La seudonimización se encuentra definida en el Art. 4.5) del Reglamento, como la información que, sin incluir los datos denominativos de un sujeto afectado –es decir aquéllos que lo pueden identificar de manera directa-, sí que potencialmente permiten, a través de la asociación con información adicional, determinar quién es el individuo que está detrás de los datos seudonimizados.
Por ello, se establece que la información adicional que permite dicha asociación debe encontrarse protegida por medidas técnicas y organizativas que impidan la determinación del sujeto afectado. Sin embargo, la información seudonimizada, siendo una información personal, goza de determinadas facilidades en su tratamiento.
Desde nuestro punto de vista, supone una nueva herramienta que permite cumplir con mayor facilidad con ciertas exigencias del Reglamento y con uno de los mayores retos incluidos en el mismo, el del control del riesgo. Es decir, mediante técnicas de seudonimización podremos probar que hemos adoptado medidas tendentes al control de dicho factor.
Adicionalmente, despliega otra serie de efectos beneficiosos.
Por ejemplo, en caso de que nuestro tratamiento de los datos no esté basado en el consentimiento del individuo, la seudonimización puede ayudar a que dicho tratamiento sea lícito con base legal en un fin de interés legítimo, ya que es uno de los factores citados que ayuda a determinar la compatibilidad del tratamiento.
Sirve de criterio delimitador en otras figuras como en Privacy by Design, al establecer qué tratamientos deben contener un análisis de impacto de privacidad previo. La correcta aplicación de esta figura podrá probarse a través de los mecanismos voluntarios de certificación.
Por el contrario, ayudando a limitar el riesgo y considerándose una medida de seguridad, puede tener consecuencias gravosas para las compañías en los casos en que haya una reversión no autorizada de la seudonimización. Es una herramienta que, aportando ventajas evidentes, debe ser cuidadosamente valorada para determinar su aplicabilidad.