Anonimato real vs. anonimato declarado
Prometer anonimato es fácil; garantizarlo por arquitectura es otra cosa. La diferencia entre una casilla de «respuesta anónima» y un sistema que no puede reidentificar.
Casi todas las herramientas de encuestas ofrecen una casilla de «respuesta anónima». El encuestado la ve, confía y responde con franqueza. El problema es que, en la mayoría de las plataformas, esa casilla es una promesa, no una garantía: los datos que permitirían reidentificar a la persona siguen ahí, esperando. Anonimato declarado no es lo mismo que anonimato real.
Qué guarda una plataforma cuando dices «anónimo»
Marcar una encuesta como anónima suele significar únicamente que no se muestra el nombre en el reporte. Por debajo, es habitual que se sigan almacenando señales que reconstruyen la identidad:
- La dirección IP y el user‑agent de cada envío.
- Marcas de tiempo precisas que, cruzadas con un registro de asistencia o un padrón, delatan a quién respondió.
- Identificadores de sesión, cookies o fingerprints del navegador.
- Combinaciones de respuestas demográficas tan específicas que apuntan a una sola persona (el clásico «mujer, 34 años, del departamento X con dos personas»).
Cualquiera de estas señales convierte el «anónimo» en reversible. Y lo reversible, tarde o temprano, se revierte: ante una filtración, una orden o simple curiosidad interna.
Anonimato real: que el sistema no pueda, aunque quisiera
El anonimato real se diseña, no se declara. La prueba es sencilla: si el propio operador de la plataforma quisiera saber quién dio una respuesta concreta, no debería poder. Eso obliga a tomar decisiones de arquitectura, no de interfaz:
- Separar identidad de respuesta. En encuestas por padrón, quién fue invitado y qué se respondió viven en tablas distintas, sin una llave que las una una vez emitido el voto.
- No capturar lo que no se necesita. Si la encuesta es anónima, no se registra IP ni huella del dispositivo junto a la respuesta.
- Proteger contra la reidentificación estadística. En los cruces, suprimir las celdas con muy pocos casos evita que un segmento diminuto exponga a un individuo.
- Registrar el «quién participó» sin el «qué respondió». Se puede saber que alguien ya votó —para evitar duplicados— sin ligarlo a su respuesta.
La pregunta correcta para evaluar cualquier plataforma no es «¿ofrece encuestas anónimas?», sino «¿qué tendría que pasar para que alguien reidentifique una respuesta que prometiste anónima?». Si la respuesta es «consultar una tabla», no era anónima.
Cómo lo aborda Verodatas
En Verodatas el anonimato es una propiedad de la arquitectura. Las respuestas anónimas no se almacenan junto a identificadores personales; el control anti‑duplicados no ata la identidad a la respuesta; y los cruces respetan un mínimo de casos por celda para que ningún segmento pequeño exponga a una persona. A eso se suma el cifrado de los datos personales y una postura sin trackers de terceros: no hay analítica externa observando al encuestado.
El resultado es la confianza que hace que la gente responda con la verdad — que es, al final, la única razón para hacer una encuesta.