Una qüestió recurrent, en les consultes en matèria de protecció de dades de caràcter personal, és quan un fitxer es troba dins l’àmbit d’aplicació de la norma?
En l’àmbit de la protecció de dades personals solen distingir-se tres categories de dades, en atenció a la possibilitat d’identificació de la persona de la qual provenen les dades
Seguint els criteris recollits en la Directiva 95/46:
1. Les dades relatives a persones identificades, que són aquelles dades que apareixen vinculats amb la persona respecte de la qual aporten informació.
2. Les dades relatives a persones identificables: es tracta de dades que no s’associen directament a una persona determinada, ja que aquesta no apareix identificada o no hi ha una vinculació entre dades i persona, però és fàcil vincular aquestes dades a la persona a que es refereixen per diferents procediments, en general tècnics, i, en principi, fàcilment realitzables.
3. Les dades anònims o anonimitzades irreversiblement: són aquelles dades respecte dels quals no és coneguda la identitat de la persona a la qual es refereixen ni és possible la seva identificació, bé perquè aquestes dades van ser recollides d’aquesta manera, bé perquè encara que fossin recollits juntament amb la identificació de la persona, han estat transformats posteriorment en anònimes. Aquesta segona modalitat, de les dades anònimes, consisteix a sotmetre a un procés de dissociació les dades identificatives d’una persona respecte als altres dades que es refereixen a ella, de tal manera que no permetin la identificació d’aquesta persona. Per tant, cal que tal procés de dissociació sigui irreversible, és a dir, que no es pugui tornar a la situació anterior a la dissociació, és a dir, s’han anonimitzat.
En resum, les dades anònims es recullen així en origen. Els anonimitzades són dades de caràcter personal, però han estat sotmesos a un tractament de dades (procediment de dissociació) de tal manera que la identitat del subjecte queda definitivament deslligada de les dades de caràcter personal, o la seva associació amb la persona no està a l’abast l’usuari o li requereix un esforç no raonable.
La Clàusula 26 de la Directiva de Protecció de Dades, l’anonimització de dades personals posa a aquests fora de l’abast de la Directiva. Perquè les dades personals estiguin anonimitzades ha de ser impossible la identificació del subjecte de les dades directament (és a dir, les mateixes dades) o indirectament (és a dir, les mateixes dades en conjunt amb altres dades o mitjans l’ús dels quals sigui “raonablement probable “, com un número d’identificació) o per un o més factors específics de la identitat física, psicològica, mental, econòmica, cultural o social del subjecte. Les dades codificades o encriptades no són anònims per als fins de la llei europea de protecció de dades si algú pot descodificar o desencriptar-los sense fer un esforç considerable.
Idèntic criteri ha mantingut l’Agència Espanyola de Protecció de Dades, les inicials del nom i cognoms, un codi o número d’anonimització, el número d’identificació fiscal, el número d’afiliació al Sistema Públic de Salut, el número d’història clínica, no constitueixen un sistema adequat per dissociar les dades personals. La pròpia definició de la Llei d’Investigació Biomèdica sobre dada reversiblement dissociat l’anomena codificat.
Conclusions
a) El concepte de anonimització és relatiu, atès que la irreversibilitat de l’anonimització no és possible sempre.
b) Les dades personals sobre les que hi ha la intenció de sotmetre’ls a un procediment d’anonimització continuen gaudint de la naturalesa jurídica de dades personals, sotmesos als principis de protecció de dades recollides en la seva normativa.
c) Qualsevol dada que ha quedat fora de la protecció de la normativa de protecció de dades en ser anonimitzada, des del moment en què torna a entrar en la definició de dades personals recupera la protecció jurídica.
d) Les dades personals i les mostres i les dades pseudonimitzades estan sotmesos al règim de protecció de dades personals. En la mesura que la pseudonimització comporta una ocultació temporal i reversible de les dades entren dins de la categoria de les dades de persones identificables.