La Agencia Española de Protección de Datos (AEPD) en colaboración con el European Data Protection Supervisor una guía de uso de la una de las técnicas de anonimización más utilizadas: el hash. La guía presenta una descripción de esta técnica y una evaluación tanto de sus posibles usos como de los posibles riesgos que implica.

El hash es una técnica de anonimización de datos con mucha penetración en sectores en los que los datos son un bien estratégico tales como el Big Data, el Machine Learning, el Blockchain o la geolocalización. Sin embargo, a pesar de que su uso está muy extendido, todavía despierta muchas dudas sobre su seguridad y fiabilidad.

Estas dudas se basan principalmente en dos aspectos, uno, en si cumple con los requisitos para ser considerada como una técnica que cumple con el Reglamento General de Protección de Datos, y dos, si es posible o no revertir el proceso de seudonimización cuando se emplea el hash como técnica.

Esta guía tiene como objetivo arrojar luz sobre estas dudas que genera el hash y está dirigida a responsables de tratamiento que utilicen o que planeen utilizar esta técnica para anonimizar sus datos.

La guía contiene una explicación detallada de los aspectos técnicos del hash con una serie de ejemplos que ilustran sus aplicaciones prácticas. En esta explicación, se advierte de las limitaciones de esta técnica, sobre todo cuando se trata de datos de escasa longitud y con patrones de formato conocidos como los números de teléfono o las tarjetas de crédito.

Para contrarrestar estas limitaciones, la guía cita varias técnicas que complementan y fortalecen el hash dificultando la reidintificación del hash. Entre estas técnicas se encuentra la de aplicar un algoritmo de cifrado con una clave que almacenará de manera segura el responsable del hash y que se aplicará sobre el mensaje antes de realizar el hash o una vez hecho. Otra técnica es la de la llamada “sal”, que consiste en añadir un valor aleatorio a los datos antes de aplicar el hash y que hará que sea mucho más difícil la reidentificación ya que esta “sal” permanecerá secreta en manos del responsable de tratamiento.

En sus conclusiones, la guía advierte de que es necesario llevar a cabo un análisis de riesgos antes de emplear la técnica del hash ya que, como se explica en la guía, no es una técnica exenta de posibles vulnerabilidades como la reidintificación. Para minimizar estos riesgos, la guía aconseja adoptar medidas de seguridad extras como las que detalla en el propio texto.