Para advogados de privacidade de dados, a anonimização de dados geralmente é boa demais para ser verdade
- Criado em 21/03/2022 Por Caroline Francescato
Padrões variados e novas tecnologias que facilitam a re-identificação de dados estão pressionando as empresas a “levar a sério” seus esforços de anonimização de dados.
Por Isha Marathe
Enquanto os advogados perseguem a colcha de retalhos das leis de privacidade nos EUA – e no mundo em geral – as empresas estão encontrando maneiras diferentes de separar a identidade do consumidor de seus dados para que possam ser vendidos de maneira ética e lucrativa. Como resultado, termos como “anonimização”, “desidentificação” e “psidonimização” estão se tornando comuns mesmo fora do âmbito jurídico.
No entanto, os advogados de privacidade de dados alertam que há uma séria falta de entendimento sobre o que a linguagem realmente envolve e como os processos não são tão seguros quanto consumidores e departamentos jurídicos podem pensar, tornando-os vulneráveis a litígios e perda de confiança do consumidor.
Charlyn Ho, advogada de tecnologia e privacidade da Perkins Coie, enfatizou que, mesmo que uma empresa se esforce para tornar os dados anônimos, as chances de isso acontecer são pequenas.
“Em primeiro lugar, acho que há um mal-entendido sobre como é fácil para os computadores e as novas tecnologias fazerem muitas correlações com a identidade, mesmo que os dados não sejam brutos”, disse Ho. “E dois, há o que as pessoas acham que deveria estar acontecendo; e três, há o lado técnico das coisas, que é realmente difícil tornar os dados anônimos ao ponto do padrão da lei.”
Ho acrescentou que muitas empresas, devido ao seu pequeno tamanho ou recursos limitados, não conseguem obter o nível de tecnologia necessário para tornar os dados verdadeiramente anônimos. Outros, ela disse, simplesmente não são tão tecnologicamente investidos.
É claro que, à medida que as empresas se expandem de um estado para outro e ficam sob a alçada das leis de privacidade da Califórnia ao Colorado e à Virgínia, cada uma um pouco distinta da outra, seus critérios de anonimização de dados também mudam. Por exemplo, cada estado tem limites para diferentes “identificadores”, como idade, sexo, CEP e assim por diante.
Talvez os mais altos padrões de anonimização estejam no exterior, sob o Regulamento Geral de Proteção de Dados “principalmente porque existem há mais tempo”, disse Ho.
A questão permanece: como as empresas podem acomodar esses requisitos de mudança?
O diretor de análise forense digital da Edelson, Shawn Davis, acha que uma grande maneira de as empresas se manterem atualizadas é realizar avaliações regulares de risco nos dados do consumidor.
“Você deve sempre executar avaliações de risco para descobrir qual é a probabilidade de os dados serem reidentificados e, em seguida, tentar entender as diferenças em termos de quais são seus riscos e onde”, disse Davis. “As empresas precisam ter certeza de que são transparentes sobre isso, sobre quais informações estão realmente sendo coletadas e compartilhadas.”
Muitas vezes, o departamento jurídico e de TI têm falhas na comunicação, então os advogados podem não saber o que ou como a ferramenta de anonimização está realmente sendo implementada em sua organização. Davis enfatizou que todo advogado precisa se informar sobre as políticas de sua empresa.
Além disso, Ted Claypoole, sócio da Womble Bond Dickinson, observou que o melhor curso de ação das empresas é “levar a sério” seus esforços de anonimização.
“Se você está anonimizando dados e está fazendo algo com eles, certifique-se de informar isso aos reguladores. Certifique-se de que não possa ser convertido facilmente”, disse Claypoole. “Apenas saiba que mesmo dados anônimos, se eu tiver identificadores suficientes, posso transformá-los e combiná-los em um banco de dados.”