Nuove leggi sulla privacy come il Regolamento generale sulla protezione dei dati (GDPR) in Europa e il California Consumer Privacy Act (CCPA) hanno generato una nuova industria di aziende e piattaforme che pubblicizzano che possono rendere anonimi i tuoi dati ed essere conformi alla legge.

Ma il ricercatore del MIT Aloni Cohen afferma di avere i suoi dubbi su queste affermazioni, e l'ultimo lavoro del suo team mostra che c'è motivo di essere scettici.

Nello specifico, un nuovo articolo di giornale di Cohen e del professor Kobbi Nissim sostiene che una tecnica di anonimato chiamata k-anonimato, utilizzata da molte aziende che fanno tali affermazioni, non impedisce a un utente di essere individuato e de-anonimato guardando la piattaforma più ampia dati. I ricercatori studiano un nuovo tipo di attacco che chiamano "individuazione del predicato, " modellato su un tipo di violazione della privacy GDPR chiamata individuazione.

"Penso che sia ragionevole dire che molte delle affermazioni fatte da queste società di "anonimato come servizio" sono sospette, "dice Cohen, il cui articolo con Nissim è stato pubblicato online oggi in PNAS . "Questo documento è un passo per testarlo e mostrare i buchi nel loro approccio".

Il team ha sostenuto che le aziende che utilizzano il k-anonimato per rendere anonimi i dati potrebbero invece utilizzare una privacy differenziale, una tecnica più recente che implica una randomizzazione controllata con precisione per mascherare la presenza o l'assenza di un particolare individuo in un set di dati. I ricercatori mostrano che la privacy differenziale impedisce l'individuazione di attacchi predisposti.

La privacy differenziale sta vedendo una crescente adozione in contesti in cui gli approcci più tradizionali all'anonimizzazione sono considerati inadeguati. L'Ufficio del censimento degli Stati Uniti utilizza la privacy differenziale per garantire la riservatezza per il censimento del 2020. L'adozione del GDPR ha anche spinto Facebook a utilizzare la privacy differenziale per aiutare gli scienziati sociali a studiare la disinformazione online.

"Mentre mostriamo una privacy differenziata previene gli attacchi di individuazione dei predicati, non è necessariamente l'anonimizzazione a tutti gli effetti ai sensi della legge, " dice Cohen. " D'altra parte questo lavoro mostra che, Come regola generale, dovresti essere scettico nei confronti di qualsiasi azienda che ti dice che il loro uso di k-anonimato ti dà "conformità al GDPR".

Il documento rappresenta anche un nuovo interessante esempio di come la matematica e il codice informatico possono essere utilizzati per determinare in modo quantificabile se le aziende stanno effettivamente seguendo la legge.

"Riteniamo che dimostrare che qualcosa è protetto da PSO non sia solo un concetto matematico, ma uno che può essere utilizzato per supportare una conclusione legale, e ciò dovrebbe effettivamente avere conseguenze legali, "dice Cohen.