Desidentificação, Pseudonimização e Anonimização de Dados, conceitos em evidência
Por Susana Taboas*
Como vamos lidar com os riscos das Informações Pessoais Identificáveis - PII? A Divisões de Pesquisa de Comunicações de Segurança Pública – PSCR do NIST, divulgou ontem – 12 de setembro os vencedores do Desafio de Dados Não Vinculáveis
Conceitos como Desidentificação, Pseudonimização e Anonimização estão entre as principais discussões da atualidade nos setores públicos, privados e na academia em todo o mundo.
Estes são conceitos fundamentais ao considerarmos as leis de proteção de dados como a europeia GDPR , a LGPD – Lei Geral de Proteção de Dados Brasileira e as regulações de várias nações.
As regulações recomendam como medidas técnicas devem assegurar um nível de segurança ao tratamento de dados pessoais, entre outras, a anonimização e a pseudonimização.
“Desidentificação de Dados Estruturados” – “De-identification Guidelines for Structured Data” – é o termo geral para o processo de remoção da informação pessoal de um registo ou de um conjunto de dados. A desidentificação protege a privacidade dos indivíduos porque, uma vez desidentificado, deixa de se considerar que um conjunto de dados contém informações pessoais.
Se um conjunto de dados não contiver a informação pessoal, a sua utilização ou divulgação não viola a privacidade dos indivíduos.
Pseudonimizar é tornar um determinado dado pessoal num dado que não permita identificar de forma direta o seu titular, mas que o possa ser identificável, quando necessário. Um exemplo de sua aplicação é a autenticação biométrica. Neste caso, um código (numérico ou alfanumérico) pode substituir o nome para identificar determinada pessoa.
Anonimizar é desassociar a título definitivo determinado dado de seu titular.
Um dado anonimizado deixa de ser considerado um dado pessoal. A anonimização, pode ser aplicada, por exemplo, nos casos em que os dados são utilizados para fins estatísticos, uma vez que para análise estatística não há, em princípio, qualquer necessidade de conhecer quem é o titular dos dados.
O Desafio PSCR do NIST
O Desafio lançado pelo PSCR do NIST foi feito em várias etapas. Na primeira fase foi hospedado no HeroX – O HeroX é uma plataforma onde você pode apoiar uma causa em que acredita, ajudar a financiar um prêmio ou publicar desafios para inspirar outras pessoas. As fases posteriores foram executadas no Topcoder – empresa que administra competições de programação – e se concentraram no desempenho dos algoritmos desenvolvidos.
A motivação do desafio do PSCR do NIST
As técnicas de desidentificação, atualmente populares, não são suficientes, essa foi a maior motivação para este desafio.
Nosso mundo cada vez mais digital transforma quase todas as nossas atividades diárias em oportunidades de coleta de dados, desde a entrada mais óbvia em um formulário on-line até carros conectados, telefones celulares e tecnologias vestíveis.
Os aumentos dramáticos no poder de computação e inovação ao longo da última década, juntamente com organizações públicas e privadas que automatizam cada vez mais a coleta de dados, permitem combinar e utilizar os dados de todas essas fontes para concluir valiosas pesquisas e análise de dados.
Ao mesmo tempo, esses mesmos avanços no poder de computação e inovações também podem ser usados em ataques de vinculação: conjuntos de dados auxiliares que contêm informações confidenciais que podem ser usados para determinar indivíduos de forma individualizada.
Esta preocupação de privacidade válida está, infelizmente, limitando o uso de dados para pesquisa que poderiam ser usados para melhorar a proteção de pessoas e comunidades, inclusive, e principalmente, no setor público.
Para fazer o melhor uso dos dados que contêm PII, é importante desassociar dados. No entanto, existe uma relação entre a utilidade e a privacidade, quanto mais o conjunto de dados for alterado, maior será a probabilidade de haver uma utilidade reduzida do conjunto de dados “desidentificado” para fins de análise e pesquisa.
PII não é suficientemente protegido ou os dados resultantes não representam mais os dados originais. Além disso, é difícil ou mesmo impossível quantificar a quantidade de privacidade perdida com as técnicas atuais.
Os vencedores do Desafio PSCR do NIST
GRANDE PRÊMIO: US $ 15.000
Equipe de Privacidade da Georgia Tech : Rede Diferencial Adversarial Generativa Privada (DP-GAN) para gerar dados sintéticos privados para tarefas de análise.
Confira os detalhes aqui .
RUNNER-UP: US $ 10.000
DPSyn : Gere um conjunto de dados sintético que se aproxima de muitas distribuições marginais escolhidas aleatoriamente do conjunto de dados de entrada.
Confira os detalhes aqui .
MENÇÃO HONROSA: US $ 5.000,00
WesTeam : Soluções reais da comunidade estatística para liberações de dados diferenciadas privadas e de alta qualidade pelos institutos nacionais de estatística.
Confira os detalhes aqui .
PRÊMIOS DE ESCOLHA DE PESSOAS: US $ 5.000,00
- Equipe de Privacidade da Georgia Tech
- DPSyn
- Equipe de Privacidade da Georgia Tech : Rede Diferencial Adversarial Generativa Privada (DP-GAN) para gerar dados sintéticos privados para tarefas de análise.
Confira os detalhes aqui .
RUNNER-UP: US $ 10.000
DPSyn : Gere um conjunto de dados sintético que se aproxima de muitas distribuições marginais escolhidas aleatoriamente do conjunto de dados de entrada.
Confira os detalhes aqui .
MENÇÃO HONROSA: US $ 5.000,00
WesTeam : Soluções reais da comunidade estatística para liberações de dados diferenciadas privadas e de alta qualidade pelos institutos nacionais de estatística.
Confira os detalhes aqui .
PRÊMIOS DE ESCOLHA DE PESSOAS: US $ 5.000,00
*Susana Taboas| COO – Chief Operating Officer – CryptoID. Formada em Economia pela PUC Rio, com MBA em Finanças pelo IBMEC e diversos cursos de extensão na FGV RJ, Harvard University (EUA) e INSEAD (França). Atuou em empresas como Vale do Rio Doce, NEC do Brasil, Cheminova, Nortel, Cableway Argentina, Certisign, Cast Informatica e Supportcomm. Durante sua carreira acumulou ampla experiência na definição e implementação de projetos estratégicos de médio e longo prazos nas áreas de Governança Corporativa, Recursos Humanos, Planejamento Estratégico e Financeiro, Tesouraria, Operações Financeiras Estruturadas no Brasil e no Exterior, Contabilidade, Fiscal, Logística e TI.
Leia Também
Foram comparadas 28 soluções dos melhores fornecedores de Detecção e Prevenção de Fraudes com base nas revisões, classificações e comparações de produtos