Los términos «seudonimizar» y «seudonimización» se mencionan comúnmente en el mundo de la privacidad de datos, pero sus orígenes y significado preciso no se entienden ampliamente entre los abogados estadounidenses. De hecho, la mayoría de los diccionarios estadounidenses no reconocen ninguno de los términos como parte del idioma inglés.1 Si bien los términos derivan de la palabra raíz «seudónimo», que se define como un» nombre que alguien usa en lugar de su nombre real», sus significados son un poco más complejos.2
La CCPA fue el primer estatuto de los Estados Unidos (federal o estatal) en usar cualquiera de los dos términos.3 Las definiciones de la CCPA para los términos se basan en el RGPD europeo promulgado dos años antes de la CCPA. De hecho, con la excepción de pequeños ajustes para adaptar la definición a la terminología específica de la CCPA (por ejemplo, «consumidor» en lugar de» interesado»), las definiciones son prácticamente idénticas:
Fuente | GDPR | CCPA | Modificación de GDPR a CCPA |
Término | seudonimización | Seudonimización / Seudonimización | |
Definición | el tratamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.4 | » el procesamiento de la información personal de una manera que hace que la información personal ya no sea atribuible a un consumidor específico sin el uso de información adicional, siempre que la información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que la información personal no se atribuya a un consumidor identificado o identificable.»5 | el tratamiento de datos de información personal de tal manera que los datos de información personal ya no puedan atribuirse a un consumidor interesado específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que la información de datos personales no se atribuya a un consumidor físico identificado o identificable. |
La confusión en torno al término «seudonimizar» se deriva en gran medida de la ambigüedad sobre cómo se pretende que el término encaje en el esquema más amplio de la CCPA. Además de definir el término, la CCPA solo se refiere a «seudonimizado» en una ocasión. Dentro de la definición de «investigación», la CCPA implica que la información personal recopilada por una empresa debe ser «seudonimizada y desidentificada» o «desidentificada y en conjunto.»6 La referencia conjunta a» investigación «seudonimizada» y » desidentificada plantea la cuestión de si la CCPA da algún efecto al término «seudonimizado». Específicamente, la CCPA parece asignar un umbral más alto de anonimización al término «desidentificado».»Como resultado, si los datos ya deben ser desidentificados, no está claro qué procesamiento adicional o conjunto de operaciones se espera mediante la pseudonimización de los datos.
El resultado neto es que, si bien la CCPA toma prestado el término «seudonimización» de la ley europea de privacidad de datos y lo introduce en el léxico legal estadounidense, no parece aplicar el término ni darle ningún efecto o estatus legal independiente.