Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

186 REVISTA AUDITORÍA PÚBLICA / 81 ¡ Fase de disociación, anonimización o seudonimización de la información: preferiblemente las personas que lleven a cabo esta actividad no deberán ser las mismas que participen en la fase de explotación de la información Esta recomendación se convierte en obligación del responsable cuando se trate de datos de salud como se señala en la disposición adicional decimoséptima de la LOPDGDD, sin perjuicio del resto de obligaciones que se indican en dicha disposición adicional y en particular a la garantía de la trazabilidad de la información en el marco de las garantías prevista en el RGPD. Es preciso señalar que el propio proceso de disociación, anonimización o seudonimización es en sí mismo un tratamiento de datos personales y, por tanto, le es de aplicación las garantías previstas en la normativa de aplicación de datos personales. ¡ Fase de almacenamiento: debe garantizarse la confi- dencialidad de los datos y que estos no son accedidos por terceros no autorizados, recurriendo para ello a técnicas de cifrado y mecanismos autenticación y de control de acceso. También es importante, a fin de evitar posibles inferencias derivadas de un cruce no autorizado de distintas fuentes de información, recurrir a estrategias de distribución de datos que dificulten realizar vinculaciones entre los datos. ¡ Fase de explotación: cuando se vaya a hacer uso de los datos debe garantizarse su anonimización, recurriendo a las diferentes técnicas y, en su caso, a garantías jurídicas dirigidas a evitar la reidentificación, si es que no se ha hecho un uso previo de estas y los datos en esta fase aún siguen permitiendo la identificación de los interesados. El proceso de agregación para obtener conocimiento implica combinar datos, muchas veces de diferentes fuentes de información, con los riesgos para la privacidad de los interesados que ello representa: ¡ Reidentificación de los individuos o singularización , aumentando la probabilidad de que esta se produzca cuanto mayor sea el volumen de datos procesados, incluso en aquellos conjuntos de datos que aparente-mente pueden no contener identificadores primarios o explícitos 13 . ¡ Vinculabilidad de diferentes registros de un mismo interesado o grupo de interesados, ya sea en el mismo conjunto de datos o a través de la conexión de fuentes de datos heterogéneas e independientes, mediante análisis de correlación. ¡ Inferencia , a partir de datos personales calificados como cuasi-identificadores, de información personal mucho más crítica y que no estaba previsto ser procesada 14 . Si se trata de datos de categorías especiales, como los datos médicos de salud, nos encontramos ante una situación de mayor riesgo por el mayor impacto que representa sobre los derechos y libertades de las personas, por lo que las garantías a adoptar han de ser superiores. Estos riesgos para la privacidad deben de ser evaluados desde la misma concepción del tratamiento que haga uso de técnicas Big Data y de sus herramientas analíticas de explotación de información, incorporando, desde el diseño, las estrategias necesarias para mitigarlos y que habrán sido identificadas como resultado de la evaluación de impacto para la protección de datos llevada a cabo. B) La protección de la cesión de datos anonimizados El análisis de riesgo es importante en el uso interno de los datos por parte de las propias AA.PP . De igual manera lo es el que se ha de realizar antes de la cesión de datos anonimizados por parte de las AA.PP. a terceros. En caso del que el riesgo de reidentificación sea elevado, dicho tratamiento quedaría sujeto a la normativa de protección de datos y tendría que estar legitimado. Para el caso de los riesgos relacionados con la reidentificación de los interesados y la inferencia de información resultan útiles las siguientes aproximaciones 16 : ¡ Minimización de datos: el procesamiento de los datos se debe limitar al máximo posible y a lo necesario para alcanzar la finalidad del tratamiento, tanto desde el punto de vista del volumen de población (número de registros) como de datos analizados (atributos procesados). ¡ Maximización del nivel de agregación: se debe evitar en la medida de lo posible reidentificar a los individuos o inferir información sobre ellos dentro del dataset o conjunto de datos, para lo cual se precisa minimizar el detalle de la información tratada. 13. Los identificadores primarios o explícitos son aquellos que identifican unívocamente a un individuo, como su número de identificación fiscal, su número de la seguridad social o su número de teléfono móvil. 14. Los cuasi-identificadores son atributos que no identifican directamente a una persona (fecha de nacimiento, código postal, género, profesión, …) pero que pueden permitir su reidentificación se si combinan o cruzan con otros conjuntos de datos que compartan esos mismos cuasi-identificadores. 15. Tecnologías y protección de datos en las APP. AGEPD, 2020.