Protección de Datos

Anonimización y seudonimización de datos: guía AEPD

Anonimización y seudonimización de datos según la AEPD: diferencia jurídica clave, técnicas, riesgo de reidentificación y cuándo el dato deja de ser personal.

También disponible en:Français·Italiano

En una frase. La diferencia jurídica es tajante: un dato seudonimizado sigue siendo dato personal y sujeto al RGPD, mientras que un dato anónimo queda fuera del reglamento porque ya no permite identificar a nadie. Confundir ambos conceptos es el error técnico que más problemas de cumplimiento genera.

La anonimización y seudonimización de datos se tratan a menudo como sinónimos, y no lo son. Esta distinción decide si te aplica el RGPD o no. La AEPD y el Comité Europeo de Protección de Datos (CEPD) han publicado orientaciones específicas porque la mayoría de “anonimizaciones” que se ven en la práctica son, en realidad, seudonimizaciones reversibles.

Puntos clave

  • El dato seudonimizado es dato personal (Considerando 26 RGPD): sigue bajo el reglamento porque es reversible con información adicional.
  • El dato verdaderamente anónimo no es dato personal y queda fuera del ámbito del RGPD.
  • La seudonimización es una medida de seguridad recomendada (art. 32) y un factor a favor en el interés legítimo y la compatibilidad de fines.
  • La anonimización real es difícil: hay que resistir tres riesgos de reidentificación —singularización, vinculabilidad e inferencia.
  • La AEPD publica guías propias (“La K-anonimidad como medida de privacidad”) y el CEPD adoptó Directrices sobre seudonimización.

Anonimización frente a seudonimización: la diferencia que lo cambia todo

El Considerando 26 RGPD es la clave. Los datos seudonimizados que puedan atribuirse a una persona mediante información adicional deben considerarse datos personales. En cambio, los principios de protección de datos no se aplican a la información anónima, es decir, la que no guarda relación con una persona identificada o identificable.

Aspecto Seudonimización Anonimización
¿Sigue siendo dato personal? No
¿Aplica el RGPD? No
Reversibilidad Reversible con clave/información adicional Irreversible
Ejemplo Sustituir el nombre por un código (con tabla aparte) Datos agregados sin posibilidad de reidentificar
Función Medida de seguridad (art. 32) Salida del ámbito RGPD

La prueba práctica: si en algún lugar existe una clave, tabla o método que permita volver a los datos originales, es seudonimización, no anonimización, por muy sofisticada que sea la técnica.

La seudonimización como medida de seguridad

El RGPD menciona la seudonimización de forma expresa como medida técnica en el art. 25 (protección de datos desde el diseño) y en el art. 32 (seguridad del tratamiento). No exime del cumplimiento, pero reduce el riesgo y juega a favor del responsable en varios juicios de proporcionalidad:

  • En el test de compatibilidad del art. 6(4) para usos ulteriores.
  • En la ponderación del interés legítimo (véase la guía del triple test de interés legítimo).
  • Como medida mitigadora en una evaluación de impacto.
  • Como factor que puede atenuar las consecuencias de una brecha de seguridad: si los datos filtrados están seudonimizados y la clave está a salvo, el riesgo para los afectados baja.

El CEPD adoptó en 2025 unas Directrices sobre seudonimización que precisan estos usos y exigen separar de forma efectiva la información adicional de reidentificación.

Técnicas y el problema de la reidentificación

Anonimizar de verdad es más difícil de lo que parece. El antiguo Grupo de Trabajo del Artículo 29 y la AEPD identifican tres riesgos que una anonimización robusta debe neutralizar:

  1. Singularización (singling out): poder aislar los registros de un individuo.
  2. Vinculabilidad (linkability): poder cruzar dos registros del mismo sujeto en bases distintas.
  3. Inferencia: poder deducir con alta probabilidad un atributo a partir de otros.

Las técnicas más usadas:

  • K-anonimato: cada registro es indistinguible de al menos k-1 registros. La AEPD le dedica una guía específica (“La K-anonimidad como medida de privacidad”).
  • Generalización y supresión: reducir la granularidad (fecha exacta → año; código postal → provincia).
  • Adición de ruido y privacidad diferencial: perturbar los datos de forma controlada.
  • Agregación: publicar solo totales o estadísticas.

El error clásico es creer que borrar el nombre anonimiza. No es así: un conjunto con fecha de nacimiento, código postal y sexo permite reidentificar a un porcentaje altísimo de la población. Sin tratar los tres riesgos, sigue siendo dato personal.

El proceso de anonimización, paso a paso

Anonimizar no es aplicar una técnica aislada, sino un proceso documentado. La AEPD lo estructura en varias fases que conviene seguir para poder acreditar el resultado:

  1. Definir el objetivo y la utilidad esperada del conjunto anonimizado. No es lo mismo publicar estadísticas agregadas que ceder microdatos para investigación.
  2. Analizar los riesgos de reidentificación concretos: qué otras fuentes existen, qué combinaciones de atributos son singularizantes, quién tendría interés en reidentificar.
  3. Seleccionar las técnicas adecuadas (generalización, supresión, k-anonimato, ruido) en función del riesgo y de la utilidad requerida.
  4. Ejecutar la anonimización y verificar el resultado con pruebas de reidentificación por parte de un tercero independiente al que hizo la transformación.
  5. Documentar todo el proceso y establecer una reevaluación periódica: lo que hoy es anónimo puede dejar de serlo si aparecen nuevas fuentes de datos.

Este último punto es crítico. La anonimización no es un estado permanente garantizado: el avance de las técnicas de reidentificación y la disponibilidad de datasets externos pueden degradar una anonimización que era robusta. Por eso la AEPD insiste en documentar el proceso y revisarlo, igual que se revisa cualquier medida de seguridad en la auditoría RGPD.

Impacto práctico en el cumplimiento

Decidir bien entre ambas técnicas afecta directamente a tus obligaciones:

  • Si anonimizas de verdad, ese conjunto sale del RGPD: puedes conservarlo sin plazo y usarlo para analítica o formación de modelos. Es la vía correcta al final del periodo de conservación de datos cuando no quieres destruir el histórico.
  • Si solo seudonimizas, sigues obligado a todo: base legal, registro de actividades, derechos, plazos y seguridad.
  • En transferencias internacionales, la seudonimización puede ser una garantía adicional tras Schrems II, como se explica en la guía de transferencias internacionales de datos, pero no sustituye a las cláusulas contractuales tipo.

Documentar qué conjuntos están seudonimizados, dónde reside la clave y qué conjuntos se han anonimizado de forma irreversible es una tarea que suele quedar sin trazar. Plataformas como Legiscope permiten registrar el estado de cada conjunto de datos y su base de tratamiento.

Véase también: minimización de datos, privacidad desde el diseño y limitación de la finalidad.

FAQ

¿Los datos seudonimizados están sujetos al RGPD?

Sí. El Considerando 26 RGPD es explícito: mientras exista información adicional que permita reatribuir los datos a una persona, siguen siendo datos personales y se les aplica todo el reglamento. La seudonimización reduce el riesgo, pero no libera de obligaciones.

¿Cuándo un dato deja de estar sujeto al RGPD?

Solo cuando la anonimización es irreversible y resiste los riesgos de singularización, vinculabilidad e inferencia. Si nadie —ni siquiera tú con medios razonables— puede reidentificar, el dato es anónimo y el RGPD no se aplica.

¿Sirve borrar el nombre para anonimizar?

No. Eliminar identificadores directos es solo el primer paso. Combinaciones de datos aparentemente inocuos (edad, sexo, código postal, fecha de un evento) permiten reidentificar. La anonimización real exige generalización, supresión o técnicas como el k-anonimato.

¿La seudonimización ayuda ante una brecha de seguridad?

Sí. Si los datos comprometidos están seudonimizados y la información adicional de reidentificación permanece a salvo, el riesgo para los afectados disminuye, lo que puede afectar a la evaluación del riesgo y a la obligación de comunicar la brecha a los interesados (art. 34).


Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), Considerando 26 y art. 4(5), Agencia Española de Protección de Datos y Comité Europeo de Protección de Datos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →