La reidentificación de datos, también conocida como Re-identification, es el proceso de volver a vincular datos que, en principio, no deberían permitir la identificación directa de una persona con una persona física concreta. En la práctica, se trata de revertir el efecto de una seudonimización, de una anonimización ineficaz o de combinar varios conjuntos de información de tal forma que sea posible determinar la identidad de una persona visible en una fotografía o en una grabación de vídeo. En el contexto de los materiales visuales, este riesgo afecta sobre todo a los rostros, las matrículas y los identificadores indirectos, como la ubicación, la hora de grabación, la vestimenta, el contexto del suceso o las características únicas del vehículo.
Desde la perspectiva del RGPD, la reidentificación es fundamental, ya que la evaluación de si un material ha sido anonimizado de forma eficaz depende de si sigue siendo posible identificar a la persona utilizando medios que razonablemente puedan tenerse en cuenta. Esta prueba se deriva del considerando 26 del RGPD, es decir, del Reglamento (UE) 2016/679. Si, tras difuminar el rostro o la matrícula, sigue existiendo una posibilidad real de determinar la identidad basándose en otros elementos del encuadre o en los metadatos, el material no debe considerarse anónimo.
Reidentificación de datos (Re-identification): definición
Desde un punto de vista operativo, la reidentificación de datos en imagen y vídeo es la capacidad de asignar un registro visual anonimizado o parcialmente anonimizado a la misma persona o al mismo vehículo que un registro de referencia previamente conocido. En la literatura técnica, este concepto también aparece como person re-identification, vehicle re-identification o identity linkage. No siempre implica recuperar el nombre y apellidos. Basta con establecer de forma fiable que la persona del material A es la misma que aparece en el material B y, a continuación, combinar ese resultado con información externa adicional.
En la práctica de la anonimización de fotos y vídeos, la reidentificación suele producirse en tres situaciones. En primer lugar, cuando el difuminado del rostro o de la matrícula es demasiado débil y puede eludirse. En segundo lugar, cuando siguen siendo visibles otros identificadores indirectos. En tercer lugar, cuando el material contiene metadatos o contexto que permiten correlacionarlo con otras fuentes de datos.
Elemento | Importancia para la reidentificación | Ejemplo en material de vídeo
|
|---|---|---|
Rostro | Identificador directo o biométrico | Rostro difuminado de forma imprecisa en un plano lateral |
Matrícula | Identificador del vehículo y, en ocasiones, indirectamente del propietario o usuario | Número parcialmente legible tras la compresión de exportación |
Rasgos de la vestimenta y la complexión | Identificador indirecto | El mismo abrigo, mochila y recorrido |
Metadatos | Fuente de correlación con otros conjuntos de datos | Fecha, hora, GPS, nombre del dispositivo |
Contexto de la escena | Facilita la identificación cuando hay pocas personas | Entrada a una empresa o propiedad concreta |
El papel de la reidentificación de datos en la anonimización de fotos y vídeos
La evaluación del riesgo de reidentificación es una de las pruebas básicas de la calidad de la anonimización. El simple hecho de aplicar un efecto blur, una máscara o pixelado no determina por sí solo la eficacia de la protección de la privacidad. Lo que importa es el resultado final y la resistencia del material a ser vinculado con una persona mediante medios técnicos y organizativos razonablemente disponibles.
En relación con fotografías y vídeos, es especialmente importante distinguir entre anonimización y seudonimización. Si el responsable del tratamiento o el destinatario del material todavía puede reconstruir la identidad porque dispone del original, de una clave de vinculación, de otras grabaciones de referencia o de metadatos precisos, normalmente no estamos ante una anonimización en sentido estricto. Esto es relevante para el delegado de protección de datos al evaluar la base jurídica, la conservación, la cesión de materiales y las obligaciones de información.
- La anonimización debe reducir la posibilidad de identificación hasta un nivel prácticamente irreversible.
- La seudonimización reduce el riesgo, pero sigue dejando abierta la posibilidad de volver a atribuir los datos a una persona.
- La reidentificación es un indicador de que el método de protección aplicado fue insuficiente en un contexto de uso determinado.
Tecnologías y mecanismos de reidentificación de datos
En los sistemas de visión, la reidentificación de datos puede basarse tanto en análisis manuales como en modelos de aprendizaje automático. En particular, el deep learning se utiliza para construir modelos capaces de reconocer rostros, personas o vehículos a partir de vectores de características. Se trata de la misma dirección tecnológica general que, desde el lado de la protección de la privacidad, permite entrenar modelos para detectar automáticamente rostros y matrículas y, a continuación, difuminarlos. Sin embargo, la mera detección y el simple difuminado no eliminan todo el riesgo si otros rasgos de la escena permanecen inalterados.
Los mecanismos habituales de reidentificación incluyen:
- comparación de rasgos faciales, si el difuminado fue incompleto o ineficaz,
- person re-identification basada en la vestimenta, la complexión, la forma de andar y la trayectoria de movimiento,
- vehicle re-identification basada en la marca, el modelo, el color, los daños y el entorno,
- correlación de metadatos EXIF, marcas de tiempo, ubicación y secuencia de eventos,
- vinculación del material con datos disponibles públicamente, por ejemplo, coberturas de eventos.
En la práctica, Gallio PRO sirve para difuminar automáticamente rostros y matrículas en materiales fotográficos y de vídeo procesados fuera del modo en tiempo real. El software no realiza anonimización de flujo de vídeo y no detecta automáticamente logotipos, tatuajes, placas identificativas, documentos ni imágenes en pantallas de monitores. Estos elementos pueden requerir intervención manual en el editor, precisamente porque, si permanecen en el material, pueden aumentar el riesgo de reidentificación.
Parámetros y métricas clave de la reidentificación de datos
Conviene evaluar el riesgo de reidentificación de manera medible. En el ámbito de la investigación se utilizan métricas de calidad para el emparejamiento de registros y, en el ámbito del cumplimiento normativo, se evalúa la probabilidad de identificación con determinados recursos a disposición del adversario. En materiales de foto y vídeo, son relevantes tanto la calidad de la detección de objetos que deben difuminarse como la resistencia de la imagen final a la reconstrucción o a la elusión de la máscara.
Métrica / parámetro | Significado | Observaciones prácticas
|
|---|---|---|
Recall de detección | Porcentaje de rostros o matrículas detectados para anonimización | Un recall bajo aumenta el número de identificadores que quedan sin difuminar |
Precision de detección | Porcentaje de detecciones correctas | Una precision baja reduce la calidad operativa, pero normalmente afecta menos a la privacidad que un recall bajo |
mAP | Precisión media para la detección de objetos | Métrica habitual para evaluar modelos de detección |
Rank-1 / Recall@k | Eficacia al acertar con la identidad correcta en los top-k resultados | Se utiliza en investigaciones sobre person re-identification |
mAP para re-ID | Calidad de búsqueda de la misma persona o vehículo dentro de un conjunto | Cuanto mayor sea, mayor será el riesgo de vincular grabaciones |
Nivel de enmascaramiento | Grado de ilegibilidad del rostro o de la matrícula tras la exportación | Debe evaluarse después de la compresión final, no solo en la vista previa de trabajo |
Para evaluar el riesgo resulta útil un modelo sencillo:
Riesgo de reidentificación = probabilidad de emparejamiento x disponibilidad de datos auxiliares x impacto del error de anonimización
No se trata de una fórmula normativa, sino de una simplificación analítica útil para una EIPD y para pruebas internas.
Retos y limitaciones de la reidentificación de datos
El mayor problema no suele ser la mera presencia de un rostro, sino la suma de la información que permanece en el material. Incluso un difuminado correcto del rostro puede no ser suficiente si la grabación muestra un hecho poco frecuente, un lugar preciso y una hora exacta. En una comunidad pequeña o en un entorno laboral, esa combinación puede bastar para identificar a la persona.
Entre las limitaciones y fuentes de error más importantes se encuentran:
- la falsa sensación de seguridad tras aplicar un simple blur,
- dejar matrículas o rostros sin difuminar en fotogramas aislados,
- no tener en cuenta reflejos en cristales, espejos o pantallas,
- exportar material con metadatos que facilitan la correlación,
- no considerar las excepciones legales relativas a la publicación de la imagen, que no eliminan la obligación de analizar el riesgo en cada caso concreto.
En Polonia, el estatus de las matrículas como datos personales depende del contexto. En la práctica de las autoridades de protección de datos y en la doctrina se subraya la necesidad de actuar con cautela, mientras que en la jurisprudencia aparece la opinión de que una matrícula, por sí sola, no siempre constituye un dato personal. Para la práctica del cumplimiento normativo, es más seguro tener en cuenta el riesgo de reidentificación contextual que basarse únicamente en una calificación abstracta de un identificador aislado.
Referencias normativas y fuentes sobre la reidentificación de datos
El concepto de reidentificación debe interpretarse a la luz de las fuentes jurídicas y técnicas. Los textos más importantes son los actos y documentos que definen la identificabilidad de una persona y los criterios para evaluar los medios que pueden utilizarse.
- RGPD - Reglamento (UE) 2016/679, considerando 26 y artículo 4, apartados 1 y 5: identificabilidad de la persona y seudonimización.
- Dictamen 05/2014 del Grupo de Trabajo del Artículo 29 sobre técnicas de anonimización: análisis de los riesgos de singling out, linkability e inference, 2014.
- CEPD, Directrices 4/2019 sobre protección de datos desde el diseño y por defecto, versión adoptada el 20 de octubre de 2020.
- ISO/IEC 20889:2018 - Privacy enhancing data de-identification terminology and classification of techniques.
- NISTIR 8053 - De-Identification of Personal Information, National Institute of Standards and Technology, 2015.
Estos documentos no se refieren exclusivamente a imagen y vídeo, pero sus criterios pueden aplicarse directamente a materiales visuales. Resultan especialmente útiles los conceptos de linkability y singling out, ya que reflejan bien el riesgo de vincular varias grabaciones con la misma persona a pesar del difuminado del rostro.
Ejemplos de uso y evaluación del riesgo de reidentificación de datos
La evaluación práctica debe referirse al caso de uso concreto, y no solo a la tecnología en sí. El mismo nivel de difuminado puede ser suficiente para un material interno de formación, pero insuficiente para una publicación en internet, donde el conjunto de datos auxiliares disponible es incomparablemente mayor.
- Grabación de un aparcamiento: se difuminaron los rostros, pero se dejaron visibles las matrículas y la hora del suceso. El riesgo de reidentificación es alto.
- Material de recepción: rostros difuminados, pero la tarjeta identificativa del empleado sigue siendo visible. El riesgo sigue siendo relevante.
- Publicación de un evento público: puede existir una excepción relativa a la imagen como elemento accesorio del conjunto de la escena, pero la evaluación debe tener en cuenta la naturaleza de la toma y la posibilidad de destacar a una persona concreta.
- Archivo probatorio: incluso después del difuminado, el material puede seguir siendo dato personal si el responsable conserva el original y puede reconstruir la vinculación.