Anonimización de Documentos Compatible con GDPR

GDPR y Datos Personales

El Reglamento General de Protección de Datos (GDPR) define datos personales ampliamente bajo Artículo 4. Cualquier información que pueda identificar directa o indirectamente a una persona natural califica como datos personales: nombres, direcciones de correo electrónico, números de teléfono, datos de ubicación, identificadores en línea (direcciones IP, cookies), datos financieros (IBANs, números de tarjeta de crédito), números de identificación nacional, y mucho más.

Las organizaciones que procesan datos personales deben cumplir con principios estrictos: legalidad, limitación de propósito, minimización de datos, precisión, limitación de almacenamiento, e integridad. El incumplimiento puede resultar en multas de hasta 4% de la facturación mundial anual o 20 millones de euros, lo que sea mayor.

anonym.plus detecta más de 340 tipos de entidades que cubren todas las categorías de PII relevante para GDPR. El motor de detección usa Microsoft Presidio combinado con modelos spaCy NER, suplementado por reconocedores basados en patrones para datos estructurados como IBANs, números de tarjeta de crédito, e IDs nacionales en docenas de países.

Anonimización vs Seudonimización

Esta es la distinción más crítica en protección de datos GDPR. La regulación trata los datos anonimizados y seudonimizados fundamentalmente diferente:

La implicación práctica: si usas el operador Reemplazar, el documento de salida ya no está sujeto a obligaciones GDPR porque el dato personal ha sido irreversiblemente eliminado. Si usas el operador Encriptar, el documento de salida está seudonimizado — todavía cae bajo GDPR, pero la encriptación proporciona una salvaguardia adicional fuerte reconocida por Artículos 25 y 32.

Cómo anonym.plus Satisface Requisitos GDPR

anonym.plus aborda múltiples requisitos GDPR a través de su arquitectura y características:

• Minimización de datos (Art. 5(1)(c)): Detecta y elimina PII innecesario antes de compartir documentos. Solo se retienen los datos estrictamente necesarios para el propósito.
• Limitación de propósito (Art. 5(1)(b)): Anonimiza datos que ya no se necesitan para su propósito de recopilación original. El operador Reemplazar elimina permanentemente PII que ha servido su propósito.
• Protección de datos por diseño (Art. 25): Detección y anonimización de PII incorporada como característica central, no como una ocurrencia tardía. La canalización completa está diseñada para protección de privacidad desde el principio.
• Derecho al olvido (Art. 17): El operador Reemplazar elimina permanentemente PII de documentos, cumpliendo solicitudes de borrado a nivel de documento.
• Seguridad del procesamiento (Art. 32): Encriptación AES-256-GCM para el operador Encriptar, arquitectura de conocimiento cero, y procesamiento completamente sin conexión aseguran el nivel más alto de seguridad de datos.
• Evaluación de impacto de protección de datos (Art. 35): Los registros de procesamiento proporcionan una pista de auditoría local documentando qué fue anonimizado, cuándo, y con qué configuración — apoyando requisitos de documentación DPIA.

Procesamiento Sin Conexión — Ningún Dato Abandona Tu Dispositivo

La canalización completa de detección de PII y anonimización se ejecuta localmente en tu máquina. Esta es una decisión arquitectónica fundamental que apoya directamente el cumplimiento GDPR:

• Presidio + spaCy se incluyen como un proceso sidecar que se ejecuta completamente en tu dispositivo. No se realizan llamadas API para detección de PII o anonimización.
• Los documentos nunca abandonan tu dispositivo. La extracción de texto, detección de entidades, anonimización, y exportación ocurren todas localmente. El contenido del documento nunca se carga a ningún servidor.
• El servidor anonym.plus maneja solo: gestión de cuenta, licencia, e facturación de suscripción. Estas funciones involucran solo tu correo electrónico y clave de licencia — nunca tus documentos.
• El servidor no puede acceder a: tus documentos, resultados de detección de PII, salidas anonimizadas, claves de encriptación, contenidos de bóveda, o contraseña de bóveda. Esto se aplica por arquitectura, no por política.

Esta arquitectura sin conexión elimina una categoría completa de riesgo GDPR: transferencia de datos. Como los datos personales nunca abandonan tu dispositivo durante el procesamiento, no hay preocupaciones sobre transferencia de datos transfronteriza, no se necesitan acuerdos de procesador para el paso de anonimización, y no hay riesgo de brechas del lado del servidor afectando tus documentos.

Arquitectura de Conocimiento Cero

anonym.plus usa una arquitectura de conocimiento cero que asegura que incluso el proveedor de servicio no puede acceder a tus datos sensibles:

• Hash de contraseña: Tu contraseña se hashea del lado del cliente usando Argon2id + HKDF + SHA-256 antes de cualquier comunicación con servidor. El servidor almacena solo pruebas criptográficas — nunca recibe o almacena tu contraseña en texto plano.
• Almacenamiento del lado del servidor: El servidor almacena solo el hash criptográfico de tu contraseña, tu dirección de correo electrónico, e información de licencia. Ningún dato de documento, resultados de PII, o claves de encriptación se transmiten jamás al servidor.
• Encriptación de bóveda: La bóveda de clave de encriptación se encripta con AES-256-GCM. La clave de encriptación de bóveda se deriva de tu contraseña vía Argon2id. Sin tu contraseña, los contenidos de bóveda son criptográficamente inaccesibles.
• Seguridad de memoria: El material de clave se pone a cero de memoria cuando la bóveda se bloquea. Ningún dato de clave residual permanece en RAM después del bloqueo o cierre de aplicación.
• Aislamiento de clave: Las claves de encriptación se referencian solo por ID en el frontend. Los valores de clave nunca abandonan el proceso backend Rust, previniendo exposición a través de herramientas de desarrollador del navegador o vulnerabilidades JavaScript.

Flujo de Trabajo de Cumplimiento GDPR Paso a Paso

Sigue este flujo de trabajo para anonimizar documentos de forma compatible con GDPR:

1. Identifica documentos que contienen datos personales. Reúne los documentos que necesitan anonimización — contratos, reportes, correspondencia, bases de datos, o cualquier archivo que contenga PII.
2. Selecciona el preset de detección de Cumplimiento GDPR. Este preset usa un umbral de confianza de 0.90 (más alto que el predeterminado 0.85) para reducir falsos negativos. Alternativamente, crea un preset personalizado dirigido a los tipos de entidades específicos relevantes para tus datos.
3. Para anonimización permanente: usa el operador Reemplazar. Esto elimina irreversiblemente todos los PII detectados. El documento de salida sale del alcance GDPR por completo — ya no es datos personales bajo Considerando 26.
4. Para seudonimización temporal: usa el operador Encriptar. Esto reemplaza PII con tokens encriptados que pueden invertirse con la clave de encriptación. El documento de salida permanece en alcance GDPR pero gana las protecciones adicionales reconocidas por Artículos 25 y 32.
5. Revisa todas las entidades detectadas antes de procesar. El paso de revisión es crítico para cumplimiento GDPR. Verifica que todos los datos personales hayan sido detectados (sin falsos negativos) y que PII no detectado no haya sido incorrectamente marcado (sin falsos positivos que alterarían innecesariamente el documento).
6. Guarda documentos anonimizados. Exporta los documentos procesados. La entrada de procesamiento se guarda en tu historial local para propósitos de auditoría, documentando qué entidades fueron detectadas, qué operador se usó, y cuándo ocurrió el procesamiento.
7. Para documentos encriptados: gestiona claves de encriptación de forma segura. Almacena claves en la bóveda con una contraseña fuerte. Registra la frase de recuperación BIP39 de 24 palabras en una ubicación segura sin conexión. Rastrea qué clave se usó para qué documentos para asegurar capacidad de desencriptación futura.