K-anonimidad, ¿qué es?

La normativa de protección de datos de carácter personal se aplica, como dice su definición, a los datos personales. ¿Y qué se consideran datos personales? Pues según el artículo 4 del Reglamento General de Protección de Datos (RGPD), se considera dato personal “toda información sobre una persona física identificada o identificable”.

Añade dicho artículo que “se considera persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente”. El identificador puede ser un nombre, número de identificación, datos de localización o cualquier otro elemento que, de forma directa o indirecta, nos lleve a poder identificar una persona.

Así, a cualquier dato que nos lleve a poder identificar a una persona le será de aplicación la normativa de protección de datos. En cambio, si los datos se anonimizan, esto es, si a través de un proceso se convierten en anónimos, no estarán sujetos a dicha normativa.

No obstante, es preciso señalar que, a través de la tecnología tan avanzada con la que contamos a día de hoy, es muy complicado convertir los datos en anónimos completamente. Pueden existir métodos para reidentificar a las personas que hay detrás de ellos a través de su procesamiento, llegando a comprometer la privacidad de las personas.

De este modo, han surgido procesos para medir el nivel de anonimización de los datos para cuantificar la medida en que estos datos pueden conducirnos a una persona física. Así, la k-anonimidad es una propiedad de los datos anonimizados con la que podemos cuantificar el nivel de anonimidad de los individuos en un conjunto de datos en el cual se han eliminado los identificadores. Es decir, sirve para cuantificar el riesgo de que se obtenga información personal a partir de datos anonimizados.

La k-anonimidad se puede conseguir a través de diferentes métodos, como son la generalización (haciendo que los valores sean menos precisos) y la eliminación (eliminando ciertos datos para que sea menos probable la identificación). Este método de medición de riesgo se centra en los datos cuasi-identificadores, es decir, en los que por sí mismos no identifican a una persona, pero en conjunto con otros podrían hacerlo.

Así, un sujeto es k-anónimo dentro de un conjunto de datos si para cualquier combinación de los atributos cuasi-identificadores que se asocian a éste, existen al menos otros K-1 sujetos que comparten con él los mismos valores para estos mismos atributos. El mejor valor es el que resulte ser más elevado, es decir, el que contiene un menor riesgo de desanonimización.

Tanto el Grupo de Trabajo del artículo 29 como la Agencia Española de Protección de Datos orientan a los sujetos encargados del tratamiento de los datos en estos métodos y otros para conseguir hacer posible la privacidad y la protección de nuestros datos en una época de procesamiento masivo.

También te puede interesar: