En principio, los datos anonimizados no se ven afectados por el RGPD. De hecho, el Reglamento General de Protección de Datos (“GDPR”) solo se aplica en presencia de datos personales, que se definen como “cualquier información relativa a una persona física identificada o identificable [1] ".

En consecuencia, “no hay razón para aplicar los principios relativos a la protección de datos a la información anónima, es decir, a la información que no se refiere a una persona física identificada o identificable, ni a los datos personales anonimizados de tal manera que la persona en cuestión no sea o no sea ya no es identificable. » [2]

Pero, en la práctica, debemos distinguir entre seudonimización y anonimización. La seudonimización es el tratamiento de datos personales realizado de forma que resulte imposible atribuir datos al interesado sin recurrir a información adicional. De este modo, los datos identificativos directos (apellidos, nombre, fecha de nacimiento, etc.) se sustituyen por datos identificativos indirectos (alias o números secuenciales). La anonimización consiste en imposibilitar la identificación de la persona por cualquier medio, de forma irreversible. Permite la explotación de datos personales, sin vulnerar los derechos y libertades de las personas, los datos no pueden ser devueltos a una persona física. Por tanto, el impacto de su difusión es necesariamente limitado.

Protéjase de las técnicas de reidentificación

Sin embargo, puede suceder que al pensar en anonimizar, el responsable del tratamiento en realidad haya seudonomizado [3] los datos. Dada la importancia y las responsabilidades asociadas con una mala anonimización de la información, las autoridades de protección de datos personales han establecido tres criterios para garantizar que los datos sean verdaderamente anónimos. [4] :
- Individualización : un individuo no debe poder ser aislado en el conjunto de datos;
- la correlación : no debe ser posible vincular conjuntos distintos de datos relativos a la misma persona;
- la inferencia : No se debe poder deducir con casi certeza nueva información sobre un individuo.

Sin embargo, los avances tecnológicos podrían permitir el desarrollo de sistemas o soluciones que permitan la reidentificación de las personas interesadas, incluso después de su anonimización mediante los métodos convencionales conocidos hasta la fecha. Además, de acuerdo con una deliberación de la CNIL [5]Se recomienda planificar una interacción con cada usuario de los conjuntos de datos anónimos para no intentar ninguna reidentificación.

1) Definición de la CNIL
2) Considerando 26, RGPD
3) GPDP, 18 de julio de 2023, n° 9920977
4) Opinión sobre técnicas de anonimización
5) Deliberación n°2016-047 del 26 de febrero de 2016, CNIL