En la UE, la anonimización exige impedir toda posibilidad de reidentificación.
Paula Castaño Goubert 
La “anonimización” de datos personales es cada vez más común en las empresas para proteger la información y, en algunos casos, darle usos secundarios no previstos al solicitar la autorización para su tratamiento. Aunque puede ser beneficiosa, en Colombia persisten vacíos normativos que impiden garantizar que estos procesos estén claramente delineados y protejan los derechos de los titulares. En ausencia de estos mecanismos, es recomendable adoptar buenas prácticas de otras jurisdicciones, que, aunque no son vinculantes, ayudan a prevenir riesgos y posibles sanciones.
En un Concepto de diciembre de 2022, la Superintendencia de Industria y Comercio (SIC) indicó que no existe una definición ni un procedimiento oficial para la anonimización de datos personales. Basándose en el Dictamen 05/2014 del Grupo de Trabajo sobre Protección de Datos, concluyó que un dato solo deja de ser personal si el proceso de anonimización o desvinculación es irreversible; si existe posibilidad de reidentificación, seguirá siendo dato personal y estará sujeto al régimen colombiano. Esta postura coincide con la adoptada en otras jurisdicciones, pero la ausencia de lineamientos claros y estrictos dificulta su correcta aplicación y genera riesgos para quienes implementan estos procesos y los titulares de la información.
En la Unión Europea, la anonimización exige que la información se transforme de modo que nadie pueda reidentificarla, incluso con datos auxiliares o metadatos. El estándar es alto y claro. Si existe mínima posibilidad de reidentificación, aplica el Reglamento General de Protección de Datos – RGPD. Entonces, se distingue entre anonimización (irreversible) y pseudoanonimización o desidentificación, donde se sustituyen identificadores por códigos, pero aún es posible vincularlos a alguien. Según el Comité Europeo de Protección de Datos (CEPD), la anonimización debe resistir la tecnología actual y avances previsibles, lo que implica técnicas complejas para su ejecución y que no basta con eliminar identificadores. Si se tiene la más mínima duda sobre la posibilidad de reidentificación, se debe asumir que son datos personales.
Dado el alto estándar europeo, el CEPD pretende expedir lineamientos para la pseudoanonimización, definiendo procedimientos técnicos y legales y garantizando su efectividad, como prohibir identificadores directos que permitan atribuir datos a una persona. Aunque la guía sigue en discusión, busca orientar sectores como salud o mercadeo. Por ello, es recomendable seguir de cerca estos lineamientos y otras guías internacionales para incorporar estándares altos en los programas de privacidad y mitigar riesgos asociados a la anonimización y pseudoanonimización.
En Colombia la falta de regulación genera incertidumbre sobre cuándo se impondrán lineamientos estrictos y cómo interpretará la SIC casos como la venta de información anónima susceptible de ser reidentificable. Por ello, es clave anticiparse y aplicar el principio de privacidad desde el diseño, considerando siempre el riesgo de reidentificación, incluso con información auxiliar, y recordando que los datos no serán anónimos incluso si su organización es la única que conserva medios para revertir el proceso. Si se trata de datos sensibles, adoptar medidas más estrictas para evitar daños en caso de reidentificación. Finalmente, monitorear las decisiones o regulaciones que puedan redefinir este tema e imponer obligaciones claras.
