La Aclaración de Enero de 2025 del EDPB
Las Directrices 01/2025 de la Junta Europea de Protección de Datos sobre Pseudonimización, publicadas en enero de 2025, introdujeron varias aclaraciones con implicaciones significativas de cumplimiento para las organizaciones que utilizan herramientas de anonimización de datos.
La aclaración más importante: las directrices introducen el concepto de "dominio de pseudonimización" — el conjunto de partes para las cuales los datos pseudonimizados siguen siendo vinculables a individuos reales. Los datos pseudonimizados son datos personales bajo el GDPR para cualquier parte dentro del dominio de pseudonimización (partes que poseen la clave de pseudonimización o que pueden derivarla). Las directrices establecen explícitamente que los datos pseudonimizados no cambian su estatus de datos personales — siguen sujetos a todas las obligaciones del GDPR — incluso si parecen no identificables para las partes fuera del dominio.
Esta aclaración afecta a las organizaciones que creían que la "tokenización" o "pseudonimización con claves" habían eliminado sus datos del alcance del GDPR. Según las directrices de enero de 2025, no lo han hecho. La organización que posee la clave de pseudonimización sigue siendo un controlador de datos bajo el GDPR para los datos pseudonimizados.
La Brecha de Marketing de Herramientas
Muchas herramientas comercializadas como herramientas de "anonimización" en realidad producen datos pseudonimizados. La distinción:
Verdadera anonimización (irreversible): La transformación no puede ser revertida por ninguna parte, utilizando ningún medio disponible ahora o en el futuro. La verdadera anonimización elimina los datos completamente del alcance del GDPR.
Pseudonimización (reversible): La transformación puede ser revertida utilizando una clave, una tabla de búsqueda o información adicional mantenida por separado. La pseudonimización no elimina los datos del alcance del GDPR — siguen siendo datos personales para las partes que poseen o pueden derivar la clave.
Los sistemas basados en tokens (reemplazando PII con tokens consistentes y manteniendo una tabla de mapeo), sistemas basados en cifrado (reemplazando PII con valores cifrados y manteniendo una clave de descifrado), y el cifrado que preserva el formato producen todos datos pseudonimizados. Los datos siguen siendo datos personales bajo las directrices de enero de 2025 del EDPB.
El hashing (aplicando una función hash unidireccional a valores de PII) está más cerca de la anonimización — si la función hash es criptográficamente segura y no es factible una búsqueda de preimagen — pero las directrices del EDPB señalan que el hashing de datos de baja entropía (cadenas cortas como nombres o identificadores comunes) es vulnerable a ataques de tablas arcoíris y puede no constituir verdadera anonimización.
Estrategia de Cumplimiento Bajo las Nuevas Directrices
Los DPOs necesitan reevaluar su estrategia de clasificación de datos a la luz de las directrices de enero de 2025 del EDPB:
Para los datos clasificados como "anonimizados" (fuera del alcance del GDPR): re-evaluar si la transformación es realmente irreversible. Si alguna parte puede revertirla — incluyendo el propio controlador de datos — está pseudonimizada y el GDPR sigue aplicándose.
Para los datos que deben permanecer fuera del alcance del GDPR (para análisis, archivo o investigación): utilizar métodos de anonimización irreversibles — redacción (eliminación permanente), enmascaramiento con valores no recuperables, o hashing criptográfico de datos de alta entropía. Documentar el método y la base para la determinación de anonimización.
Para los datos que se benefician de la reversibilidad controlada (investigación con requisitos de re-contacto, auditorías, obligaciones de descubrimiento): clasificar explícitamente como datos personales pseudonimizados, mantener todas las obligaciones del GDPR, documentar los arreglos de custodia de la clave de pseudonimización según los requisitos de separación de claves del EDPB.
El marco explícito de cinco métodos — Reemplazar, Redactar, Enmascarar, Hash, Cifrar — se mapea directamente a esta clasificación: Reemplazar, Enmascarar y Cifrar producen datos pseudonimizados (el GDPR sigue aplicándose). Redactar y Hash (de datos de alta entropía) se acercan a la verdadera anonimización (sujeto a análisis de completitud y entropía).
Fuentes: