Viene de Human Resources Analytics
Como hemos señalado el potencial de HR Analytics en el análisis comportamental d elos trabajadores puede ser intenso y determinante. Partamos del hecho de que quepa la posibilidad de plantear análisis en los que el desempeño de un sujeto identificado no sea relevante. No vendrían afectados por lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Si bien, esta cuestión puede plantear alguna dificultad a la vista de un concepto ciertamente escurridizo: “la identificabilidad”. En la Directiva 95/46/CE, el considerando 26 hace mención a la anonimización y excluye los datos anonimizados del alcance de la legislación sobre protección de datos. Pero para ello «hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona».
Dicho de otro modo, la anonimización debe ser irreversible y lo que cuenta no es la capacidad del responsable sino la de cualquier tercero. Para anonimizar el responsable del tratamiento procedería a desligar completamente los datos de sus titulares de modo que resultasen imposibles de vincular. Sin embargo, el Dictamen 5/2014 sobre técnicas de anonimización del Grupo de Trabajo del artículo 29 de la Directiva (GT29) muestra que ésta no es una operación ni tan sencilla, ni precisamente banal. En primer lugar, la anonimización constituye un tratamiento en sí misma y como tal debería ser compatible con el tratamiento original y contar con un fundamento, una base legal o contractual que la legitime. Ciertamente el artículo 4 LOPD cuando ordena la cancelación de oficio parece sugerir la anonimización como forma de conservación. Sin embargo, esta cuestión deberá ser profundamente revisada.
En esencia la anonimización desde un punto de vista material exige:
-
Que no pueda ser establecido vínculo alguno entre el dato y su titular sin un esfuerzo desproporcionado.
-
Que sea irreversible.
-
Que en la práctica sea equivalente al de un borrado permanente.
El problema reside en que no existe un estándar comúnmente aceptado y seguro. Desde un punto de vista jurídico para el GT29-Working Party estamos ante un tratamiento ulterior para el que sería necesario:
-
Disponer de un fundamento que lo legitime, como por ejemplo el interés legítimo.
-
Verificar la relación de compatibilidad entre la finalidad para la recogida inicial y un tratamiento posterior como la anonimización.
-
Las expectativas del titular sobre usos posteriores.
-
El impacto en el titular de los datos.
-
Las cautelas adoptadas por el responsable para salvaguardar los derechos de los afectados.
-
El deber de cumplir con el principio de transparencia.
Así pues, desde el punto de vista de la protección de datos personales en la anonimización no todo el monte es orégano y existen riesgos:
-
La persistencia de datos que permitan reidentificar.
-
La posibilidad de reidentificar mediante inferencias, o por vinculación o relación (link) con otros paquetes de datos personales.
-
Confundir pseudonimización y anonimización.
-
Creer que la anonimización excluye el cumplimiento normativo sectorial.
Y aquí la posición de la Autoridad de Protección de datos puede ser determinante. En tal sentido la Agencia Española de Protección de Datos aborda esta cuestión en el caso ANC-Omnium. Aquí, con cita de la Sentencia de la Audiencia Nacional de 8 de marzo de 2002, afirma que «para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados…». Asimismo se cita el Dictamen 4/2007, sobre el concepto de dato personal, adoptado el 20 de junio, el Grupo de Trabajo del Artículo 29 cuando se refiere a esta cuestión en los siguientes términos:
«Por su parte, cuando hablamos de «indirectamente» identificadas o identificables, nos estamos refiriendo en general al fenómeno de las «combinaciones únicas», sean éstas pequeñas o grandes. En los casos en que, a primera vista, los identificadores disponibles no permiten singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa información combinada con otros datos (tanto si el responsable de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa persona de otras. Aquí es donde la Directiva se refiere a «uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social». Algunas de esas características son tan únicas que permiten identificar a una persona sin esfuerzo (el «actual Presidente del Gobierno de España»), pero una combinación de detalles pertenecientes a distintas categorías (edad, origen regional, etc.) también puede ser lo bastante concluyente en algunas circunstancias, en especial si se tiene acceso a información adicional de determinado tipo. Este fenómeno ha sido estudiado ampliamente por los estadísticos, siempre dispuestos a evitar cualquier quebrantamiento de la confidencialidad».
Al referirse a los “medios de identificación”, en el mismo Dictamen señala:
«El criterio del «conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona» debe tener especialmente en cuenta todos los factores en juego. Lo costoso de la identificación es un factor, pero no el único. La finalidad del tratamiento, la manera en que el tratamiento está estructurado, el rédito que espera obtener el responsable del tratamiento, los intereses individuales en juego, así como el riesgo de que se produzcan disfunciones organizativas (por ejemplo, un quebrantamiento del deber de confidencialidad) y los fracasos técnicos son todos ellos elementos que deben tenerse en cuenta. Por otra parte, se trata de una prueba dinámica, por lo que debe tenerse en cuenta el grado de avance tecnológico en el momento del tratamiento y su posible desarrollo en el período durante el cual se tratarán los datos…».
La Agencia en el caso de referencia consideró que se trataban datos de ideología al anotar los domicilios de personas ausentes, o que rechazaban participar en una encuesta sobre el proceso independentista. En concreto:
«A partir del domicilio, considerando los recursos que ofrece la técnica y los datos que puede recabarse de fuentes accesibles al público, directorios y registros públicos es posible asociar la información recabada por ANC y ÒMNIUM CULTURAL a un ciudadano concreto en multitud de casos.
En este sentido, debe rechazarse lo alegado por ANC y OMNIUM CULTURAL, que consideran que no sería de aplicación la normativa de protección de datos por el mero hecho de que para lograr la plena identificación del interesado sería preciso acudir a fuentes complementarias de la información. Como ya se ha indicado, teniendo en cuenta lo indicado a tal efecto por el Grupo del artículo 29, el hecho de que sea preciso acudir a tales fuentes, máxime cuando ello no comporta un esfuerzo desproporcionado, como sucede en el presente caso, no evita que nos encontremos ante datos de carácter personal, dado que, precisamente, la información recabada permitiría la asociación de los datos recogidos con el interesado, haciéndole identificable, por lo que la información se encontraría recogida en el concepto establecido en el artículo 3 a) de la LOPD».
Por tanto la apuesta y el rigor es el máximo. Y ello trasladado al mundo del HR Analytics obliga a excluir casi de raíz la posibilidad de argüir la anonimización como criterio de exclusión de la LOPD. Y ello por dos razones sustanciales. La primera es que si la Agencia no actuase aquí de acuerdo con la doctrina de los actos propios se pondría a sí misma en una complicada situación, ya que de mantener otro criterio diferente que el más estricto se cuestionaría su coherencia y la juridicidad de sus decisiones habida cuenta de la sensibilidad del caso en el que se pronunció.
La segunda razón es de orden material. Como se ha señalado en Human Resources Analytics donde esta técnica despliega todo su potencial es en el análisis fino de la realidad. Por otra parte, como se ha señalado hasta el hartazgo hay también un Big Data de lo pequeño. Así pues, en la práctica existirán ámbitos estratégicos en los que la anonimización carece de sentido y en todo caso cuando se obtenga una información, un patrón, que determine la adopción de decisiones concretas, estas se desplegarán sobre trabajadores con nombres y apellidos.
Continua en Human Resources Analytics y privacidad