Seudónimos es una gestión de datos y la des-identificación procedimiento por el cual la información personal identificable campos dentro de un datos de registro son sustituidos por uno o más identificadores artificiales, o seudónimos . [1] Un solo seudónimo para cada campo reemplazado o colección de campos reemplazados hace que el registro de datos sea menos identificable mientras sigue siendo adecuado para el análisis y procesamiento de datos .
La seudonimización (o seudonimización) puede ser una forma de cumplir con las nuevas exigencias del Reglamento General de Protección de Datos de la Unión Europea para el almacenamiento seguro de datos personales. [2] Los datos seudonimizados se pueden restaurar a su estado original con la adición de información que luego permite volver a identificar a las personas, mientras que los datos anonimizados nunca se pueden restaurar a su estado original. [3]
La seudonimización es un método y una técnica utilizados por expertos en seguridad o funcionarios gubernamentales para ocultar la información de identificación personal con el fin de mantener la estructura de datos y la privacidad de la información . Algunos ejemplos comunes de información confidencial incluyen: código postal, ubicación de las personas, nombres de las personas, raza y género, etc.
Campos de información
La elección de los campos de datos que se van a seudonimizar es en parte subjetiva. Los campos menos selectivos, como la fecha de nacimiento o el código postal, a menudo también se incluyen porque generalmente están disponibles en otras fuentes y, por lo tanto, facilitan la identificación de un registro. La seudonimización de estos campos menos identificativos elimina la mayor parte de su valor analítico y, por lo tanto, normalmente va acompañada de la introducción de nuevas formas derivadas y menos identificativas, como el año de nacimiento o una región de código postal más grande .
Los campos de datos que son menos identificativos, como la fecha de asistencia, generalmente no están seudonimizados. Es importante darse cuenta de que esto se debe a que se pierde demasiada utilidad estadística al hacerlo, no a que los datos no puedan identificarse. Por ejemplo, dado el conocimiento previo de algunas fechas de asistencia, es fácil identificar los datos de alguien en un conjunto de datos seudonimizados seleccionando solo a aquellas personas con ese patrón de fechas. Este es un ejemplo de un ataque de inferencia .
La debilidad de los datos seudonimizados anteriores al RGPD frente a los ataques de inferencia se suele pasar por alto. Un ejemplo famoso es el escándalo de datos de búsqueda de AOL . El ejemplo de AOL de reidentificación no autorizada no requería el acceso a la "información adicional" guardada por separado que estaba bajo el control del controlador de datos, como ahora se requiere para la seudonimización compatible con GDPR, que se describe a continuación en la sección "Nueva definición de seudonimización bajo GDPR" .
La protección de datos seudonimizados estadísticamente útiles de la reidentificación requiere:
- una sólida base de seguridad de la información
- Controlar el riesgo de que los analistas, investigadores u otros trabajadores de datos causen una violación de la privacidad.
El seudónimo permite rastrear los datos hasta sus orígenes, lo que distingue la seudonimización de la anonimización , [4] donde se han depurado todos los datos relacionados con personas que podrían permitir el retroceso. La seudonimización es un problema, por ejemplo, en los datos relacionados con el paciente que deben transmitirse de forma segura entre centros clínicos.
La aplicación de la seudonimización a la salud electrónica tiene como objetivo preservar la privacidad del paciente y la confidencialidad de los datos . Permite el uso primario de registros médicos por parte de proveedores de atención médica autorizados y la privacidad preservando el uso secundario por parte de investigadores. [5] En los EE. UU., HIPAA proporciona pautas sobre cómo se deben manejar los datos de atención médica y la desidentificación o seudonimización de datos es una forma de simplificar el cumplimiento de HIPAA. [6] Sin embargo, la simple seudonimización para la preservación de la privacidad a menudo alcanza sus límites cuando se trata de datos genéticos (ver también privacidad genética ). Debido a la naturaleza de identificación de los datos genéticos, la despersonalización a menudo no es suficiente para ocultar a la persona correspondiente. Las posibles soluciones son la combinación de seudonimización con fragmentación y cifrado . [7]
Un ejemplo de aplicación de procedimiento de seudónimos es la creación de conjuntos de datos para de-identificación investigación mediante la sustitución de la identificación de palabras con las palabras de la misma categoría (por ejemplo, la sustitución de un nombre con un nombre aleatorio a partir de los nombres de diccionario), [8] [9] [10] sin embargo, en este caso, en general, no es posible rastrear los datos hasta sus orígenes.
Nueva definición de seudonimización según el RGPD
A partir del 25 de mayo de 2018, el Reglamento general de protección de datos de la UE (GDPR) define la seudonimización por primera vez a nivel de la UE en el artículo 4 (5). Según los requisitos de definición del artículo 4 (5), los datos se seudonimizan si no pueden atribuirse a un sujeto de datos específico sin el uso de "información adicional" guardada por separado. Los datos seudonimizados incorporan el estado del arte en Protección de datos por diseño y por defecto [11] porque requieren protección tanto de identificadores directos como indirectos (no solo directos). Los principios de protección de datos por diseño y por defecto del RGPD tal como se plasman en la seudonimización requieren protección de identificadores directos e indirectos para que los datos personales no sean referenciables (o reidentificables) a través del "Efecto mosaico" [12] sin acceso a la "información adicional" que el responsable del tratamiento mantiene por separado. Debido a que el acceso a Se requiere "información adicional" para la reidentificación, la atribución de datos a un sujeto de datos específico puede ser limitada por el controlador para respaldar únicamente fines legales.
El artículo 25 (1) del RGPD identifica la seudonimización como una " medida técnica y organizativa apropiada " y el artículo 25 (2) requiere que los controladores:
“… Implementar medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, solo se procesen los datos personales que son necesarios para cada propósito específico del procesamiento. Esa obligación se aplica a la cantidad de datos personales recopilados, el alcance de su procesamiento, el período de su almacenamiento y su accesibilidad. En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas ”.
Un núcleo central de la protección de datos por diseño y por defecto según el artículo 25 del RGPD es la aplicación de los controles de tecnología que respaldan los usos adecuados y la capacidad de demostrar que, de hecho, puede cumplir sus promesas. Las tecnologías como la seudonimización que imponen la protección de datos por diseño y por defecto muestran a los interesados individuales que, además de encontrar nuevas formas de obtener valor de los datos, las organizaciones están aplicando enfoques técnicos igualmente innovadores para proteger la privacidad de los datos, un tema especialmente sensible y de actualidad dado la epidemia de violaciones a la seguridad de los datos en todo el mundo.
Las áreas dinámicas y en crecimiento de la actividad económica (la "economía de confianza", la investigación en ciencias de la vida, la medicina / educación personalizada, el Internet de las cosas, la personalización de bienes y servicios) se basan en personas que confían en que sus datos son privados, están protegidos y solo se utilizan para fines adecuados que les aporten el máximo valor a ellos y a la sociedad. Esta confianza no se puede mantener utilizando enfoques obsoletos para la protección de datos. La seudonimización, como se define recientemente en el GDPR, es un medio para ayudar a lograr la protección de datos por diseño y, por defecto, para ganar y mantener la confianza y servir de manera más efectiva a las empresas, investigadores, proveedores de atención médica y todos los que confían en la integridad de los datos.
La seudonimización compatible con GDPR no solo permite un mayor uso respetuoso de la privacidad de los datos en el mundo actual de intercambio y combinación de datos de " big data ", sino que también permite a los controladores y procesadores de datos obtener beneficios explícitos bajo el GDPR para datos correctamente seudonimizados. Los datos seudonimizados se destacan en varios artículos del RGPD, que incluyen:
- Artículo 6 (4) como salvaguardia para ayudar a garantizar la compatibilidad del nuevo procesamiento de datos.
- El artículo 25 como medida técnica y organizativa para ayudar a hacer cumplir los principios de minimización de datos y el cumplimiento de las obligaciones de Protección de datos por diseño y por defecto.
- Los artículos 32, 33 y 34 como medida de seguridad que ayudan a hacer que las violaciones de datos “no puedan resultar en un riesgo para los derechos y libertades de las personas físicas”, reduciendo así las obligaciones de responsabilidad y notificación por violaciones de datos.
- El artículo 89, apartado 1, como salvaguardia en relación con el tratamiento con fines de archivo en interés público; fines de investigación científica o histórica; o con fines estadísticos; Además, los beneficios de la seudonimización en virtud del artículo 89 (1) también proporcionan una mayor flexibilidad en virtud de:
- Artículo 5 (1) (b) con respecto a la limitación del propósito;
- Artículo 5, apartado 1, letra e) en relación con la limitación del almacenamiento; y
- Artículo 9 (2) (j) con respecto a la superación de la prohibición general de procesamiento Artículo 9 (1) categorías especiales de datos personales.
- Además, en el dictamen del Grupo de Trabajo 06/2014 del artículo 29 se reconoce que los datos debidamente seudonimizados juegan “... un papel con respecto a la evaluación del impacto potencial del procesamiento en el interesado ... inclinando la balanza a favor del controlador ”Para ayudar a respaldar el procesamiento del interés legítimo como base legal en virtud del artículo 6 (1) (f) del RGPD. Los beneficios del procesamiento de datos personales utilizando el interés legítimo habilitado con seudonimato como base legal bajo el GDPR incluyen, sin limitación:
- De conformidad con el artículo 17 (1) (c), si un controlador de datos demuestra que "tiene motivos legítimos imperiosos para el procesamiento" respaldado por medidas técnicas y organizativas para satisfacer la prueba de equilibrio de intereses, tiene una mayor flexibilidad para cumplir con las solicitudes del derecho al olvido. .
- Según el artículo 18 (1) (d), un controlador de datos tiene flexibilidad para cumplir con las reclamaciones para restringir el procesamiento de datos personales si puede demostrar que tiene medidas técnicas y organizativas establecidas para que los derechos del controlador de datos anulen adecuadamente los de el interesado porque los derechos de los interesados están protegidos.
- Según el artículo 20, apartado 1, los responsables del tratamiento de datos que utilicen el tratamiento de interés legítimo no están sujetos al derecho de portabilidad, que se aplica únicamente al tratamiento basado en el consentimiento.
- De conformidad con el artículo 21, apartado 1, un responsable del tratamiento que utilice el tratamiento de interés legítimo puede demostrar que dispone de las medidas técnicas y organizativas adecuadas para que los derechos del responsable del tratamiento prevalezcan sobre los del interesado debido a los derechos de los interesados. están protegidos; sin embargo, los interesados siempre tienen derecho en virtud del artículo 21, apartado 3, a no recibir publicidad directa como resultado de dicho tratamiento.
Ver también
Referencias
- ^ "Reglamento general de protección de datos" . 4 (5).Mantenimiento de CS1: ubicación ( enlace )
- ^ Ciencia de datos bajo GDPR con seudonimización en la canalización de datos Publicado por Dativa, 17 de abril de 2018
- ^ Seudonimización frente a anonimización y cómo ayudan con GDPR Publicado en enero de 2017 Consultado el 20 de abril de 2018
- ^ http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf Anonimato, desvinculación, indetectabilidad, noobservabilidad, seudonimato y gestión de la identidad: una propuesta consolidada de terminología
- ^ Neubauer, T; Heurix, J (marzo de 2011). "Una metodología para la seudonimización de datos médicos". Int J Med Inform . 80 (3): 190-204. doi : 10.1016 / j.ijmedinf.2010.10.016 . PMID 21075676 .
- ^ "Desidentificación de datos: una forma más fácil de cumplir con HIPAA" . www.truevault.com .
- ^ http://www.xylem-technologies.com/2011/09/07/privacy-preserving-storage-and-access-of-medical-data-through-pseudonymization-and-encryption Privacidad-Preservación de almacenamiento y acceso de médicos Datos mediante seudonimización y cifrado
- ^ Neamatullah, Ishna; Douglass, Margaret M; Li-wei; Lehman, H; Reisner, Andrew; Villarroe, Mauricio; Long, William J; Szolovits, Peter; Moody, George B; Mark, Roger G; Clifford, Gari D (2008). "Desidentificación automatizada de registros médicos de texto libre" . BMC Informática Médica y Toma de Decisiones . 8 : 32. doi : 10.1186 / 1472-6947-8-32 . PMC 2526997 . PMID 18652655 .
- ^ org / fisiotools / deid / doc / ishna-meng-thesis.pdf
- ^ Deleger, L; et al. (2014). "Preparación de un corpus estándar de oro anotado para compartir con investigadores externos para la investigación de desidentificación" . J Biomed Inform . 50 : 173-183. doi : 10.1016 / j.jbi.2014.01.014 . PMC 4125487 . PMID 24556292 .
- ^ https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_en
- ^ Vijayan, Jaikumar (15 de marzo de 2004). "Barra lateral: el efecto mosaico" . Computerworld . Consultado el 26 de enero de 2021 .