Hash como técnica de seudonimización

Fuente de la imagen: mvc archivo propio

Parte de la tarde del lunes la pasé hojeando el informe “Introducción al hash como técnica de seudonimización de datos personales”[1], recientemente publicado por la Agencia Española de Protección de Datos (AEPD), que ya avancé en el sitio Protección de Datos y que ha sido elaborado en colaboración con el Supervisor Europeo de Protección de Datos (EDPS). El documento se encuentra orientado a aquellos responsables de tratamientos que utilicen o vayan a utilizar funciones hash[2] para seudonimizar o anonimizar datos personales. Y es que la creciente demanda de datos personales[3] ha hecho resurgir el interés por los procesos y técnicas de seudonimización y anonimización. Según la AEPD, la decisión de emplear técnicas de hash adquiere gran importancia para fijar el cumplimiento efectivo de los derechos establecidos en el Reglamento Europeo de Protección de Datos (RGPD) en determinado tipo de tratamientos[4]. 

En esa medida intervienen consideraciones jurídicas, técnicas y de gestión de procesos, lo que implica que aquellos involucrados en la misma necesitan tener un conocimiento básico de las técnicas de hash y sus posibles riesgos, por lo que el estudio introduce los fundamentos de las funciones hash, sus propiedades, las posibilidades de reidentificar el mensaje que generó el hash así como guías para analizar la adecuación de un tratamiento que utilice dichas funciones. Y es que parece que las funciones hash llevan tiempo utilizándose como medida de protección adicional en el tratamiento de datos personales, pero para la AEPD existen dudas de hasta qué punto el hash es una técnica efectiva de seudonimización y si, bajo determinadas circunstancias, como que el mensaje original haya sido eliminado, se puede llegar a considerar que los datos personales están verdaderamente anonimizados. Fuente de la información: AEPD. Fuente de la imagen: mvc archivo propio.

[1] Si quieres acceder al documento, clickea AQUÍ. Sitio visitado el 05/11/2019.

[2] El hash es un proceso que transforma cualquier conjunto arbitrario de datos en una nueva serie de caracteres con una longitud fija, con independencia del tamaño de los datos de entrada. Al resultado también se le denomina a su vez hash y también resumen, ‘digest’ o imagen. 

[3] Derivada en parte del auge de tecnologías que se nutren de cantidades masivas de datos, como el big data o el machine learning. 

[4] Como pueden ser investigación, análisis de datos de tráfico o geolocalización, o blockchain.