ENISA ha publicado su informe sobre la pseudonimización para la protección de datos personales - Data Pseudonymisation: Técnicas Avanzadas y Casos de Uso- que ofrece un análisis técnico de las medidas de ciberseguridad en materia de protección de datos personales y privacidad. Este nuevo trabajo se basa en la labor anterior de la Agencia sobre las técnicas de pseudonimización y las mejores prácticas, explorando nuevas técnicas avanzadas de pseudonimización y casos de uso específicos en ámbitos como la asistencia sanitaria y el intercambio de información en materia de ciberseguridad. 

Aunque no es un proceso nuevo, la pseudonimización pasó a ser el centro de atención en 2018 con la aplicación del Reglamento General de Protección de Datos (RGPD), que hace referencia a la pseudonimización como mecanismo de seguridad y protección de datos por diseño. Aunque el despliegue y la correcta aplicación de las técnicas de pseudonimización de datos han llegado a ser muy debatidos, el contexto general del tratamiento se considera un aspecto importante para su aplicación. Por lo tanto, la pseudonimización debe combinarse con una evaluación exhaustiva de los riesgos para la seguridad y la protección de los datos.

El Director Ejecutivo de la Agencia de Ciberseguridad de la UE, Juhan Lepassaar, dijo: "Las técnicas de ciberseguridad son una parte integral para cumplir con las obligaciones de protección de datos, y permiten a los usuarios disfrutar plenamente de sus derechos fundamentales a la protección de los datos personales y la privacidad".

Dado que no existe una técnica de pseudonimización única, es necesario un alto nivel de competencia para reducir las amenazas y mantener la eficiencia en el tratamiento de los datos pseudonimizados en diferentes escenarios. El informe de ENISA pretende apoyar a los responsables y procesadores de datos en la aplicación de la pseudonimización, proporcionando posibles técnicas y casos de uso que podrían ajustarse a diferentes escenarios.

El informe subraya la necesidad de tomar medidas que incluyan lo siguiente:

• Es necesario analizar cada caso de tratamiento de datos personales para determinar la opción técnica más adecuada en relación con la pseudonimización;
• Un estudio en profundidad del contexto del tratamiento de datos personales antes de aplicar la pseudonimización de datos;
• Un análisis continuo del estado de la técnica en el ámbito de la pseudonimización de datos, a medida que las nuevas investigaciones y los modelos empresariales abren nuevos caminos;
• Desarrollo de escenarios avanzados de pseudonimización para casos más complejos, por ejemplo, cuando los riesgos del tratamiento de datos personales se consideran elevados;
• Seguir debatiendo sobre la adopción más amplia de la pseudonimización de datos tanto a nivel de la UE como de los Estados miembros.
• Antecedentes
• La Agencia de Ciberseguridad de la Unión Europea ha estado trabajando en el área de privacidad y protección de datos desde 2014, analizando soluciones técnicas para la implementación del GDPR, la privacidad por diseño y la seguridad del procesamiento de datos personales. Desde 2018, la Agencia ha estado proporcionando orientación sobre soluciones de pseudonimización de datos a los controladores y procesadores de datos.
• En enero de 2019, la Agencia de Ciberseguridad de la UE publicó recomendaciones sobre la configuración de la tecnología de acuerdo con las disposiciones del GDPR, proporcionando una visión general sobre la pseudonimización de datos. En noviembre de 2019, la Agencia publicó un informe más detallado sobre las técnicas de pseudonimización y las mejores prácticas y coorganizó un taller con la Autoridad de Protección de Datos del Estado Federal alemán de Schleswig-Holstein (ULD) sobre la pseudonimización y las técnicas de seguridad pertinentes. La ENISA centra ahora su trabajo en la aplicación práctica de las técnicas de pseudonimización de datos.
• Hoy mismo, el 28 de enero, la Agencia de Ciberseguridad de la UE dirigió un panel, "Securing Personal Data: The 'New' Normal", en la 14ª conferencia internacional Computers, Privacy and Data Protection (CPDP). El experto en ciberseguridad de la ENISA, Prokopios Drogkaris, moderó la mesa redonda virtual sobre cómo la COVID-19 afectaba a las consideraciones existentes relacionadas con la seguridad del tratamiento de datos personales.

 

Fuente: ENISA