Las nuevas leyes de privacidad como el Reglamento General de Protección de Datos (GDPR) de Europa y la Ley de Privacidad del Consumidor de California (CCPA) han generado una nueva industria de empresas y plataformas que anuncian que pueden anonimizar sus datos y cumplir con la ley.

Pero el investigador del MIT Aloni Cohen dice que tiene sus dudas sobre estas afirmaciones, y el último trabajo de su equipo muestra que hay motivos para ser escéptico.

Específicamente, un nuevo artículo de revista de Cohen y el profesor Kobbi Nissim argumenta que una técnica de anonimato llamada k-anonimato, que es utilizada por muchas empresas que hacen tales afirmaciones, no evita que un usuario sea señalado y anonimizado al observar la plataforma más amplia datos. Los investigadores estudian un nuevo tipo de ataque que llaman "predicado singular, "modelado a partir de un tipo de violación de la privacidad del RGPD llamado singularización.

"Creo que es razonable decir que muchas de las afirmaciones hechas por estas empresas de 'anonimato como servicio' son sospechosas, "dice Cohen, cuyo artículo con Nissim se publicó hoy en línea en PNAS . "Este documento es un paso para probar eso y mostrar los agujeros en su enfoque".

El equipo argumentó que las empresas que utilizan el k-anonimato para anonimizar los datos podrían, en cambio, emplear la privacidad diferencial, una técnica más nueva que implica una aleatorización controlada con precisión para enmascarar la presencia o ausencia de un individuo en particular en un conjunto de datos. Los investigadores muestran que la privacidad diferencial evita los ataques de singularización predicada.

La privacidad diferencial está experimentando una creciente adopción en entornos donde los enfoques más tradicionales de anonimización se consideran inadecuados. La Oficina del Censo de EE. UU. Utiliza la privacidad diferencial para brindar confidencialidad al censo de 2020. La adopción de GDPR también estimuló a Facebook a utilizar la privacidad diferencial para ayudar a los científicos sociales a estudiar la desinformación en línea.

"Si bien mostramos una privacidad diferencial que evita los ataques de singularización predicada, no es necesariamente un anonimato en toda regla según la ley, "dice Cohen." Por otro lado, este trabajo muestra que, como regla general, debe ser escéptico ante cualquier empresa que le diga que su uso del k-anonimato le otorga "cumplimiento con el RGPD".

El documento también representa un nuevo e interesante ejemplo de cómo se pueden utilizar las matemáticas y el código informático para determinar cuantificablemente si las empresas están cumpliendo realmente la ley.

"Creemos que demostrar que algo es seguro para PSO no es solo un concepto matemático, pero uno que se puede utilizar para respaldar una conclusión legal, y eso debería tener consecuencias legales, "dice Cohen.