anonym.legal
Tornar al BlogGDPR i Compliment

GDPR Anonimització vs. Pseudonimització...

Una empresa holandesa va rebre una multa de 20 milions d'euros el 2024 perquè va confondre pseudonimització amb anonimització.

April 19, 20268 min llegit
GDPR anonymization pseudonymizationArticle 4 recital 26personal data scope20 million EUR fineanonymization compliance determination

El Cas de l'Empresa Holandesa: 20 Milions d'Euros per Confusió Terminolòlogica

Una empresa tecnològica holandesa va coll una multa de 20 milions d'euros el novembre de 2024 per la Autoritat Holandesa de Protecció de Dades per al dades que prèviament es consideraven "anonimitzades". Aquí es va produir el problema:

L'empresa va:

  1. Reemplaçar noms de usuaris amb UUID (hashed + salted)
  2. Reemplaçar adreces IP amb hashes
  3. Però va mantenir la taula de traducció en un servidors dels EUA accessibles al personal de suport

L'autoritat holandesa va concloure que les dades EREN pseudonimitzades, NO anonimitzades, perquè:

  • Una taula de traducció existia
  • Significa que la organització podria re-identificar
  • Significa que altres organitzacions potent correlacionar amb mitjans raisonnables

Definicions de GDPR

Pseudonimització (Art. 4(5) GDPR):

"Processament de dades personals de manera que els dades personals ja no es puguin atribuir a una titular de dades sense la utilització d'informació addicional, sempre que aquesta informació addicional es mantingui separat i estigui subjecta a mesures tècniques i organitzatives per garantir que les dades personals no es atribueixen a una titular identificada o identificable".

Anonimització (Consideració 26 GDPR):

"Els principis de protecció de dades no s'han d'aplicar a les dades anònimes, és a dir, informació que no es relaciona amb una persona fisica identificada o identificable o amb dades personals que han estat esborrades de tal manera que la persona no és o ja no és identificable".

La diferència clau:

  • Pseudonimització: La re-identificació és possible si tens la clau addicional
  • Anonimització: La re-identificació és impossible per a qualsevol persona fins i tot amb mitjans raisonnables

Els "mitjans raisonnables" del test de l'EDPB

L'EDPB defineix "mitjans raisonnables" per a re-identificar com:

  1. Correlació de dades amb registres públics (registres de voters, directòries empresarials)
  2. Combinació de dades pseudo-anònimes amb dades que la organització posseeix
  3. Combinació de dades pseudo-anònimes amb dades que els tercers públicament accessibles posseeixen (registres de govern, arxius públics)
  4. Atac a força criptogràfic si les hashes no són prou fortes

Quan la empresa holandesa va retenir la taula de traducció en un servidors dels EUA, els usuaris potents theoretically correlacionar amb mitjans raisonnables — de manera que les dades eren pseudonimitzades, NO anonimitzades.

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions