Ir al contenido principal

Procedimiento de Anonimización de Datos Personales

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 27001 en su versión 2022: A.8.11

  • Controles específicos de ISO 27701: 7.4.4, 7.4.5

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a verificar que tu procedimiento es adecuado para proteger la privacidad de los individuos que son titulares de aquellos datos personales recabados, utilizados y/o en posesión de tu empresa.

¿Qué tengo que hacer? 🚀

💡 Este procedimiento debe estar alineado a tus operaciones reales, pero sin dejar de considerar la implementación de medidas de seguridad adicionales que te ayuden a tener un procedimiento eficiente y en cumplimiento.

Antes de comenzar, es importante recordar qué la anonimización o enmascaramiento es una técnica de tratamiento de datos que elimina o modifica los datos personales identificables, para obtener datos anónimos que no se pueden asociar con ninguna persona.

Así como lo mencionamos en el artículo dedicado a esta actividad de ISO 27001, algunos de los métodos más comunes de anonimización de datos son los siguientes:

  • Generalización

  • Supresión o enmascaramiento de caracteres

  • Aleatorización

  • Algoritmos hash

  • Cifrado de datos

Ahora bien, para complementar tu procedimiento y alinearlo también con los requisitos de ISO 27701, te recordamos los pasos más importantes que debes considerar para estar en cumplimiento con ambas normativas:

  1. Identifica los datos personales tratados por la empresa y que deseas anonimizar.

    1. Recuerda que el objetivo es identificar aquellos datos que requieren ser anonimizados ya que por su importancia, una persona malintencionada no debería poder identificar al titular por medio de ellos.

    2. Si hubo cambios en tus procesos, o por alguna necesidad de negocio ahora se recolectan más datos personales es importante volver a realizar este análisis y la selección de los datos a anonimizar.

  2. Selecciona e implementa los métodos de anonimización más pertinentes para garantizar que el titular de los datos no pueda ser identificado.

    1. Recuerda que es muy importante que el procedimiento esté alineado a tus operaciones reales, por lo que solo debes dejar en el documento los métodos que sí se usan dentro de la empresa.

  3. Analiza, evalúa y documenta los posibles riesgos residuales que quedan de re-identificación del titular, aún habiendo implementado un método de anonimización.

    1. Recuerda que las evaluaciones de riesgos deben realizarse por lo menos una vez al año siguiendo la metodología definida dentro de la empresa, por lo que para garantizar que tu procedimiento sigue alineado a las necesidades de seguridad, es importante reevaluar los riesgos asociados a datos personales, e incluso identificar nuevos riesgos que hayan podido surgir.

  4. Revisa este procedimiento periódicamente y monitorea la efectividad de los métodos de anonimización utilizados.

    1. Recuerda que es muy importante que, en caso de encontrar alguna oportunidad de mejora o presentar un cambio significativo en tus operaciones, debes ajustar este procedimiento para asegurarte que siga protegiendo la identidad de los titulares de los datos que manejas. Además, al mantenerlo siempre actualizado y generando evidencia de estas revisiones, estarás cumpliendo los requisitos normativos ✅.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Consulta las recomendaciones de ISO 27001 sobre esta actividad.

  • Al implementar ISO 27701, generalmente el procedimiento que ya generaste de esta actividad para cumplimiento de ISO 27001 no necesita cambios, pero sí es muy importante realizar una revisión para garantizar que no existen datos personales, pasos, áreas o cualquier otro elemento que deba ser ajustado o añadido, y que efectivamente sigue alineado a las operaciones reales de la empresa.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
Procedimiento de Anonimización de Datos Personales
Procedimiento de Tratamiento de Datos Personales
Política de Privacidad y Tratamiento de Datos Personales
Procedimiento de Acceso, Corrección y Borrado de Datos Personales
Procedimiento de Tratamiento de Datos Personales
¿Ha quedado contestada tu pregunta?