NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Cibercrime Law

La ICO del Reino Unido publica un código de prácticas de anonimización

El 20 de noviembre de 2012, la Oficina del Comisionado de Información del Reino Unido (“ICO”) publicado “Anonimización: Código de prácticas de gestión de riesgos de protección de datos” (el “Código”). El propósito del Código es proporcionar a las organizaciones un marco para evaluar los riesgos del anonimato. También establece recomendaciones de buenas prácticas que las organizaciones pueden adoptar para proporcionar un “grado razonable de confianza” en que la publicación y el intercambio de datos anónimos no conducirán a una “divulgación inapropiada de datos personales”. El Código publicado sigue a una consulta sobre el mismo tema a principios de este año. El ICO también anunció la creación de la Red de Anonimización del Reino Unido, que promoverá el intercambio de buenas prácticas relacionadas con el anonimato entre los sectores público y privado.

El beneficio más significativo de la anonimización es que los datos anonimizados no se consideran “datos personales” y, por lo tanto, están fuera del alcance de la Ley de Protección de Datos del Reino Unido de 1998 (“DPA”). Un desafío clave para las organizaciones que desean anonimizar los datos es asegurarse de que los datos personales no se puedan volver a identificar. El Código enfatiza que el riesgo de reidentificación a través del enlace de datos es “esencialmente impredecible porque nunca se puede predecir con certeza qué datos ya están disponibles o qué datos pueden publicarse en el futuro”. Si los datos anonimizados seguirán siendo datos personales es una pregunta difícil y la respuesta variará según las circunstancias.

Para evaluar el riesgo de reidentificación, la ICO recomienda que las organizaciones evalúen si cualquier otra persona podría identificar a un individuo a partir de la información anónima, ya sea por sí misma o en combinación con otra información disponible. Al considerar “otra información disponible”, el Código recomienda adoptar una prueba de “intruso motivado”, es decir, preguntar si las personas podrían ser re-identificadas a partir de los datos anónimos por alguien que sea “razonablemente competente, tenga acceso a recursos … y emplee técnicas de investigación, como hacer consultas a personas que puedan tener un conocimiento adicional de la identidad del sujeto de datos “. El Código también establece que cuando se vuelvan a identificar datos anonimizados para crear datos personales, la persona que realiza la reidentificación se considerará el responsable del tratamiento y estará sujeta a las obligaciones habituales de un responsable del tratamiento en virtud de la DPA.

En casos límite, donde las consecuencias de la reidentificación pueden ser significativas (p.ej, donde la reidentificación puede dejar a un individuo expuesto al daño o angustia), el Código insta a las organizaciones a buscar el consentimiento de los interesados ​​para la divulgación de datos (explicando sus posibles consecuencias) y adoptar una forma más rigurosa de análisis de riesgos y una anonimización más fuerte. técnica.

El Comisionado de Información del Reino Unido, Christopher Graham, dijo: “Hemos publicado nuestro código de prácticas sobre la gestión de los riesgos de protección de datos relacionados con la anonimización para proporcionar un marco para que los profesionales lo utilicen al considerar si producir información anonimizada. El código también tiene como objetivo brindar una mayor coherencia de enfoque y mostrar lo que esperamos de las organizaciones que utilizan estos datos “. También afirmó que la ICO reconoce “que los datos anonimizados pueden tener importantes beneficios, aumentando la transparencia del gobierno y ayudando a la comunidad de investigación del Reino Unido ampliamente reconocida”.

En relación con la creación de datos anonimizados, el Código establece que el consentimiento generalmente no es necesario para legitimar el anonimato. El Código establece que el consentimiento es solo una de las bases legales disponibles para legitimar el procesamiento de datos personales bajo la DPA. El Código señala que, según la DPA, una persona solo tiene derecho a evitar el procesamiento de datos personales cuando cause daños o angustia injustificados; En la medida en que el proceso de anonimización no cause daño o angustia injustificados a las personas, el Código establece que no se requiere consentimiento. Esta posición difiere de la de otras autoridades europeas de protección de datos.

El Código también incluye ejemplos de diversas técnicas de anonimización y reidentificación e ilustraciones de cómo los datos anonimizados se pueden utilizar para diversos fines.

Steve Wood, director de ejecución de políticas de la ICO, también publicó un blog sobre las oportunidades y los riesgos del anonimato en el sitio web de la ICO.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar