buena para la investigación científica o para las estadísticas. Se promueve, principalmente, porque los datos anonimizados pueden usarse con mucha mayor libertad operativa, y esa libertad tiene un valor económico enorme.

Un conjunto de datos de pacientes debidamente anonimizado puede usarse para entrenar modelos predictivos de salud. Hasta ahí, nadie discute. Pero esos mismos datos pueden usarse para elaborar perfiles individuales y grupales, segmentar poblaciones por comportamiento o riesgo, personalizar ofertas comerciales, ajustar precios según características inferidas, diseñar campañas hipersegmentadas o alimentar sistemas de scoring para acceso a crédito, empleo o seguros.

Las empresas utilizan datos supuestamente anonimizados para perfilar, segmentar y tomar decisiones que producen efectos reales sobre personas y colectivos. Al considerarse fuera del ámbito del derecho de protección de datos, estas operaciones quedan exentas de obligaciones relativas a informar al titular, este no tiene derecho de acceso, no hay restricciones de finalidad del tratamiento, sin observación de principios de tratamiento de datos, entre otros.  Se produce así una paradoja regulatoria: las decisiones afectan a individuos concretos, pero se fundamentan en datos que jurídicamente ya no se consideran personales.

Pero incluso así la anonimización sea técnicamente robusta, subsiste un problema: el derecho de protección de datos está diseñado para proteger identidades individuales, mientras que el perfilamiento algorítmico genera efectos colectivos o probabilísticos que escapan muchas veces de ese marco. El núcleo del problema no es solo la posible reidentificación, sino la insuficiencia del paradigma individualista del derecho de protección de datos para abordar impactos colectivos derivados del tratamiento masivo de datos.

El caso colombiano

La Ley 1581 de 2012, en el literal c) del artículo 3º de la Ley 1581 de 2012, define el dato personal como “Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”. Esta definición, aunque anterior al RGPD, comparte su espíritu: lo relevante no es que la identificación se haya producido, sino que sea posible. Y con las capacidades actuales de la IA, esa posibilidad es más real que nunca.

En cuanto a la anonimización, se encuentra embebida en el artículo 6º de la Ley 1581, que prohibe el tratamiento de datos sensibles, salvo algunas excepciones, entre otras,  la establecida en el literal e): “El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares”. Adicionalmente, el artículo 2.1.1.4.3.2. del Decreto 1081 de 2015 reconoce expresamente la posibilidad de anonimizar documentos como mecanismo para permitir el acceso a información pública sin revelar apartes clasificados o reservados.

Colombia tiene el reto adicional de que su normativa de protección de datos no ha sido actualizada desde 2012. Mientras tanto, el ecosistema tecnológico que opera sobre datos personales de los colombianos avanza. Ese rezago normativo no es un detalle menor: es una ventana de riesgo que ninguna circular de la Superintendencia de Industria y Comercio puede cerrar, por eso la urgente actualización legislativa.

Las organizaciones que quieran operar bajo esquemas de anonimización, deben invertir en metodologías robustas y actualizadas de gestión del riesgo de reidentificación: k-anonimidad, l-diversidad, privacidad diferencial. Estas técnicas no eliminan el riesgo, pero permiten acotarlo y demostrarlo ante la autoridad de protección de datos.

Un detalle no menor es que la evaluación del riesgo no puede ser estática. Debe revisarse de forma periódica, porque la tecnología que permite reidentificar avanza tan rápido como la que permite anonimizar. El responsable debe incluir una reflexión honesta sobre para qué se van a usar esos datos: no es lo mismo publicar estadísticas de movilidad que alimentar un motor de perfilamiento comercial.

En conclusión, anonimizar no es solo eliminar la identidad, también es administrar probabilidades. Y cuando esas probabilidades permiten perfilar, segmentar y decidir sobre personas reales, la discusión deja de ser técnica y se convierte en constitucional.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.