La seudonimización se encuentra definida en el Art. 4.5) del nuevo Reglamento Europeo, como la información que, sin incluir los datos denominativos de un sujeto afectado – es decir aquéllos que lo pueden identificar de manera directa-, sí que potencialmente permiten, a través de la asociación con información adicional, determinar quién es el individuo que está detrás de los datos seudonimizados.
Seudonimizar consiste en sustituir un atributo por otro en un registro, de tal forma que a pesar de que siga existiendo la posibilidad de vincular a la persona física de manera indirecta con el conjunto de datos origen, se dificulta tal acción.
Por ejemplo, sustituir el nombre y apellidos de una persona, o cualquier otro dato identificador, por un código, de manera que si no se cuenta con una información adicional que permita establecer una vinculación, resulta imposible saber a qué individuo corresponde dicho código.
Para que la seudonimización sea eficaz, es importantísima la custodia de la información adicional que permite vincular el dato seudonimizado con el titular del mismo.
Las técnicas de seudonimización más habituales son:
- Cifrado con clave secreta.
- Función hash.
- Función con clave almacenada.
- Cifrado determinista o función hash con clave de borrado de clave.
- Descomposición en tokens.
Por lo tanto, la seudonimización supone una nueva herramienta que permite cumplir con mayor facilidad con ciertas exigencias del nuevo Reglamento y con uno de los mayores retos incluidos en el mismo, el del control del riesgo. Es decir, mediante técnicas de seudonimización podremos probar que hemos adoptado medidas y que estamos dispuestos a controlar este factor.