La seudonimització es troba definida en l’Art. 4.5) del nou Reglament Europeu, com informació que, sense incloure les dades d’un subjecte afectat – és a dir aquells que el poden identificar de manera directa-, sí que potencialment permeten, a través de l’associació amb informació addicional, determinar qui és l’individu que està darrere de les dades seudonimitzades.
Seudonimitzar consisteix en substituir un atribut per un altre en un registre, de tal manera que tot i que segueixi existint la possibilitat de vincular la persona física de manera indirecta amb el conjunt de dades origen, es dificulta tal acció.
Per exemple, substituir el nom i cognoms d’una persona, o qualsevol altra dada identificadora, per un codi, de manera que si no es compta amb una informació addicional que permeti establir una vinculació, resulta impossible saber a quin individu correspon aquest codi.
Perquè la seudonimització sigui eficaç, és importantíssim la custòdia de la informació addicional que permet vincular la dada seudonimitzada amb el titular del mateix.
Les tècniques de seudonimització més habituals són:
- Xifrat amb clau secreta.
- Funció hash.
- Funció amb clau emmagatzemada.
- Xifrat determinista o funció hash amb clau d’esborrat de clau.
- Descomposició en tokens.
Per tant, la seudonimització suposa una nova eina que permet complir amb més facilitat certes exigències del nou Reglament i amb un dels majors reptes inclosos en el mateix, el del control del risc. És a dir, mitjançant tècniques de seudonimització podrem provar que hem adoptat mesures i estem disposats a controlar aquest factor.