La AEPD publica recomendaciones para aquellos que utilicen técnicas de hash en la seudonimización de datos  07-11-2019

El informe analiza las fuentes de riesgo de reidentificación en la aplicación de técnicas de hash, estableciendo la necesidad de realizar un análisis objetivo para determinar si es adecuado como técnica de seudonimización o anonimización de datos personales.
La Agencia Española de Protección de Datos (AEPD), en colaboración con el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés), ha publicado el informe ‘Introducción al hash como técnica de seudonimización de datos personales’, un documento orientado a aquellos responsables de tratamientos que utilicen o vayan a utilizar funciones hash para seudonimizar o anonimizar datos personales. El hash es un proceso que transforma cualquier conjunto arbitrario de datos en una nueva serie de caracteres con una longitud fija, con independencia del tamaño de los datos de entrada. Al resultado también se le denomina a su vez hash y también resumen, ‘digest’ o imagen.

La creciente demanda de datos personales -derivada en parte del auge de tecnologías que se nutren de cantidades masivas de datos, como el big data o el machine learning- ha hecho resurgir el interés por los procesos y técnicas de seudonomización y anonimización. Las funciones hash llevan tiempo utilizándose como medida de protección adicional en el tratamiento de datos personales. Sin embargo, existen dudas de hasta qué punto el hash es una técnica efectiva de seudonimización y si, bajo determinadas circunstancias, como que el mensaje original haya sido eliminado, se puede llegar a considerar que los datos personales están verdaderamente anonimizados.

La decisión de emplear técnicas de hash adquiere gran importancia para determinar, entre otras cosas, el cumplimiento efectivo de los derechos establecidos en el RGPD en determinado tipo de tratamientos, como pueden ser investigación, análisis de datos de tráfico o geolocalización, o blockchain. A la hora de tomar dicha decisión intervienen consideraciones jurídicas, técnicas y de gestión de procesos, por lo que aquellos involucrados en la misma necesitan tener un conocimiento básico de las técnicas de hash y sus posibles riesgos. Por ello, el estudio introduce los fundamentos de las funciones hash, sus propiedades, las posibilidades de reidentificar el mensaje que generó el hash y recoge un conjunto de guías para analizar la adecuación de un tratamiento que utilice dichas funciones.

Este documento se incorpora a la sección Innovación y Tecnología de la web de la Agencia, que recoge guías, notas técnicas, herramientas y otro material para facilitar la adecuación a la normativa de pymes y emprendedores.
Noticia original