Imagina que tratas de tus usuarios el dato “lugar de nacimiento” (e.g. Barcelona), el dato “residencia” (e.g. Madrid), el dato “edad” (e.g. 23 años), el dato “salud” (e.g. 4 caries) o el dato "matrícula de coche" (e.g. M 6699 FGH).

¿Cuánta gente ha nacido en Barcelona, vive en Madrid, tiene 23 años, 4 caries y un coche con matrícula M-6699 FGH?

Esos datos parecen datos personales, pero así “sueltos” no sirven para identificar a nadie en concreto, salvo que dispongas de otros datos con qué combinarlos o asociarlos y de los medios razonables, como la singularización, para identificar directa o indirectamente a su titular.

El Reglamento General de Protección de Datos (RGPD) europeo define los datos personales desde un punto de vista objetivo y muy amplio:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

En el momento en que los datos obtenidos del análisis del comportamiento de las personas, offline u online, o de sus dispositivos electrónicos, pueden servir para identificar indirectamente a su titular, potencialmente, prácticamente todo tipo de datos podrían ser datos personales. Piensa en datos como el dato “tipo de comida” (e.g. vegana), dato “frecuencia de echar gasolina" (e.g. 1 vez a la semana), dato “transporte público” (e.g. metro) o dato “medio de pago” (e.g. tarjeta de débito).

Si esto fuera así, sin más, el RGPD se convertiría en una ley omnipresente (i.e. la “Ley of Everything”). Nadie escaparía de su aplicación y todo tratamiento de información quedaría sometido al estricto régimen del RGPD (y de las leyes nacionales que en cada país sean aplicables, claro) con unas consecuencias probablemente nefastas que acabarían frenando la agenda digital en Europa.

Pero, afortunadamente, analizar si un dato es dato personal, o no, depende también de quién lo está tratando.

Los datos circulan o fluyen de unos a otros con independencia de su rol en el procesamiento del dato, esto es, independientemente de si son responsables, intermediarios, encargados, sub-encargados, representantes, autoridades de control, destinatarios y otros cualesquiera terceros; ya sean autoridades públicas o empresas privadas, ejerzan poderes públicos o no y, con independencia de la base legítima para su tratamiento.

Por ejemplo, con el dato “matrícula de coche” la Dirección General de Tráfico podría identificar al dueño del coche, pero yo no.

No todos disponemos de los mismos datos con qué compararlos o asociarlos, ni los mismos medios razonables adecuados para poder asociar el dato con su titular.

Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos (Considerando 26 del RGPD)

Es decir, que el mismo dato puede ser un dato personal para mí y no para ti. Por tanto, yo tendría que cumplir con el RGPD y tú no. Esto puede ser muy relevante, sobre todo para pequeñas y medianas empresas que quieran reutilizar los datos obtenidos por otros para sus propios fines y que no necesitan que los mismos sean trazables hasta identificar a su titular.

Hay pocos datos que sean no-personales desde su origen (e.g. cantidad de lluvia que cae en Sevilla) y pocos los datos relativos a una persona física y que sean anónimos porque no se sepa quién los ha generado (e.g. el asesino de un crimen no descubierto).

Para poder tratar datos, originariamente considerados datos personales, sin todas o parte de las restricciones que impone el RGPD deben haber sido sometidos previamente a un proceso eficaz de:

-         seudonimización, de forma que el que los trate no pueda atribuirlos a una persona física porque no tiene la información adicional que le haría falta para la identificación. El mismo dato sería personal para quién pueda asociarlo a una persona y no-personal para el que carece de dichos medios.

-         anonimización, de forma que el dato ya no es atribuible a una persona física porque nadie tiene la información o los medios para poder identificar a su titular original.

-        agregación, de forma que los datos se reciben en bancos o conjuntos de datos resumidos sin que quepa su individualización o singularización por quien los trata.

Lo dicho parece muy obvio, pero tenerlo en cuenta puede facilitar mucho el tratamiento de datos por parte de muchas empresas y puede ser la base de numerosas iniciativas de open data y reutilización de datos en la actualidad objeto de tratamiento en exclusiva por autoridades públicas o por ciertas entidades privadas y, para otros fines distintos de aquellos para los que se obtuvieron.

Otra cuestión a considerar es o será si, como consecuencia de los avances tecnológicos los procesos de seudonimización, anonimización o agregación son verdaderamente eficaces o, si sobrevendrán ineficaces …

Si te ha parecido interesante y quieres que profundicemos un poco más, no dudes en contactarme en info@lawingit.com