Seudonimización.

La seudonimización es la técnica definida en el artículo 4(5) del GDPR que consiste en sustituir los identificadores directos por tokens reversibles, con la clave almacenada por separado. Reduce el riesgo y genera buena disposición regulatoria, pero los datos siguen siendo datos personales. La anonimización es la variante que escapa completamente al GDPR; la seudonimización, no. Atención a la confusión entre ambos conceptos.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La perspectiva de Cyber Academy

La seudonimización es la técnica definida en el artículo 4(5) del GDPR que consiste en sustituir los identificadores directos por tokens reversibles, con la clave almacenada por separado. Reduce el riesgo y genera buena disposición regulatoria, pero los datos siguen siendo datos personales. La anonimización es la variante que escapa completamente al GDPR; la seudonimización, no. Atención a la confusión entre ambos conceptos.

Lo que realmente hace la seudonimización

La seudonimización es una técnica de protección de datos, no un estado que el dato alcance. Tomas los campos que apuntan directamente a una persona, el nombre, el correo electrónico, el número nacional de identidad, y los sustituyes por un token: un identificador aleatorio, una referencia codificada, un valor cifrado. La correspondencia que convierte de nuevo el token en la identidad real, la clave, se conserva por separado y se protege con sus propias medidas técnicas y organizativas. Cualquiera que trabaje con el conjunto de datos seudonimizado puede analizarlo, compartirlo o realizar pruebas sobre él sin ver a quién pertenecen los registros, mientras la organización conserva la capacidad de reidentificar cuando tiene un motivo legítimo para hacerlo.

El GDPR nombra explícitamente esta técnica y la trata como una salvaguarda recomendada. Aparece como una forma de cumplir la protección de datos desde el diseño y por defecto, como una medida que puede reducir el riesgo residual de una actividad de tratamiento, y como un factor que las autoridades de control ponderan favorablemente al evaluar si has hecho lo suficiente. Usarla es una señal de que te tomaste en serio la seguridad y la minimización. Esa es la buena disposición a la que apunta la definición breve, y es real, pero no cambia la naturaleza jurídica del dato.

La seudonimización no es anonimización

Esta es la confusión que mete a las organizaciones en problemas. Como un registro seudonimizado ya no lleva un nombre visible, se supone que ha quedado fuera del ámbito del reglamento. No lo ha hecho. La seudonimización es reversible por diseño: la clave existe, de modo que el dato puede vincularse de nuevo a una persona identificable, por lo que sigue siendo un dato personal y todas las obligaciones continúan aplicándose. La anonimización es el trato opuesto. Es irreversible, el vínculo con la persona se destruye de forma tan completa que la reidentificación ya no es razonablemente posible por ningún medio que probablemente se utilice, y solo entonces el dato queda completamente fuera del GDPR.

Seudonimización frente a anonimización
AspectoSeudonimizaciónAnonimización
ReversibleSí, mediante la clave conservada por separadoNo, el vínculo se destruye
Sigue siendo dato personalNo
Se aplica el GDPRSí, en su totalidadNo
Finalidad típicaReducir el riesgo conservando la utilidad y la reidentificaciónSacar el dato del ámbito, a menudo para su publicación abierta

Lo que realmente hacen los profesionales

En la práctica, la seudonimización es una disciplina de ingeniería y de gobernanza más que un único interruptor. El propósito de separar la clave queda anulado si el mismo equipo, sistema o copia de seguridad guarda a la vez los tokens y la correspondencia, de modo que los controles en torno a la clave importan tanto como la tokenización en sí.

  • Sustituir los identificadores directos por tokens, usando métodos como el hash con clave, el cifrado o una tabla de búsqueda de referencias aleatorias.
  • Almacenar la clave de reidentificación por separado, bajo un control de acceso más estricto que el conjunto de datos de trabajo, idealmente en manos de un equipo diferente.
  • Protegerse frente a la reidentificación indirecta, donde combinaciones poco frecuentes de los campos restantes (un código postal, más una fecha de nacimiento, más un cargo) permiten singularizar a alguien incluso sin nombre.
  • Documentar la técnica en el registro de actividades de tratamiento y en la EIPD, y tratar el dato seudonimizado como dato personal a efectos de evaluación de brechas, conservación y derechos de los interesados.

Bien hecha, la seudonimización permite que la analítica, la investigación y las pruebas de software se ejecuten sobre datos realistas a la vez que reduce el radio de impacto de una brecha, porque un atacante que obtiene los tokens sin la clave dispone de mucho menos. Hecha con descuido, con la clave accesible o los identificadores indirectos ignorados, ofrece la apariencia de protección sin la sustancia, y la organización sigue cargando con cada obligación que creía haber esquivado.

Frequently asked questions

01¿La seudonimización saca mis datos del ámbito del GDPR?

No. Los datos seudonimizados son reversibles porque la clave de reidentificación sigue existiendo, así que siguen siendo datos personales y el GDPR se aplica en su totalidad. Solo la anonimización irreversible saca los datos del ámbito del reglamento.

02¿Cuál es la diferencia entre seudonimización y anonimización?

La seudonimización es reversible y mantiene el dato vinculable a una persona a través de una clave conservada por separado, por lo que sigue siendo dato personal. La anonimización es irreversible y destruye ese vínculo de modo que la reidentificación ya no es razonablemente posible, lo que saca el dato del ámbito del GDPR.

03¿Por qué merece la pena seudonimizar si el dato sigue estando regulado?

Reduce el riesgo y respalda la protección de datos desde el diseño. Limita quién puede ver las identidades reales, reduce el impacto de una brecha y cuenta como una medida favorable de seguridad y minimización cuando una autoridad de control evalúa tu tratamiento.

04¿Dónde almaceno la clave de reidentificación?

Por separado del conjunto de datos seudonimizado, bajo controles de acceso más estrictos e idealmente gestionada por un equipo o sistema diferente. Si las mismas personas o copias de seguridad guardan a la vez los tokens y la clave, la separación que da sentido a la seudonimización ha desaparecido.

05¿Pueden los datos seudonimizados reidentificarse por accidente?

Sí. Incluso sin identificadores directos, combinaciones poco frecuentes de los atributos restantes, como el código postal, la fecha de nacimiento y la ocupación, pueden singularizar a una persona. Protegerse frente a esta reidentificación indirecta forma parte de hacer bien la seudonimización.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.