Anonimització vs pseudonimització segons el RGPD: diferències, usos i riscos

Anonimització i pseudonimització són dos conceptes que el RGPD distingeix amb precisió quirúrgica, però que la majoria d’empreses continuen tractant com a sinònims. L’error no és menor: confondre’ls determina si un document continua subjecte al RGPD o queda fora del seu àmbit, si el pots cedir sense consentiment o si t’exposes a una sanció de l’AEPD. En aquesta guia desgranem les diferències legals, tècniques i pràctiques, amb exemples concrets de quan utilitzar cadascuna.

Què diu exactament el RGPD

El Reglament General de Protecció de Dades defineix ambdós conceptes en el seu article 4:

• Pseudonimització (art. 4.5): tractament de dades personals de manera tal que ja no puguin atribuir-se a un interessat sense utilitzar informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixin a una persona física identificada o identificable.
• Anonimització (considerant 26): s’exclou de l’àmbit del RGPD la informació que no guarda relació amb una persona física identificada o identificable, ni les dades convertides en anònimes de manera que l’interessat no sigui identificable.

Traduït al llenguatge d’un responsable de compliment: la pseudonimització és reversible; l’anonimització no.

La diferència fonamental en una frase

Si existeix en algun lloc —encara que sigui sota set claus— una taula, un fitxer, un algorisme o qualsevol mecanisme que permeti recuperar la identitat original de la persona, la dada no està anonimitzada, està pseudonimitzada, i continua estant subjecta al RGPD.

Això té conseqüències directes:

• Les dades pseudonimitzades requereixen base legal per tractar-se, cedir-se o transferir-se.
• Les dades anonimitzades no requereixen base legal perquè deixen de ser dades personals.
• Les dades pseudonimitzades entren en el còmput d’una violació de seguretat si es perden.
• Les dades anonimitzades, en no ser dades personals, no generen obligació de notificació davant l’AEPD.

Exemples pràctics

Exemple 1 — Nòmina compartida en una auditoria

Un departament de RH envia a l’auditor les nòmines de la plantilla.

• Pseudonimització: substitueixen el nom per un codi intern (EMP-001, EMP-002…). El fitxer de correspondència queda en poder del responsable de RH. Si l’auditor volgués, no podria identificar cada empleat; però l’empresa sí, i per tant les dades continuen sent personals. Base legal: interès legítim o contracte d’encàrrec de tractament amb l’auditor.
• Anonimització: s’eliminen tots els identificadors directes i indirectes (nom, DNI, categoria professional molt específica, antiguitat exacta, data de naixement, codi postal) de manera que ni tan sols l’empresa pugui reconstruir la identitat a partir del document compartit. No requereix base legal addicional perquè ja no són dades personals.

Exemple 2 — Recerca mèdica

Un hospital vol cedir historials a un grup universitari per estudiar l’evolució d’una patologia.

• Pseudonimització: se substitueix el nom i DNI del pacient per un codi aleatori. L’hospital manté la taula de correspondència per poder contactar el pacient si apareixen troballes clínicament rellevants. Les dades continuen sent personals. Base legal: consentiment informat o legitimació per interès públic en recerca.
• Anonimització: s’eliminen totes les dades que permetin reidentificar, incloses dates exactes (es converteixen en rangs com “primer trimestre 2025”), codis postals (s’agrupen a província), i diagnòstics molt rars que per si mateixos identifiquen. Deixa de ser dada personal. Els investigadors poden utilitzar-la lliurement.

Exemple 3 — Publicació d’una sentència

Un jutjat publica una resolució en un cercador jurídic.

• Pseudonimització: substitueixen “Joan Pérez García” per “J.P.G.”. Incorrecte: si el cas és notori o si es coneix el jutjat, la data i la matèria, les inicials són suficients per reidentificar.
• Anonimització: s’eliminen també les dades de context (localitat concreta, data exacta substituïda per mes i any, lloc específic del demandat, empresa concreta). Només així el document deixa de permetre identificació.

Quan utilitzar pseudonimització i quan anonimització

L’elecció no és arbitrària. Depèn d’una pregunta clau: necessites poder tornar a identificar la persona en el futur?

• Si la resposta és sí (pot haver-hi actualitzacions, reclamacions, dret de supressió, seguiment longitudinal en recerca), la tècnica correcta és la pseudonimització, acompanyada de la base legal que correspongui.
• Si la resposta és no (auditories, informes estadístics, publicacions oficials, dades de formació per a models), la tècnica correcta és l’anonimització, que a més t’allibera del RGPD per a aquest tractament.

L’AEPD ha insistit que triar pseudonimització quan n’hi havia prou amb anonimització és una mala pràctica: multiplica innecessàriament les obligacions de l’organització i el risc de fuga de dades.

El test de reidentificació: quan una dada està realment anonimitzada

El considerant 26 del RGPD fixa l’estàndard: una dada està anonimitzada quan no és raonablement probable que es pugui reidentificar la persona utilitzant “tots els mitjans que raonablement puguin ser utilitzats” pel responsable o per qualsevol altra persona.

A la pràctica, l’AEPD aplica tres tests:

1. Singularització: puc aïllar un individu en el conjunt de dades? Si hi ha un únic registre amb certes característiques, la persona és identificable per aquesta unicitat.
2. Vinculabilitat: puc unir dos o més registres referits a la mateixa persona o grup? Si l’encreuament és possible, les dades no són anònimes.
3. Inferència: puc deduir amb alta probabilitat el valor d’un atribut a partir d’altres atributs? Si és possible, hi ha reidentificació per inferència.

Si la dada supera els tres tests, pot considerar-se anonimitzada als efectes del RGPD. Si falla en algun, continua sent dada personal.

Errors freqüents que l’AEPD sanciona

Error 1 — Ratllar només el nom. En la majoria de documents, la resta del context (càrrec, empresa, dates, localitat) permet reidentificar amb un simple encreuament en xarxes socials o registres públics.

Error 2 — Utilitzar hash sense sal. Reemplaçar un DNI pel seu hash SHA-256 sense sal no és anonimització: qui disposi de l’univers de DNIs espanyols pot recalcular els hashes i revertir la transformació en minuts.

Error 3 — Anomenar “anonimització” a la pseudonimització. En documentació interna, en polítiques de privacitat i en respostes a exercicis de drets, anomenar anonimització al que en realitat és pseudonimització és una infracció del principi de transparència.

Error 4 — No avaluar el risc contextualment. Un conjunt de dades pot ser anònim en un context i no en un altre. Publicar un informe agregat de baixes laborals en una empresa de 5.000 empleats és anonimització; fer-ho en una empresa de 12 empleats, no.

Preguntes freqüents

Puc desanonimitzar una dada que ja he anonimitzat correctament?

No, per definició. Si la pots desanonimitzar, mai no va estar anonimitzada: estava pseudonimitzada. Si necessites traçabilitat, utilitza pseudonimització des del principi.

La pseudonimització serveix per reduir la gravetat d’una violació de seguretat?

Sí. El RGPD considera la pseudonimització una mesura tècnica que redueix el risc. Una fuga de dades pseudonimitzades on el fitxer de correspondència estigui segur pot no requerir notificació als afectats. Una fuga de dades en clar, sí.

L’anonimització eximeix de registrar l’activitat de tractament?

El mateix procés d’anonimització és un tractament de dades personals i ha de constar en el registre d’activitats. El que queda fora del RGPD és el tractament posterior de les dades ja anonimitzades.

Necessito el consentiment de les persones per anonimitzar les seves dades?

No, perquè l’anonimització es realitza sobre dades que ja tens legítimament. El que canvia és que, un cop anonimitzades, les pots utilitzar per a finalitats diferents sense les limitacions del RGPD.

Conclusió

Confondre anonimització amb pseudonimització és l’error conceptual més estès i més car en matèria de protecció de dades. Abans de decidir com tractar un document, pregunta’t si necessites mantenir la possibilitat de reidentificació. Si no, l’anonimització és sempre preferible: t’estalvia obligacions, redueix riscos i encaixa amb el principi de minimització del RGPD.

Si necessites eines que apliquin anonimització real —irreversible, amb log d’auditoria i reconeixement d’identificadors espanyols— prova anonimiza.do gratis. Està dissenyat específicament perquè les empreses espanyoles compleixin el RGPD en documents de qualsevol tipus sense perdre hores de revisió manual.