Anonimización vs seudonimización según el RGPD: diferencias, usos y riesgos

Anonimización y seudonimización son dos conceptos que el RGPD distingue con precisión quirúrgica, pero que la mayoría de empresas siguen tratando como sinónimos. El error no es menor: confundirlos determina si un documento sigue sujeto al RGPD o queda fuera de su ámbito, si puedes cederlo sin consentimiento o si te expones a una sanción de la AEPD. En esta guía desgranamos las diferencias legales, técnicas y prácticas, con ejemplos concretos de cuándo usar cada una.

Qué dice exactamente el RGPD

El Reglamento General de Protección de Datos define ambos conceptos en su artículo 4:

• Seudonimización (art. 4.5): tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
• Anonimización (considerando 26): se excluye del ámbito del RGPD la información que no guarda relación con una persona física identificada o identificable, ni los datos convertidos en anónimos de forma que el interesado no sea identificable.

Traducido al lenguaje de un responsable de cumplimiento: la seudonimización es reversible; la anonimización no.

La diferencia fundamental en una frase

Si existe en algún sitio —aunque sea bajo siete llaves— una tabla, un fichero, un algoritmo o cualquier mecanismo que permita recuperar la identidad original de la persona, el dato no está anonimizado, está seudonimizado, y sigue estando sujeto al RGPD.

Esto tiene consecuencias directas:

• Los datos seudonimizados requieren base legal para tratarse, cederse o transferirse.
• Los datos anonimizados no requieren base legal porque dejan de ser datos personales.
• Los datos seudonimizados entran en el cómputo de una violación de seguridad si se pierden.
• Los datos anonimizados, al no ser datos personales, no generan obligación de notificación ante la AEPD.

Ejemplos prácticos

Ejemplo 1 — Nómina compartida en una auditoría

Un departamento de RRHH envía al auditor las nóminas de la plantilla.

• Seudonimización: sustituyen el nombre por un código interno (EMP-001, EMP-002…). El fichero de correspondencia queda en poder del responsable de RRHH. Si el auditor quisiera, no podría identificar a cada empleado; pero la empresa sí, y por tanto los datos siguen siendo personales. Base legal: interés legítimo o contrato de encargo de tratamiento con el auditor.
• Anonimización: se eliminan todos los identificadores directos e indirectos (nombre, DNI, categoría profesional muy específica, antigüedad exacta, fecha de nacimiento, código postal) de forma que ni siquiera la empresa pueda reconstruir la identidad a partir del documento compartido. No requiere base legal adicional porque ya no son datos personales.

Ejemplo 2 — Investigación médica

Un hospital quiere ceder historiales a un grupo universitario para estudiar la evolución de una patología.

• Seudonimización: se sustituye el nombre y DNI del paciente por un código aleatorio. El hospital mantiene la tabla de correspondencia para poder contactar al paciente si aparecen hallazgos clínicamente relevantes. Los datos siguen siendo personales. Base legal: consentimiento informado o legitimación por interés público en investigación.
• Anonimización: se eliminan todos los datos que permitan reidentificar, incluyendo fechas exactas (se convierten en rangos como “primer trimestre 2025”), códigos postales (se agregan a provincia), y diagnósticos muy raros que por sí mismos identifican. Deja de ser dato personal. Los investigadores pueden usarlo libremente.

Ejemplo 3 — Publicación de una sentencia

Un juzgado publica una resolución en un buscador jurídico.

• Seudonimización: sustituyen “Juan Pérez García” por “J.P.G.”. Incorrecto: si el caso es notorio o si se conoce el juzgado, la fecha y la materia, las iniciales son suficientes para reidentificar.
• Anonimización: se eliminan también los datos de contexto (localidad concreta, fecha exacta sustituida por mes y año, puesto específico del demandado, empresa concreta). Solo así el documento deja de permitir identificación.

Cuándo usar seudonimización y cuándo anonimización

La elección no es arbitraria. Depende de una pregunta clave: ¿necesitas poder volver a identificar a la persona en el futuro?

• Si la respuesta es sí (puede haber actualizaciones, reclamaciones, derecho de supresión, seguimiento longitudinal en investigación), la técnica correcta es la seudonimización, acompañada de la base legal que corresponda.
• Si la respuesta es no (auditorías, informes estadísticos, publicaciones oficiales, datos de formación para modelos), la técnica correcta es la anonimización, que además te libera del RGPD para ese tratamiento.

La AEPD ha insistido en que elegir seudonimización cuando bastaba con anonimización es una mala práctica: multiplica innecesariamente las obligaciones de la organización y el riesgo de fuga de datos.

El test de reidentificación: cuándo un dato está realmente anonimizado

El considerando 26 del RGPD fija el estándar: un dato está anonimizado cuando no es razonablemente probable que se pueda reidentificar a la persona usando “todos los medios que razonablemente puedan ser utilizados” por el responsable o por cualquier otra persona.

En la práctica, la AEPD aplica tres tests:

1. Singularización: ¿puedo aislar a un individuo en el conjunto de datos? Si hay un único registro con ciertas características, la persona es identificable por esa unicidad.
2. Vinculabilidad: ¿puedo unir dos o más registros referidos a la misma persona o grupo? Si el cruce es posible, los datos no son anónimos.
3. Inferencia: ¿puedo deducir con alta probabilidad el valor de un atributo a partir de otros atributos? Si es posible, hay reidentificación por inferencia.

Si el dato supera los tres tests, puede considerarse anonimizado a efectos del RGPD. Si falla en alguno, sigue siendo dato personal.

Errores frecuentes que la AEPD sanciona

Error 1 — Tachar solo el nombre. En la mayoría de documentos, el resto del contexto (cargo, empresa, fechas, localidad) permite reidentificar con un simple cruce en redes sociales o registros públicos.

Error 2 — Usar hash sin sal. Reemplazar un DNI por su hash SHA-256 sin sal no es anonimización: quien disponga del universo de DNIs españoles puede recalcular los hashes y revertir la transformación en minutos.

Error 3 — Llamar “anonimización” a la seudonimización. En documentación interna, en políticas de privacidad y en respuestas a ejercicios de derechos, llamar anonimización a lo que en realidad es seudonimización es una infracción del principio de transparencia.

Error 4 — No evaluar el riesgo contextualmente. Un conjunto de datos puede ser anónimo en un contexto y no en otro. Publicar un informe agregado de bajas laborales en una empresa de 5.000 empleados es anonimización; hacerlo en una empresa de 12 empleados, no.

Preguntas frecuentes

¿Puedo desanonimizar un dato que ya he anonimizado correctamente?

No, por definición. Si puedes desanonimizarlo, nunca estuvo anonimizado: estaba seudonimizado. Si necesitas trazabilidad, usa seudonimización desde el principio.

¿La seudonimización sirve para reducir la gravedad de una violación de seguridad?

Sí. El RGPD considera la seudonimización una medida técnica que reduce el riesgo. Una fuga de datos seudonimizados donde el fichero de correspondencia esté seguro puede no requerir notificación a los afectados. Una fuga de datos en claro, sí.

¿La anonimización exime de registrar la actividad de tratamiento?

El propio proceso de anonimización es un tratamiento de datos personales y debe constar en el registro de actividades. Lo que queda fuera del RGPD es el tratamiento posterior de los datos ya anonimizados.

¿Necesito el consentimiento de las personas para anonimizar sus datos?

No, porque la anonimización se realiza sobre datos que ya tienes legítimamente. Lo que cambia es que, una vez anonimizados, puedes usarlos para finalidades distintas sin las limitaciones del RGPD.

Conclusión

Confundir anonimización con seudonimización es el error conceptual más extendido y más caro en materia de protección de datos. Antes de decidir cómo tratar un documento, pregúntate si necesitas mantener la posibilidad de reidentificación. Si no, la anonimización es siempre preferible: te ahorra obligaciones, reduce riesgos y encaja con el principio de minimización del RGPD.

Si necesitas herramientas que apliquen anonimización real —irreversible, con log de auditoría y reconocimiento de identificadores españoles— prueba anonimiza.do gratis. Está diseñado específicamente para que las empresas españolas cumplan el RGPD en documentos de cualquier tipo sin perder horas de revisión manual.