La inclusión de ciertas cláusulas relacionadas con conjuntos de datos no personales en el Proyecto de Ley de Protección de Datos Personales (PDP) conlleva un riesgo muy alto de reidentificación y puede generar complicaciones legales para las partes interesadas, dijeron expertos en políticas públicas y altos ejecutivos de la industria.
“Los conjuntos de datos de alto valor que se han creado utilizando datos personales anonimizándolos continúan conllevando riesgos. Existe un peligro muy claro de reidentificación y ese es un peligro que sigue agravándose. No es exagerado afirmar que no hay un conjunto de datos anonimizados que estén permanentemente anonimizados ”, dijo un alto ejecutivo de la industria, que no quiso ser identificado.
Por ejemplo, la Sección 91 de la última versión del proyecto de ley PDP, que otorga al gobierno central poderes para dirigir a los fiduciarios y procesadores de datos para otorgar acceso a todos los datos anónimos o no personales, corre un alto riesgo de reidentificación.
A medida que la tecnología, incluidos los algoritmos matemáticos, evolucione y mejore, la ciencia de reidentificación también mejorará, lo que aumentará el riesgo de anonimización del conjunto de datos, dijeron los expertos.
“Los datos anonimizados a menudo se vuelven a identificar fácilmente y causan daños importantes a la privacidad. Establecer estándares para la anonimización y brindar más claridad sobre cómo las diversas partes interesadas tendrán que recopilar y almacenar datos para evitar el arbitraje regulatorio ayudará ”, dijo Kazim Rizvi, fundador del grupo de políticas públicas The Dialogue.
Aparte de los problemas relacionados con la reidentificación de conjuntos de datos anonimizados, otro problema que puede surgir con el tiempo es que cada vez que las empresas y otras partes interesadas publican un nuevo conjunto de datos, puede superponerse con conjuntos de datos previamente disponibles, que luego se convierten en se convierte en un punto de dolor para la privacidad.
A medida que ocurra tal reidentificación, las empresas serán consideradas responsables según el próximo proyecto de ley de protección de datos, lo que las meterá en problemas por poca o ninguna culpa suya. La falta de una definición clara de lo que constituyen datos no personales es otra preocupación, dijeron los expertos.
“El último borrador que vimos en 2019 realmente no nos dio ningún detalle sobre qué tipo de datos no personales, el proceso que tendrá que seguir el gobierno, si tendrá que haber una compensación, cómo funcionarán el consentimiento y la anonimización. Ninguna de esas cosas se resuelve. Creo que en gran medida deja el marco de cómo sucederá eso en una legislación subsidiaria ”, dijo Udbhav Tiwari, asesor de políticas públicas de Mozilla, a indianexpress.com durante una llamada.
Los riesgos y obligaciones que acompañan a la transferencia de datos personales y la solicitud del gobierno de conjuntos de datos no personales afectarán negativamente tanto a las empresas como a las personas, dijo otro alto ejecutivo de políticas públicas. Uno de los mejores ejemplos de reidentificación, dijo Tiwari, fueron las empresas que utilizan el historial de navegación para identificar y predecir el comportamiento de usuarios individuales en Internet.
“Se ha realizado una muy buena investigación técnica que dice que se pueden usar entre 60 y 100 elementos del historial de navegación de un usuario para identificarlos de manera única en Internet. No necesito saber su nombre, su ID de correo electrónico o cualquier otro identificador único. A pesar de eso, podría decirse que puedo identificarte en Internet solo sobre la base de tu historial de navegación ”, dijo.
Los expertos han dicho que estas lagunas en el proyecto de ley probablemente darán lugar a problemas mayores en el futuro y han enfatizado que el aspecto de los datos no personales debe mantenerse fuera del proyecto de ley de PDP final. Aunque el comité gubernamental de expertos en el marco de gobernanza de datos no personales también recomendó lo mismo en su informe de diciembre de 2020, no hay garantía de si no se incluiría en el proyecto de ley.
“Si bien el comité reconoce que la anonimización se puede revertir, brinda muy poca información sobre la forma en que se regirá en los diferentes sectores. Este borrador presenta una oportunidad para recomendar, si no prescribir, que debe haber un estándar mínimo para la técnica de anonimización y la necesidad de un mecanismo de gobernanza para conjuntos de datos anonimizados ”, dijo Rizvi.