Lo que en el pasado podría haber sido una respuesta clara y binaria a la pregunta de qué constituye información personal identificable (PII) pronto se volverá más complejo e intrincado. Ciertamente, un conjunto de datos que identifica explícitamente a una persona específica y relaciona sus datos personales sigue siendo definitivamente PII. Sin embargo, la definición de lo que podría o podría considerarse datos personales parece estar cambiando y, aún más importante, ampliándose a la información personal potencialmente identificable. Esta difuminación de las fronteras es consecuencia de nuevas regulaciones, especialmente, pero no exclusivamente, del Reglamento General de Protección de Datos de la Unión Europea, pero también de nuevas preocupaciones sobre la eficacia de los métodos tradicionales para desidentificar datos en el mundo digital y el creciente potencial para reidentificar a los clientes mediante la integración de conjuntos de datos relacionados dispersos por la infraestructura de Big Data.
La definición de qué se considera o podría considerarse como dato personal no es simplemente un debate académico arcano ni un tema de debate entre expertos en políticas de privacidad. En cambio, las nuevas definiciones de datos privados, que consideran el grado de identificabilidad y el contexto, tienen implicaciones muy reales en la gestión de los datos personales. Para abordar mejor los requisitos de cumplimiento normativo, que incluyen una definición más amplia y estricta de datos personales, y reducir la superficie de ataque, se requiere una estrategia de gestión de datos dinámica y flexible basada en la visibilidad y el análisis en tiempo real.
La privacidad implica más que la desidentificación
Si la dirección que ha tomado el RGPD de la UE sirve de indicio, es probable que la clasificación de los datos personales, y por ende, su gestión y protección, se convierta en un desafío operativo cada vez mayor. El RGPD de la UE introduce por primera vez una tercera categoría de datos personales, denominada elegantemente "seudonimización", que se suma a las categorías existentes de datos personales y anónimos. Los datos seudonimizados son información que ya no permite la identificación de una persona sin información adicional y se mantienen separados de ella.
Sin embargo, la nueva categoría no se limita a añadir complejidad. Por un lado, aborda algunas de las preocupaciones sobre una definición demasiado amplia de datos privados que restringe las actividades de investigación. Por otro lado, la categoría pretende socavar y desincentivar muchas prácticas aceptadas de desidentificación, especialmente en el mundo digital. En efecto, lo que hace la categoría es reformular una definición legal en una definición técnica.
La desidentificación, como su propio término sugiere, implica ocultar información específica relacionada con la identidad del titular de los datos para convertirla en anónima. En el mundo digital y móvil, donde las cookies, las etiquetas y las aplicaciones pueden capturar grandes cantidades de información sobre una persona, se han utilizado procesos de desidentificación, como la sustitución de datos personales por un número aleatorio o hash, para anonimizar los datos y reducir el alcance de los requisitos de cumplimiento. En general, las normas de la industria publicitaria en EE. UU. consideran estos datos como información no identificable (PII).
El grado de escepticismo es evidente en el informe publicado por el Grupo de Trabajo del Artículo 29 de la UE en el período previo a la finalización del RGPD: “Si la seudonimización se basa en la sustitución de una identidad por otro código único, la presunción de que esto constituye una desidentificación robusta es ingenua y no tiene en cuenta la complejidad de las metodologías de identificación y los múltiples contextos en los que podrían aplicarse”.
Ocultar la identidad no es protegerla
Este motivo de escepticismo radica en que los reguladores de la UE creen que las técnicas de desidentificación existentes no logran detener su objetivo: reidentificar a personas específicas. Este escepticismo también se evidencia en la incorporación de las direcciones MAC como identificador directo según la nueva definición de datos privados del RGPD, así como en las normas propuestas por la FCC.
Además, leyendo entre líneas, a los reguladores les preocupa que, a medida que las organizaciones recopilan, almacenan y procesan grandes cantidades de datos relacionados con una persona mediante identidades en línea, cookies, etiquetas o aplicaciones móviles, tanto los atacantes como las organizaciones que poseen los datos puedan reidentificar fácilmente a los usuarios. Ahora existe la posibilidad de frustrar fácilmente la "desvinculación" lineal.
El reto al que se enfrentan las organizaciones que buscan cumplir con el Reglamento no solo reside en implementar la minimización de datos para evitar la acumulación de copias de los mismos datos que pueden vincularse con relativa facilidad, sino también en gestionar la denominada proximidad de datos dentro de su infraestructura de Big Data. No solo preocupa que el proceso de desidentificación se revierta fácilmente fusionando o vinculando dos conjuntos de datos relacionados, sino también que, en la era del Big Data, los atacantes puedan combinar fácilmente datos públicos y privados con unos pocos pasos para reidentificar a una persona específica.
Cumplimiento de la privacidad en una era de reidentificación simplificada
Limitar la reidentificación no debería ser solo una preocupación de cumplimiento normativo. Si bien la privacidad, la gobernanza, la regulación de la residencia de datos y la seguridad de los datos pueden parecer a veces contradictorias, este es un área donde convergen los esfuerzos de mitigación de riesgos. Comprender el grado de proximidad de los datos también puede ayudar a comprender no solo dónde existe el riesgo de incumplir las normas de cumplimiento normativo y de transferir datos inadvertidamente de una categoría a otra. Si los datos pueden reidentificarse, también representan una responsabilidad por el riesgo de incumplimiento o violación de las políticas de privacidad y los acuerdos de consentimiento del usuario.
Seguridad sprotecciones, segmentación y controles de acceso La implementación de medidas en la forma en que se obtienen, utilizan o difunden los datos puede mitigar el riesgo, pero se necesita un enfoque más proactivo no solo para señalar cuándo corren el riesgo de exponerse datos explícitamente privados, sino también si es posible volver a identificarlos a medida que avanzan por los flujos de procesamiento.
Gestionar el riesgo de reidentificación involuntaria y maliciosa por parte de atacantes no es una tarea sencilla, especialmente cuando las organizaciones tienen que alinearse con un mosaico de regulaciones y ganar visibilidad en múltiples dimensiones.
De hecho, las organizaciones podrían incluso adoptar un enfoque probabilístico con ventajas tanto de cumplimiento normativo como de seguridad para identificar con mayor precisión el potencial de reidentificación si administradores, servicios, API, empleados o terceros acceden a dos fuentes de datos. Sin embargo, este enfoque solo es viable si las organizaciones pueden mantener visibilidad de sus datos en tiempo real, automatizar la detección de proximidades de datos riesgosas, aplicar controles dinámicamente o modificar políticas al detectar un riesgo.
Autor
