Seudonimización vs anonimización: diferencias legales según el RGPD
Mayo 2026 · Lectura: ~12 min
Seudonimización y anonimización son dos términos que aparecen juntos en casi cualquier conversación sobre protección de datos, y sin embargo designan realidades técnicas y jurídicas radicalmente distintas. Confundirlos tiene consecuencias directas: tratar datos seudonimizados como si fueran anónimos elimina la obligación de base legal, cancela los derechos de los interesados y convierte lo que parecía un tratamiento legítimo en una infracción del RGPD.
La Agencia Española de Protección de Datos (AEPD) ha sancionado a organizaciones que publicaron documentos creyendo haberlos anonimizado cuando, en realidad, los datos podían recuperarse con medios ordinarios. Entender la diferencia no es un tecnicismo académico: es la base de cualquier decisión de tratamiento, publicación o compartición de datos.
Esta guía explica qué define a cada técnica según el texto del Reglamento, en qué se diferencian práctica y jurídicamente, qué métodos se encuadran en cada categoría y cómo elegir cuál aplicar según el caso de uso. Para el marco general de la anonimización de documentos, consulta qué es la anonimización de documentos.
Qué dice exactamente el RGPD sobre cada una
El Reglamento General de Protección de Datos (UE) 2016/679 define la seudonimización y describe la anonimización en textos distintos con efectos jurídicos opuestos.
Seudonimización — Art. 4.5 RGPD
«El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado específico sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.»
Clave: los datos siguen siendo datos personales. Existe información adicional que permite revertir la seudonimización. El RGPD sigue aplicándose en su totalidad.
Anonimización — Considerando 26 RGPD
«Los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, o a los datos que se han anonimizado de tal forma que el interesado no sea identificable o haya dejado de serlo. El presente Reglamento no se aplica, por tanto, al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.»
Clave: el RGPD no se aplica a los datos verdaderamente anonimizados. No hay base legal necesaria, no hay derechos ARCO que atender, no hay obligación de registro de actividades. El umbral para alcanzar este estatus es alto y debe evaluarse teniendo en cuenta todos los medios razonablemente disponibles para reidentificar.
Comparativa: seudonimización vs anonimización
| Criterio | Seudonimización | Anonimización |
|---|---|---|
| ¿Es dato personal? | Sí — siempre | No — si se hace correctamente |
| ¿RGPD aplicable? | Sí, en su totalidad | No |
| Reversibilidad | Reversible con información adicional | Irreversible por diseño |
| Base legal necesaria | Sí | No |
| Derechos ARCO del interesado | Aplican | No aplican |
| Registro de actividades | Obligatorio | No necesario |
| Riesgo residual de reidentificación | Existe (varía según técnica) | Debe ser negligible |
| Técnicas habituales | Hash con salt, cifrado, tokenización | Supresión, k-anonimato, ruido diferencial |
| Cuándo usar | Necesitas reidentificar en el futuro | Publicación abierta, estadística, archivo |
Técnicas de seudonimización
La seudonimización reduce el riesgo de exposición directa sin eliminar la posibilidad de vincular el dato al interesado. Estas son las técnicas más frecuentes en entornos legales y sanitarios:
Hash con salt
Se aplica una función hash (SHA-256, bcrypt) sobre el identificador junto con un valor aleatorio secreto (salt). Sin el salt, el hash no puede invertirse ni cruzarse con otros datasets. Si el salt se pierde o destruye, el dato se vuelve prácticamente irrecuperable, aproximándose a la anonimización. Uso habitual: bases de datos de investigación donde los investigadores no necesitan el nombre real pero el responsable debe poder resolver reclamaciones.
Cifrado simétrico o asimétrico
El dato personal se cifra y solo puede recuperarse con la clave de descifrado. La clave se almacena separada y bajo control del responsable. Técnicamente reversible, jurídicamente seudonimización. Útil para transmitir datos entre sistemas con trazabilidad completa: el receptor no tiene la clave, pero el responsable puede descifrar ante una autoridad de control.
Tokenización
El dato personal se sustituye por un token aleatorio sin valor matemático. La tabla de correspondencia token ↔ dato real se guarda en un vault seguro. Muy usada en pagos (sustitución del PAN de tarjeta) y en historiales clínicos para vincular episodios sin exponer el nombre del paciente. El token no revela información si se intercepta.
Sustitución por alias o seudónimo fijo
El nombre se reemplaza por un identificador consistente (p. ej., «Paciente A», «Empresa_047»). Permite seguir la trayectoria de un individuo dentro del dataset sin revelar su identidad. Es la técnica más sencilla pero también la más débil: si el alias se usa en múltiples fuentes, puede reidentificarse por correlación.
Técnicas de anonimización
La anonimización real requiere que el resultado resista los tres vectores de ataque definidos por el GT29 en el Dictamen 05/2014 (WP216): singularización (no poder aislar a un individuo), vinculabilidad (no poder enlazar registros del mismo individuo) e inferencia (no poder deducir información sobre él con alta probabilidad).
Ninguna técnica garantiza la anonimización en todos los contextos. Siempre es necesaria una evaluación del riesgo de reidentificación teniendo en cuenta el tamaño del dataset, la granularidad de los atributos y la disponibilidad de datos auxiliares.
Supresión
Eliminación directa del atributo identificador. Es la forma más radical y la única que garantiza que ese dato concreto no puede reidentificarse. Problema: si se suprimen demasiados atributos, el dataset pierde utilidad analítica. Se usa sistemáticamente en publicación de sentencias (nombre de las partes) y en estadística oficial.
Generalización
El valor preciso se sustituye por un rango o categoría menos específica. Ejemplo: la fecha de nacimiento exacta (1978-03-15) pasa a ser el año (1978) o el rango de edad (40-49). La dirección postal completa pasa al código postal o al municipio. Reduce la singularización pero puede crear k-anonymity gaps si los rangos son demasiado estrechos.
k-Anonimato
Técnica formal que garantiza que cada combinación de atributos cuasi-identificadores (edad, sexo, código postal...) aparece al menos k veces en el dataset. Si k=5, cualquier individuo es indistinguible de al menos 4 más. Es el estándar mínimo exigido por muchas normativas sectoriales. Sus debilidades (ataques de homogeneidad y conocimiento previo) se mitigan con l-diversidad y t-proximidad.
l-Diversidad y t-Proximidad
Extensiones del k-anonimato que exigen que, dentro de cada grupo de k individuos indistinguibles, los valores del atributo sensible sean suficientemente diversos (l-diversidad) o próximos a la distribución global (t-proximidad). Previenen que un atacante infiera el dato sensible aunque no pueda singularizar al individuo.
Privacidad diferencial
Técnica matemática que añade ruido estadístico calibrado a los resultados de consultas o modelos, de forma que la presencia o ausencia de cualquier individuo en el dataset no altere significativamente el resultado. Es el estándar de referencia en analítica de datos a gran escala (Apple, Google, datos del Censo de EE.UU.). Su implementación correcta requiere conocimientos estadísticos avanzados y no es directamente aplicable a documentos individuales.
Cuándo usar seudonimización y cuándo anonimización
La elección depende de si necesitas mantener la capacidad de reidentificar en el futuro y del destino final de los datos.
Investigación clínica
Los ensayos clínicos requieren vincular datos longitudinales del mismo paciente a lo largo del tiempo y pueden necesitar contactarle ante un evento adverso. La seudonimización (tokenización por ID de paciente) permite el análisis científico sin exponer identidades, mientras el médico responsable mantiene la clave de correspondencia.
Publicación de sentencias en el BOE o portales de transparencia
Las resoluciones judiciales y administrativas que se publican de forma abierta deben cumplir los requisitos del RGPD y la Ley de Transparencia (Ley 19/2013). Publicar datos seudonimizados en acceso libre equivale a publicar datos personales porque cualquier persona con información auxiliar podría reidentificar al interesado. La norma exige anonimización real.
Datasets para modelos de machine learning
Si el dataset se entregará a terceros o se usará para entrenar modelos que no sean de uso interno, la seudonimización no es suficiente porque los modelos pueden memorizar patrones identificables. La privacidad diferencial o el k-anonimato con auditoría de reidentificación son los estándares del sector.
Transmisión interna entre departamentos
Cuando los datos deben fluir entre equipos que no necesitan acceder a los identificadores directos (analítica, calidad, auditoría interna), la tokenización reduce el riesgo de exposición ante una brecha sin eliminar la trazabilidad que el responsable del tratamiento puede necesitar.
Expedientes de becas, contratos o nóminas públicas
La publicación de listados de beneficiarios, adjudicatarios o retribuciones en portales de transparencia requiere que los datos personales no identificables sean inaccesibles. Si se publican nombres o datos cruzables, la base legal es la Ley de Transparencia, que tiene sus propios límites de privacidad. Cuando esa base no cubre la publicación, la anonimización es el mecanismo habilitante.
Errores frecuentes que convierten la seudonimización en una falsa anonimización
- 1Superponer cajas negras sobre el texto en PDFs: el contenido original sigue en el código del archivo y puede recuperarse con cualquier editor. No es ni seudonimización ni anonimización; es ocultación superficial.
- 2Usar un hash MD5 o SHA-256 sin salt: el mismo identificador siempre produce el mismo hash. Cruzando con un diccionario de posibles valores (p. ej., todos los DNIs válidos) se puede reidentificar en segundos.
- 3Asumir que eliminar el nombre es suficiente: si el dataset incluye edad, código postal, cargo y fecha de baja, la combinación puede singularizar al individuo aunque el nombre no aparezca. El riesgo de reidentificación debe evaluarse sobre el conjunto de atributos, no sobre cada uno por separado.
- 4Llamar «anonimización» a la seudonimización en documentos legales: un acuerdo de tratamiento o una EIPD que declara datos «anonimizados» cuando en realidad están tokenizados crea una discrepancia entre la realidad técnica y la documentación jurídica que puede agravar la sanción ante una inspección de la AEPD.
- 5No documentar el método ni el resultado de la evaluación de riesgo: el RGPD exige poder demostrar el cumplimiento (principio de responsabilidad proactiva, Art. 5.2). Sin documentación del análisis de reidentificación, es imposible acreditar que la técnica aplicada era adecuada.
- 6Aplicar anonimización donde se exige seudonimización: en ensayos clínicos con obligación de trazabilidad de eventos adversos, anonimizar datos de pacientes puede impedir cumplir las obligaciones de farmacovigilancia. La norma sectorial puede requerir conservar la clave de reidentificación.
Marco sancionador: qué pasa cuando se confunden ambos conceptos
La AEPD ha sancionado sistemáticamente la publicación de datos personales bajo la etiqueta de «anonimizados» cuando el método empleado no resistía un análisis de reidentificación básico. Las infracciones más frecuentes caen bajo el Art. 83.4 y 83.5 del RGPD:
Infracción grave (Art. 83.4)
Tratar datos personales sin las medidas técnicas y organizativas adecuadas (Art. 25 y 32 RGPD). Incluye publicar datos seudonimizados como si fueran anónimos. Multa de hasta 10 millones de euros o el 2% de la facturación mundial anual.
Infracción muy grave (Art. 83.5)
Tratar datos sin base legal o publicar datos personales sin legitimación (Art. 6 RGPD). Si la organización declara que los datos son anónimos para eludir la obligación de base legal, y luego resulta que no lo son, se produce esta infracción. Multa de hasta 20 millones de euros o el 4% de la facturación.
La AEPD publicó en 2023 la Guía de análisis de riesgos en los tratamientos de datos personales y ha reiterado en sus resoluciones que la evaluación del riesgo de reidentificación debe documentarse antes de declarar que un conjunto de datos es anónimo. Sin esa documentación, la carga de la prueba recae sobre el responsable del tratamiento ante cualquier reclamación.
Preguntas frecuentes
¿La seudonimización me exime de cumplir el RGPD?
No. El RGPD (Art. 4.5 y Cdo. 26) deja claro que los datos seudonimizados siguen siendo datos personales porque pueden reidentificarse con información adicional. Seguirás necesitando una base legal para su tratamiento, aplicar los principios de minimización y limitación de finalidad, atender los derechos ARCO y cumplir todas las obligaciones del Reglamento. La seudonimización es una medida técnica de seguridad reconocida (Art. 25 y Art. 32), no una vía de escape.
¿Un hash MD5 o SHA-256 del DNI cuenta como anonimización?
En la mayoría de los casos, no. Un hash sin salt es determinista: el mismo DNI siempre produce el mismo hash. Cualquier persona con acceso a una lista de DNIs puede calcular los hashes y cruzarlos con los datos. El GT29 (WP216) califica estos escenarios como seudonimización, no anonimización, porque el riesgo de reidentificación por linkability sigue siendo significativo. Para lograr anonimización mediante hashing se necesitaría un salt secreto irrecuperable, lo que en la práctica convierte la operación en un cifrado irreversible, y entonces el dato sí podría considerarse anonimizado.
¿Puedo revertir una anonimización correctamente realizada?
No. Por definición, si la anonimización es reversible, no es anonimización bajo el RGPD. El Considerando 26 exige que, teniendo en cuenta «todos los medios razonablemente posibles», sea imposible identificar al interesado. Si existe cualquier método práctico de revertir el proceso, los datos siguen siendo personales. Por eso técnicas como el cifrado simétrico (donde existe una clave de descifrado) se clasifican como seudonimización, aunque el texto cifrado sea opaco.
¿Qué exige la AEPD para considerar anonimizado un conjunto de datos?
La AEPD sigue los criterios del Dictamen 05/2014 (WP216) del GT29: el conjunto de datos debe resistir los tres vectores de ataque. Primero, singularización: no debe ser posible identificar a un individuo concreto en el dataset. Segundo, vinculabilidad: no debe poder enlazarse con otros registros que pertenezcan a la misma persona. Tercero, inferencia: no debe poderse deducir con alta probabilidad un dato sobre un individuo. Si el conjunto supera estas tres pruebas, puede tratarse como anonimizado y quedar fuera del ámbito de aplicación del RGPD.
¿Cuándo debo usar seudonimización en lugar de anonimización?
Cuando necesites conservar la posibilidad de reidentificar al interesado en el futuro, ya sea para atender sus derechos, para vincular registros longitudinales (p. ej., historial clínico) o para auditorías. También cuando la anonimización real sea técnicamente inviable sin destruir la utilidad analítica del dato (p. ej., datos de investigación clínica donde hay pocas personas con perfiles raros). La seudonimización es, además, la técnica indicada cuando solo quieres reducir el riesgo de exposición en caso de brecha, sin renunciar al tratamiento.
¿Publicar un documento con nombres tachados con un recuadro negro es anonimización?
No, aunque es el error más frecuente. Superponer una caja negra sobre un nombre oculta el texto visualmente, pero el contenido original sigue en el código del PDF y puede recuperarse eliminando el elemento gráfico o copiando el texto al portapapeles. Para que la redacción sea válida, el texto debe eliminarse del código interno del archivo, no cubrirse. Esto aplica también a imágenes: si el documento es un escaneado, hay que aplicar OCR, detectar el dato y eliminarlo de la imagen.
Conclusión
Seudonimización y anonimización no son sinónimos ni grados distintos de la misma operación: son categorías jurídicas con consecuencias radicalmente distintas bajo el RGPD. Los datos seudonimizados siguen siendo datos personales y el Reglamento se aplica en su totalidad. Los datos verdaderamente anonimizados quedan fuera de su ámbito de aplicación, pero el umbral para alcanzar ese estatus es técnicamente exigente y debe documentarse.
El error de confundir ambas categorías tiene dos variantes igualmente problemáticas: tratar datos seudonimizados como anónimos y eliminar la base legal que los ampara, o aplicar anonimización donde la normativa sectorial exige mantener la trazabilidad. Conocer qué técnica aplica a cada caso de uso es la competencia básica de cualquier DPO, responsable de tratamiento o equipo jurídico que trabaje con datos personales.
Para entender el marco completo de la anonimización documental, consulta qué es la anonimización de documentos y la guía completa de anonimización. Si tu organización necesita aplicar estas técnicas en documentos PDF de forma sistemática y conforme al RGPD, revisa la guía de anonimización para DPOs y compliance.