En este artículo vamos a hablar de 4 posibles soluciones que las organizaciones pueden implementar para proteger la privacidad de sus usuarios y clientes.
1. Seudonimización de los datos
2. Anonimización de los datos
3. Recopilar sólo datos anónimos y usar software Open Source, como es el caso de DuckDuckGo, por ejemplo.
4. Datos anónimos y con un propósito definido junto con software Open Source.
La última de las soluciones surgió del Workshop «AI 360º» al que asistimos en Copenhagen. https://sos-ch-dk-2.exo.io/public-website-production/filer_public/a4/f2/a4f2aabd-6821-4a8d-b082-5070e2797b27/ai360_humanbrainproject_recommendations_report_final.pdf Contribuyeron en esta solución Ulrik Jørgensen, filósofo y profesor de la Universidad de Aalborg, Dinamarca, y Elise Lassus, investigadora en la Agencia de los Derechos Fundamentales de la Unión Europea (FRA), Steen Rasmussen, y yo. También incluimos las soluciones de Stephan Engberg, de su proyecto, Citizen Key.
¿Es la protección de datos por diseño y por defecto, en el contexto del RGPD, la solución para proteger a los sujetos de datos de ser perfilados?
El artículo 25 del RGPD menciona dos casos en los que las empresas tienen que pensar en la protección de datos, y estos son: «en el momento de determinar los medios de tratamiento como en el momento propio del tratamiento».
Esto significa que en el momento en que los ingenieros están pensando en desarrollar los productos o en establecer un proceso comercial en particular, las organizaciones (ingenieros) ya deben pensar en la privacidad y tener un plan sobre cómo protegerla.
La privacidad por diseño establece una privacidad que es proactiva, una privacidad que reduce los riesgos. Es una privacidad integrada en lo que sea que esté haciendo una organización, tanto en términos de creación de productos como en operaciones comerciales.
Como estableció la pionera Anna Cavoukian en sus 7 principios de la Privacidad para el diseño https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf
El artículo 25 del RGPD continúa diciendo que los requisitos clave para las organizaciones son adoptar medidas de privacidad que sean tanto organizativas como técnicas.
En la privacidad por diseño, a continuación, se exploran dos técnicas: seudonimización y anonimización de datos personales.
- Seudonimización de datos
El considerando 26 equipara los datos que se han sometido a seudonimización con datos personales.
¿Por qué debemos seudonimizar si los datos seudonimizados siguen siendo datos personales? Las respuestas a esta pregunta se pueden encontrar en el considerando 28 y el considerando 29.
El considerando 28 dice que la seudonimización reduce los riesgos para los interesados y ayuda a los controladores y procesadores a cumplir sus obligaciones de protección de datos «. Debido a que la seudonomización es una medida de prevención, ayuda a cumplir con el RGPD.
Y el considerando 29 dice «Para incentivar la aplicación de la seudonimización en el tratamiento de los datos personales, debe ser posible establecer medidas de seudonimización, permitiendo, al mismo tiempo, un análisis general…».
Con las estrategias de pesudonización, las ID de los sujetos de datos se reemplazan por un seudónimo (hash de la ID de usuario). Esto significa que las organizaciones no saben qué usuario llevó a cabo una acción específica, pero una organización puede saber que un individuo hizo A, B, C y D.
Si se utiliza un hash estático, una empresa puede conocer la acción de un individuo durante un período prolongado de tiempo, lo que hace que sea más fácil para las organizaciones tomar decisiones comerciales, y como se muestra en el siguiente diagrama, lo que implica menos privacidad porque las empresas aún pueden perfilar usuarios.
2. Anonimización de datos
Los conjuntos de datos anonimizados son más seguros que los conjuntos de datos seudonimizados, ya que no existe una forma directa de recuperar la identidad de un individuo.
¿Cómo se pueden crear y validar los datos anónimos? Existen múltiples modelos / esquemas de anonimización que son suficientes de acuerdo con las regulaciones.
La Opición del WP29 05/201440 ofrece dos opciones para verificar si un conjunto de datos es anónimo:
Opción 1: su conjunto de datos no tiene ninguna de las siguientes propiedades:
● Distinguir a un sujeto de los datos, que corresponde a la posibilidad de aislar algunos o todos los registros, que identifican a un individuo en el conjunto de datos.
● Vincular, que es la capacidad de vincular, al menos, dos registros relacionados con el mismo sujeto de datos o un grupo de sujetos de datos (ya sea en la misma base de datos o en dos bases de datos diferentes). Si un atacante puede establecer (p. Ej., Mediante análisis de correlación) que dos registros se asignan a un mismo grupo de individuos, pero no puede identificar a los individuos en este grupo, la técnica proporciona resistencia contra la «diferenciación» pero no contra la vinculación.
● Inferencia, que es la posibilidad de hacer perfiles, o la posibilidad de deducir con probabilidad significativa, el valor de un atributo a partir de los valores de un conjunto de otros atributos.
U Opción 2: Realizar un análisis de riesgo de reidentificación.
La primera opción es mucho más fuerte que la segunda, en el sentido de que en la primera opción tiene que demostrar que no puede realizar inferencias, o perfiles. Las empresas deben demostrar que no pueden inferir ningún atributo de las personas que forman parte del conjunto de datos.
La Figura 5 muestra cómo se debe realizar la anonimización en los conjuntos de datos, de modo que el Training Set se alimente con datos anonimizados.
En la segunda opción, las empresas solo se preocupan por la re-identificación, que también se denomina inferencias de identidad. Debe demostrar que no puede recuperar la identidad de las personas que forman parte del conjunto de datos anónimos.
Sin embargo, la re-identificación no es el único problema, porque se pueden aprender muchas cosas de un conjunto de datos anónimos, incluso si no se pueden identificar a las personas. Big data actualmente se está utilizando activamente para eso.
El problema principal son las inferencias de atributos. Los defensores de la privacidad se centran en la identificación única como el principal ataque a nuestra privacidad. La minimización de datos y el anonimato son estrategias para evitar ser seleccionados.
Las empresas a menudo les dicen a los usuarios que compartir sus datos es seguro porque «anonimizan» los datos al eliminar u ofuscar primero la información personal. Sin embargo, esta despersonalización conduce a un anonimato parcial, ya que las empresas aún suelen almacenar y compartir datos agrupados.
Este grupo de datos puede analizarse y, en muchos casos, vincularse nuevamente a la identidad del usuario en función de su contenido.
La anonimización de datos de esta naturaleza ha tenido lugar una y otra vez cuando las empresas lanzan los llamados «datos anonimizados», incluso con buenas intenciones, por ejemplo, con fines de investigación. https://spreadprivacy.com/data-anonymization/
Por ejemplo, a pesar de que se hicieron esfuerzos para anonimizar los datos, las personas aún se anonimizaron a través de las recomendaciones de Netflix https://www.wired.com/2007/12/why-anonymous-data-sometimes-isnt/
y los historiales de búsqueda de AOL. https://techcrunch.com/2006/08/06/aol-proudly-releases-massive-amounts-of-user-search-data/
3. Recopilar sólo datos anónimos y usar software Open Source
Las organizaciones pueden anonimizar sus conjuntos de datos, pero esto no es suficiente en términos de privacidad, transparencia y para garantizar el control sobre los datos personales.
Vamos a considerar esta tercera posibilidad, que es recopilar sólo datos anónimos como una forma de empoderar a las personas y proteger su privacidad y confidencialidad.
Los datos anónimos no están conectados a información que pueda identificar a un individuo; sin embargo, no se trata «simplemente» de recopilar datos anónimos. Para proteger el anonimato de los datos, las empresas y organizaciones deben tomar medidas de seguridad adicionales para que los conjuntos de datos no puedan vincularse y los usuarios no puedan ser re-identificados. https://dataethics.eu/interview-christian-panton-spiir/
La desvinculación es crucial para deshabilitar la agregación contextual de perfiles individuales, por ejemplo, mediante el uso de credenciales o atributos en lugar de la identificación completa. También se deben tomar otras medidas de seguridad, como las mejores prácticas, que incluyen cifrado y medidas técnicas a nivel organizacional.
La combinación de esto, con los procesos automatizados de toma de decisiones (ADM) Open Source, junto con la transparencia sobre el uso de las Decisiones Automatizadas obtenidas proporcionan el más alto grado de transparencia y protección de la privacidad.
4. Datos anónimos y con un propósito definido junto con software de código abierto.
El anonimato completo no es posible ni deseable para todos los tipos de interacciones en el ciberespacio. Necesitamos que nuestro médico sepa quiénes somos para que nos pueda ayudar con nuestros problemas de salud.
Las empresas de servicios públicos necesitan conocer las direcciones físicas a las que suministran sus servicios (agua, electricidad, etc) y, para la mayoría de las comunicaciones privadas entre personas, las partes involucradas en la conversación quieren estar seguras de la identidad de cada una. Además, el cibercrimen es difícil de manejar en un ciberespacio anónimo.
¿Existen soluciones que aborden lo anterior? Una solución puede ser utilizar datos anónimos tanto como sea posible, minimizando el uso de datos personales, así como transmitir datos personales encriptados.
Minimizar el uso de datos personales es la intención del RGPD y puede obtenerse, por ejemplo, creando datos con un propósito determinado, o datos para cada proceso del ciberespacio, como lo sugiere, Stephan Engberg https://www.youtube.com/watch?v=HLnlte5u_s0
El contenido de los datos determinados por el propósito puede ser anónimo o identificable dependiendo del propósito. Por lo tanto, cada nuevo proceso en el ciberespacio tendría un nuevo identificador dependiendo de si nos comunicamos por motivos de compra, salud, banca, conversaciones privadas, etc.
Si queremos proporcionar algunos de nuestros datos de salud u otros datos relevantes para un proyecto de investigación, podríamos hacerlo de forma anónima.
Por el contrario, algunos de estos mismos datos deben ser identificables si se trata de un tratamiento continuo por parte de nuestro médico. Es muy recomendable implementar sistemas de software que permitan la creación de sesiones de datos con un propósito determinado sobre nuestra infraestructura digital actual, ya que eliminaría o reduciría la mayoría de nuestros complejos problemas de seguridad y protección de datos personales online.
Podría desarrollarse e implementarse por partes, p. Ej. un sector o grupo de individuos en ese momento, y luego podría crecer orgánicamente para incluir más sectores y grupos.
En el siguiente diagrama hemos diseñado esa posible solución: Datos anónimos y con un propósito definido. Sólo la recopilación de datos anónimos o con un propósito determinado reduce significativamente los problemas de privacidad de datos.
Agregar protocolos sólidos de protección de datos (por ejemplo, bases de datos anónimas) para datos determinados por el propósito (cuando sea necesario) elimina la identificación de las personas, así como el seguimiento de su presencia en Internet.
Además, las inferencias, la vinculación y la distinción de los usuarios no son posibles. Combinando esto con Open Source, los procesos de toma de decisiones automatizadas (ADM) junto con la transparencia sobre el uso de las decisiones automatizadas obtenidas proporcionan el mayor grado de transparencia.
Esta última solución es una opción para que las organizaciones se la planteen seriamente si desean demostrar honestidad, transparencia y maximizar la protección de la privacidad en sus decisiones de recopilación, tratamiento y elaboración de perfiles.
Hay que tener en cuenta que «No hay solución para todos». La toma de decisiones automatizada (ADM) no debe hacerse pública para ciertas infraestructuras como puede ser la coordinación automatizada del tráfico del metro o la distribución de energía.
La apertura total podría exponer posibles vulnerabilidades de infraestructura por mal uso. En tales situaciones, expertos independientes, bajo supervisión democrática, deben tener acceso al algoritmo que realiza la decisión automatizada, mientras que los detalles de tal decisión deben mantenerse fuera de la vista del público.
Hasta aquí mi hilo de hoy proponiendo varias soluciones prácticas para proteger la privacidad de los individuos y grupos de individuos. Como siempre, gracias por leerme.