En una frase. La diferencia jurídica es tajante: un dato seudonimizado sigue siendo dato personal y sujeto al RGPD, mientras que un dato anónimo queda fuera del reglamento porque ya no permite identificar a nadie. Confundir ambos conceptos es el error técnico que más problemas de cumplimiento genera.
La anonimización y seudonimización de datos se tratan a menudo como sinónimos, y no lo son. Esta distinción decide si te aplica el RGPD o no. La AEPD y el Comité Europeo de Protección de Datos (CEPD) han publicado orientaciones específicas porque la mayoría de “anonimizaciones” que se ven en la práctica son, en realidad, seudonimizaciones reversibles.
Puntos clave
- El dato seudonimizado es dato personal (Considerando 26 RGPD): sigue bajo el reglamento porque es reversible con información adicional.
- El dato verdaderamente anónimo no es dato personal y queda fuera del ámbito del RGPD.
- La seudonimización es una medida de seguridad recomendada (art. 32) y un factor a favor en el interés legítimo y la compatibilidad de fines.
- La anonimización real es difícil: hay que resistir tres riesgos de reidentificación —singularización, vinculabilidad e inferencia.
- La AEPD publica guías propias (“La K-anonimidad como medida de privacidad”) y el CEPD adoptó Directrices sobre seudonimización.
Anonimización frente a seudonimización: la diferencia que lo cambia todo
El Considerando 26 RGPD es la clave. Los datos seudonimizados que puedan atribuirse a una persona mediante información adicional deben considerarse datos personales. En cambio, los principios de protección de datos no se aplican a la información anónima, es decir, la que no guarda relación con una persona identificada o identificable.
| Aspecto | Seudonimización | Anonimización |
|---|---|---|
| ¿Sigue siendo dato personal? | Sí | No |
| ¿Aplica el RGPD? | Sí | No |
| Reversibilidad | Reversible con clave/información adicional | Irreversible |
| Ejemplo | Sustituir el nombre por un código (con tabla aparte) | Datos agregados sin posibilidad de reidentificar |
| Función | Medida de seguridad (art. 32) | Salida del ámbito RGPD |
La prueba práctica: si en algún lugar existe una clave, tabla o método que permita volver a los datos originales, es seudonimización, no anonimización, por muy sofisticada que sea la técnica.
La seudonimización como medida de seguridad
El RGPD menciona la seudonimización de forma expresa como medida técnica en el art. 25 (protección de datos desde el diseño) y en el art. 32 (seguridad del tratamiento). No exime del cumplimiento, pero reduce el riesgo y juega a favor del responsable en varios juicios de proporcionalidad:
- En el test de compatibilidad del art. 6(4) para usos ulteriores.
- En la ponderación del interés legítimo (véase la guía del triple test de interés legítimo).
- Como medida mitigadora en una evaluación de impacto.
- Como factor que puede atenuar las consecuencias de una brecha de seguridad: si los datos filtrados están seudonimizados y la clave está a salvo, el riesgo para los afectados baja.
El CEPD adoptó en 2025 unas Directrices sobre seudonimización que precisan estos usos y exigen separar de forma efectiva la información adicional de reidentificación.
Técnicas y el problema de la reidentificación
Anonimizar de verdad es más difícil de lo que parece. El antiguo Grupo de Trabajo del Artículo 29 y la AEPD identifican tres riesgos que una anonimización robusta debe neutralizar:
- Singularización (singling out): poder aislar los registros de un individuo.
- Vinculabilidad (linkability): poder cruzar dos registros del mismo sujeto en bases distintas.
- Inferencia: poder deducir con alta probabilidad un atributo a partir de otros.
Las técnicas más usadas:
- K-anonimato: cada registro es indistinguible de al menos k-1 registros. La AEPD le dedica una guía específica (“La K-anonimidad como medida de privacidad”).
- Generalización y supresión: reducir la granularidad (fecha exacta → año; código postal → provincia).
- Adición de ruido y privacidad diferencial: perturbar los datos de forma controlada.
- Agregación: publicar solo totales o estadísticas.
El error clásico es creer que borrar el nombre anonimiza. No es así: un conjunto con fecha de nacimiento, código postal y sexo permite reidentificar a un porcentaje altísimo de la población. Sin tratar los tres riesgos, sigue siendo dato personal.
El proceso de anonimización, paso a paso
Anonimizar no es aplicar una técnica aislada, sino un proceso documentado. La AEPD lo estructura en varias fases que conviene seguir para poder acreditar el resultado:
- Definir el objetivo y la utilidad esperada del conjunto anonimizado. No es lo mismo publicar estadísticas agregadas que ceder microdatos para investigación.
- Analizar los riesgos de reidentificación concretos: qué otras fuentes existen, qué combinaciones de atributos son singularizantes, quién tendría interés en reidentificar.
- Seleccionar las técnicas adecuadas (generalización, supresión, k-anonimato, ruido) en función del riesgo y de la utilidad requerida.
- Ejecutar la anonimización y verificar el resultado con pruebas de reidentificación por parte de un tercero independiente al que hizo la transformación.
- Documentar todo el proceso y establecer una reevaluación periódica: lo que hoy es anónimo puede dejar de serlo si aparecen nuevas fuentes de datos.
Este último punto es crítico. La anonimización no es un estado permanente garantizado: el avance de las técnicas de reidentificación y la disponibilidad de datasets externos pueden degradar una anonimización que era robusta. Por eso la AEPD insiste en documentar el proceso y revisarlo, igual que se revisa cualquier medida de seguridad en la auditoría RGPD.
Impacto práctico en el cumplimiento
Decidir bien entre ambas técnicas afecta directamente a tus obligaciones:
- Si anonimizas de verdad, ese conjunto sale del RGPD: puedes conservarlo sin plazo y usarlo para analítica o formación de modelos. Es la vía correcta al final del periodo de conservación de datos cuando no quieres destruir el histórico.
- Si solo seudonimizas, sigues obligado a todo: base legal, registro de actividades, derechos, plazos y seguridad.
- En transferencias internacionales, la seudonimización puede ser una garantía adicional tras Schrems II, como se explica en la guía de transferencias internacionales de datos, pero no sustituye a las cláusulas contractuales tipo.
Documentar qué conjuntos están seudonimizados, dónde reside la clave y qué conjuntos se han anonimizado de forma irreversible es una tarea que suele quedar sin trazar. Plataformas como Legiscope permiten registrar el estado de cada conjunto de datos y su base de tratamiento.
Véase también: minimización de datos, privacidad desde el diseño y limitación de la finalidad.
FAQ
¿Los datos seudonimizados están sujetos al RGPD?
Sí. El Considerando 26 RGPD es explícito: mientras exista información adicional que permita reatribuir los datos a una persona, siguen siendo datos personales y se les aplica todo el reglamento. La seudonimización reduce el riesgo, pero no libera de obligaciones.
¿Cuándo un dato deja de estar sujeto al RGPD?
Solo cuando la anonimización es irreversible y resiste los riesgos de singularización, vinculabilidad e inferencia. Si nadie —ni siquiera tú con medios razonables— puede reidentificar, el dato es anónimo y el RGPD no se aplica.
¿Sirve borrar el nombre para anonimizar?
No. Eliminar identificadores directos es solo el primer paso. Combinaciones de datos aparentemente inocuos (edad, sexo, código postal, fecha de un evento) permiten reidentificar. La anonimización real exige generalización, supresión o técnicas como el k-anonimato.
¿La seudonimización ayuda ante una brecha de seguridad?
Sí. Si los datos comprometidos están seudonimizados y la información adicional de reidentificación permanece a salvo, el riesgo para los afectados disminuye, lo que puede afectar a la evaluación del riesgo y a la obligación de comunicar la brecha a los interesados (art. 34).
Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), Considerando 26 y art. 4(5), Agencia Española de Protección de Datos y Comité Europeo de Protección de Datos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial