Artículo
La disociación y seudonimización en la Ley de Protección de Datos Personales.
David Blanco | Abogado Asociado Arias
Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentificación no autorizados.
En la economía digital y en las nuevas formas de hacer negocios los datos se han convertido en un activo esencial y en línea con ello los Estados se han visto en la necesidad de emitir instrumentos normativos que instauren el marco institucional para proteger a sus ciudadanos ante el mal uso o violaciones de sus datos personales, entendidos estos últimos como la información concerniente a una persona natural identificada o identificable, tales como su nombre, domicilio, nacionalidad, estado familiar, canales de contacto, etc.
El Salvador no es ajeno a esta realidad, y si bien hasta noviembre del presente año no existía una normativa específica en materia de protección de datos personales, la Sala de lo Constitucional de la Corte Suprema de Justicia hace más de una década ya había reconocido mecanismos de protección ante vulneraciones de los derechos asociados a la autodeterminación informativa, aunado a que, en sus precedentes también reconoció los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) como garantías legales que le permiten a los individuos tener control sobre sus datos personales, que en normativa recién entrada en vigor se han ampliado a Derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación).
Si bien los mecanismos de protección resultan eficaces e indispensables cuando ha existido una posible vulneración a los derechos de una persona, siempre es importante adoptar un enfoque preventivo y no solo reactivo para garantizar una protección temprana de los datos personales, lo que constituye en sí uno de los principales propósitos de la normativa de protección de datos personales.
En ese sentido, noviembre del presente año marcó un punto de inflexión para El Salvador en materia de privacidad de datos, cuando fue aprobada por la Asamblea Legislativa, y sancionada por el Presidente de la República, la Ley para la Protección de Datos Personales (LPDP).
El país ahora cuenta con un marco normativo, en plena vigencia, que tiene por objeto establecer la regulación para la protección de los datos personales, los requisitos esenciales para el tratamiento legítimo e informado de estos y las obligaciones y parámetros para su recolección, uso, procesamiento, almacenamiento y otras actividades relacionadas al tratamiento de datos personales.
Dos aspectos relevantes que considera la LPDP, en lo que concierne al tratamiento de datos, son la Disociación (o Anonimización) y la Seudonimización. La LPDP define la Disociación como el “procedimiento irreversible mediante el cual los datos personales dejan de asociarse a su titular o de permitir, por su estructura, contenido o grado de desagregación, la identificación de éste”, por otra parte, define la Seudonimización como el “procedimiento de tratamiento de datos personales a efectos de que estos ya no puedan asociarse con el titular de estos, sin utilizar información adicional, siempre y cuando dicha información adicional se encuentre separada, oculta, clasificada y resguardada bajo medidas técnicas y organizativas que garanticen que tales datos personales no pueden ser atribuidos a una persona física identificada o identificable”.
En términos prácticos, la Disociación y Seudonimización son procedimientos por los cuales se desvinculan los datos respecto de una persona y permiten garantizar la privacidad, pues al ya no estar asociados los datos a un individuo, se dificulta o imposibilita que una persona sea identificada. Si bien ambos procedimientos podrían tener una misma finalidad, existen diferencias entre ellos con implicaciones prácticas y jurídicas.
En primer lugar, como se advierte de las definiciones que proporciona la ley, la Disociación tiene la característica de ser irreversible, es decir que se realiza un procedimiento de desvinculación de datos que elimina por completo cualquier información que permita identificar a una persona, generando un nuevo conjunto de datos. Una de las implicaciones jurídicas de la Disociación, es que, al tener un nuevo conjunto de datos, por los cuales resulta imposible identificar a una persona, el tratamiento de estos no requiere un consentimiento previo (al respecto, ver el artículo 28 de la LPDP). Debe tomarse en cuenta que un proceso de anonimización por su característica de irreversibilidad, debe ser un procedimiento técnico y sólido, por el cual se elimine cualquier riesgo de reidentificación.
Por otra parte, el procedimiento de Seudonimización, se caracteriza por ser reversible y generar dos conjuntos de datos: los datos seudonimizados y la información adicional con la cual se podría revertir la seudonimización. Como lo indica la ley, el segundo conjunto de datos debe mantenerse separado, oculto y bajo resguardo.
Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentificación no autorizados.
Por otra parte, no se puede dejar de mencionar que, tanto el procedimiento de disociación y seudonimización son actividades de tratamiento de datos personales, por ende, para realizarlos es requerido contar con el consentimiento previo de conformidad con los requisitos establecidos por la LPDP, es decir debe ser un consentimiento libre, específico, informado, expreso e individualizado de parte de los titulares de los datos personales que se someterán a dichos procedimientos. Adicionalmente, de conformidad con la LPDP, para revertir la Seudonimización también es necesario contar con el consentimiento de los titulares de los datos personales.
No contar con el consentimiento previo, y de forma apropiada, para el tratamiento de datos personales, puede dar lugar a incurrir en una infracción muy grave a la ley. Dichas infracciones son sancionadas con multa de hasta cuarenta salarios mínimos mensuales vigentes del sector comercio, considerando el salario mínimo vigente, dicha multa equivale a US$ 14,600.00. Además de las multas pecuniarias, la LPDP establece que se podrá ordenar al infractor que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas.
En conclusión, en la economía digital y los nuevos modelos de negocios, los datos personales y el tratamiento de los mismos tienen un rol indispensable, en ese contexto, los procedimientos de Disociación y Seudonimización se vuelven herramientas importantes para proteger los datos personales. Según las necesidades que puedan tener las compañías para el tratamiento de datos personales, resultará más adecuado realizar un procedimiento de Disociación o Seudonimización.
Por ejemplo, la Seudonimización, por sus características, puede ser recomendada para el tratamiento interno de datos por distintas áreas de una misma compañía; y la Disociación puede ser preferible cuando los datos serán tratados con fines de inteligencia de negocios, pruebas de aplicaciones o software o tratamiento de datos mediante herramientas de Inteligencia Artificial.
Finalmente, se debe estar atento a la creación de Agencia de Ciberseguridad del Estado (ACE), pues, de conformidad con la LPDP, esta entidad tendrá dentro de sus atribuciones dictar las guías de implementación de la ley, con base en lo cual podría emitir lineamientos o guías relacionadas con los procedimientos y mejores prácticas de Disociación y Seudonimización.