Blog

En este momento estás viendo Diferencias entre Seudonimización, Anonimización, Bloqueo y Eliminación de Datos Personales

Diferencias entre Seudonimización, Anonimización, Bloqueo y Eliminación de Datos Personales

La Superintendencia de Protección de Datos Personales (SPDP) del Ecuador ha emitido el 7 de agosto de 2025 un nuevo Reglamento para la Seudonimización, Anonimización, Bloqueo y Eliminación de Datos Personales que redefine cómo las organizaciones deben manejar la información personal durante todo su ciclo de vida.

Este documento normativo no solo actualiza conceptos técnicos y jurídicos, sino que también impone plazos estrictos, procesos de análisis de riesgos obligatorios y protocolos específicos que toda empresa deberá cumplir para evitar sanciones y proteger efectivamente la privacidad de los titulares de datos.

El ciclo de vida de los datos recibe un marco normativo

La LOPDP y su Reglamento General ya habían introducido obligaciones sobre la seguridad y tratamiento de datos personales. Sin embargo, esta nueva resolución de la SPDP va más allá, estableciendo lineamientos operativos y técnicos para medidas clave que forman parte del ciclo de vida del dato:

  1. Seudonimización.- Ocultar la identidad, pero manteniendo la posibilidad de reidentificar bajo condiciones seguras.
  2. Anonimización.- Transformar la información de manera irreversible para que no se pueda identificar al titular.
  3. Bloqueo.- Inhabilitar el acceso a los datos, manteniéndolos seguros y sin tratamiento activo.
  4. Eliminación.- Destruir definitivamente los datos para que no puedan recuperarse.

La resolución es de aplicación obligatoria para todos los integrantes del sistema de protección de datos personales en Ecuador, lo que incluye empresas privadas, entidades públicas y organizaciones sin fines de lucro.

Diferencias clave entre seudonimización, anonimización, bloqueo y eliminación

Entender las diferencias es fundamental para cumplir la norma y aplicar la medida correcta en cada situación.

MedidaDefinición según SPDPCaracterísticas claveCasos de uso recomendados
SeudonimizaciónSustituir datos personales por seudónimos, manteniendo la posibilidad de reidentificación con información adicional protegida.– Mantiene el estatus de dato personal.- Reidentificación controlada.- Requiere análisis de riesgos previo.Auditorías internas, pruebas de sistemas, investigación científica o estadística, prestación de servicios donde la identidad no sea imprescindible.
AnonimizaciónMedida técnica para impedir la identificación o reidentificación del titular sin esfuerzos desproporcionados.– Elimina el vínculo con el titular.- No se considera dato personal si es efectiva.- Requiere análisis exhaustivo de riesgos.Datos de salud, estudios estadísticos, investigaciones, minimización de datos.
BloqueoInhabilitar el acceso a los datos, conservándolos de forma segura y restringida.– Datos no se usan, pero se guardan.- Basado en evaluación de riesgos.- Requiere legitimación legal para conservar.Respaldo temporal, cumplimiento de plazos de prescripción, obligaciones legales posteriores al tratamiento.
EliminaciónSupresión definitiva e irreversible de los datos.– Puede ser total o parcial.- Obligatoria si no hay base legal para conservarlos.- Aplicable a datos de personas fallecidas.Fin de relación contractual, solicitud del titular, conclusión de tratamiento.

Procedimientos obligatorios y buenas prácticas según la SPDP

La resolución define conceptos y establece requisitos y plazos muy específicos para su aplicación.

A. Requisitos jurídicos

  • Base de legitimación: Antes de aplicar cualquier medida, se debe verificar que existe una base legal según la LOPDP.
  • Consentimiento: En datos anonimizados de forma efectiva, no se requiere consentimiento para su transferencia.
  • Plazos cortos:
    • Suspensión y eliminación: máximo 3 días desde la solicitud del titular.
    • Devolución o eliminación por parte del encargado: máximo 5 días tras terminar la relación contractual.
  • Notificaciones:
    • El responsable debe notificar a encargados y terceros para que también eliminen o bloqueen los datos.
  • Registro de reidentificación:
    • Toda acción de reidentificar datos seudonimizados debe quedar documentada.

B. Medidas técnicas

  • Análisis de gestión de riesgos previo para seudonimización y anonimización, especialmente con datos sensibles y de salud.
  • Tecnologías de mejora de privacidad:
    • Cifrado.
    • Hashing.
    • Tokenización.
    • Data masking.
  • Separación física o lógica de la información que permite reidentificar datos seudonimizados.
  • Eliminación segura:
    • Borrado criptográfico.
    • Destrucción física de medios.
    • Sobrescritura siguiendo estándares NIST 800-88 o DoD 5220.22-M.

C. Medidas organizativas

  • Políticas internas documentadas para cada medida.
  • Procedimientos claros para recibir y gestionar solicitudes de titulares.
  • Registros de actividades:
    • Solicitudes de suspensión.
    • Constancias de eliminación.
    • Logs de reidentificación.
  • Capacitación periódica al personal que maneja datos personales.
  • Definición de roles y responsabilidades:
    • Responsable.
    • Encargado.
    • Delegado de Protección de Datos (DPD).

Recomendaciones para empresas: cómo cumplir y no morir en el intento

La SPDP no solo busca que las empresas conozcan la teoría, sino que operativicen las medidas. Estas son las recomendaciones clave para implementar un sistema efectivo.

1. Mapea y clasifica tus datos

  • Identifica todos los tipos de datos que manejas (personales, sensibles, de salud, crediticios).
  • Clasifícalos según:
    • Finalidad.
    • Nivel de riesgo.
    • Base legal para su tratamiento.

2. Diseña procedimientos internos claros

  • Establece protocolos específicos para:
    • Cuándo y cómo se seudonimiza.
    • Métodos de anonimización y verificación de irreversibilidad.
    • Bloqueo de datos (criterios, plazos, acceso).
    • Eliminación segura (procesos y responsables).
  • Inclúyelos en tu Programa de Privacidad y comunícalos a todas las áreas.

3. Fortalece la seguridad técnica

  • Implementa controles de acceso estrictos.
  • Usa cifrado para datos bloqueados o en tránsito.
  • Documenta y audita cada acción de reidentificación.
  • Automatiza alertas para cumplir plazos de 3 y 5 días.

4. Capacita y sensibiliza al personal

  • Forma a los equipos sobre:
    • Diferencias entre las medidas.
    • Obligaciones legales.
    • Procesos internos.
  • Guarda registro de la asistencia y evaluaciones (sirve como evidencia ante la SPDP).

5. Documenta todo

  • Evidencia de análisis de riesgos previos.
  • Registros de reidentificación.
  • Constancias de eliminación entregadas a titulares.
  • Comunicación a terceros y encargados.

Este nuevo reglamento es una oportunidad para que las empresas eleven su madurez en gestión de datos personales.

Cumplir con la seudonimización, anonimización, bloqueo y eliminación ayuda a evitar sanciones, pero lo más importante es que permite a las empresas ganar confianza, reducir riesgos y demostrar compromiso con la privacidad.

Las organizaciones que actúen ahora, implementando políticas, protocolos y tecnología, estarán alineadas con la ley y podrán usar la protección de datos como un diferenciador competitivo en el mercado.

Alejandro Varas

Publicista que habla de protección de datos, negocios digitales y a veces hace stand-up comedy. Internet es mi cuarta pared.