Permitindo a construção da soberania de dados por meio do poder executivo de vigilância em massa

Publicados: 2020-08-30

A soberania de dados é implantada como uma ferramenta para minar as regras obrigatórias de privacidade de dados e os princípios de autodeterminação, limitação de propósito e minimização de dados

A atual noção de soberania de dados dá origem a 'honeypots' de dados pessoais e não pessoais tentadores, o que levanta considerações de segurança

Os estatutos de privacidade devem ser enquadrados de forma a respeitar o livre fluxo de dados

Quarenta e quatro anos atrás, o relatório do comitê da Igreja revelou as más práticas da Presidência americana como eles iniciaram ou incentivaram as atividades de inteligência para realizar operações de busca doméstica. As operações foram usadas para vigiar oponentes políticos, cidadãos subversivos e vozes dissidentes – como Martin Luther King, Muhammad Ali, Norman Mailer, Howard Baker etc.

Um comitê de especialistas formado pelo Ministério da Eletrônica e Tecnologia da Informação (Meity) divulgou recentemente um relatório sobre a Estrutura de Governança de Dados Não Pessoais (NPD). O relatório sugere que o governo pode coletar e usar o NPD “para fins de segurança nacional, fins legais, etc”. A política os denomina como propósitos soberanos que incluem segurança cibernética, proteção de infraestrutura física, aplicação da lei, mapeamento de pandemia etc.

Essa linguagem ampla pode gerar preocupações em relação à vigilância estatal e potencialmente desencorajar os consumidores de compartilhar dados com o governo ou com empresas, prejudicando a inovação e o crescimento. Além disso, a cláusula 35 do Projeto de Lei de Proteção de Dados Pessoais, de 2019, concede poderes desenfreados ao governo para coletar dados sem consentimento e agora o acesso a dados não pessoais, por meio deste relatório fará os cidadãos andarem com carteiras de identidade. Essa é a forragem perfeita para aprimorar as capacidades futuras de vigilância do governo, misturando conjuntos de dados pessoais e não pessoais.

Por exemplo, as Células de Gerenciamento de Recursos de Fiscalização de Telecomunicações (Células TERM) são responsáveis ​​pela interceptação legal e monitoramento do tráfego de Internet/chamada que passa pela rede indiana de telecomunicações e provedores de serviços de Internet, especialmente para fins de segurança nacional. Isso permite que as células TERM processem grandes quantidades de NPD, como detalhes de localização, detalhes de registro de chamadas, lista completa de assinantes, registros de dados para tentativas de chamadas com falha, MSISDNs (ajuda a mapear a identidade do assinante para o número de telefone), IMEI, duração da chamada, Tipo de conexão etc

Embora esses NPD em silos possam não causar danos, uma vez agregados, podem ser usados ​​para reidentificação de um indivíduo, o que equivale a violação da autonomia, dignidade humana e privacidade de um indivíduo.

A soberania de dados é implantada como uma ferramenta para minar as regras obrigatórias de privacidade de dados e os princípios de autodeterminação, limitação de propósito e minimização de dados. Em um país democratizado, se a soberania de dados precisa ser aplicada, é vital um quadro de proteção de dados que respeite os direitos fundamentais garantidos pela Constituição.

A atual noção de soberania de dados dá origem a 'honeypots' de dados pessoais e não pessoais tentadores, o que levanta considerações de segurança. Assim, para aprimorar os princípios de soberania de dados, a Índia precisa de salvaguardas de segurança mais robustas, como criptografia robusta, ferramentas de anonimato e requisitos de auditoria independente.

Recomendado para você:

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Recursos

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do ‘Jugaad’: CEO da CitiusTech
Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Como o Metaverse transformará a indústria automobilística indiana
Recursos

Como o Metaverse transformará a indústria automobilística indiana

O que significa a provisão antilucratividade para startups indianas?
Recursos

O que significa a provisão antilucratividade para startups indianas?

Como as startups de Edtech estão ajudando a melhorar a qualificação e a preparar a força de trabalho para o futuro
Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

A armadilha da anonimização

Os estatutos de privacidade devem ser enquadrados de forma a respeitar o livre fluxo de dados. O fluxo livre alimenta a economia, otimiza o funcionamento das instituições e favorece os padrões de liberdade. Antes de promulgar outra legislação sobre privacidade, os formuladores de políticas devem equilibrar as vantagens do compartilhamento irrestrito de informações com seus riscos e, em seguida, calibrar as regulamentações existentes.

No entanto, os legisladores implementaram uma solução perfeita e perfeita – anonimização – que os absolveu da necessidade de se entregar a um ato de equilíbrio transparente. A anonimização liberou os formuladores de políticas, incentivando-os a ignorar o cálculo e o equilíbrio de valores compensatórios, como segurança, inovação e livre fluxo de informações. A ênfase excessiva e a fé na anonimização ainda prevalecem, mesmo depois que os pesquisadores provaram que a anonimização não é uma panacéia.

O relatório do comitê de especialistas também concorda com esta conclusão de que:

'Mesmo o NPD, incluindo dados anonimizados, pode fornecer insights coletivos que podem abrir caminho para danos coletivos (danos exploratórios ou discriminatórios) contra as comunidades'. O relatório também identifica nove técnicas diferentes de anonimização, como k-anonimato, l-diversidade, T-closeness, Anonimatron e técnicas de privacidade diferencial.

No entanto, nenhum deles provou ser totalmente adequado para evitar o vazamento de informações. A morte da anonimização deixará as leis do estado fora de controle, e os legisladores precisarão encontrar uma nova maneira de recuperar a ordem perdida e, assim, a soberania dos dados. O principal pilar de qualquer estatuto de proteção de dados são suas salvaguardas de segurança e, se forem ineficazes, significa que os direitos do principal dos dados estão em um buraco negro.

A soberania dos dados é o direito de propriedade dos dados atribuído a um indivíduo e as ferramentas ineficazes de anonimato invadem os direitos do principal dos dados, como direito à privacidade, liberdade de escolha, direito ao apagamento etc.

Soberania de Dados – Vinho Velho em Garrafa Nova?

O Juiz Chelameswar, em sua opinião em KS Puttaswamy v. Union of India declarou: “Constituições como a nossa são meios pelos quais indivíduos – o Preambular 'povo da Índia' – criam 'o estado', uma nova entidade para servir seus interesses e ser prestar contas a eles, e transferir uma parte de sua soberania para ele”. Os cidadãos desde tempos imemoriais concedem sua soberania ao governo em troca da salvaguarda de seus direitos e, na era digital, de seus direitos de informação.

Não é um conceito novo, no entanto, na era digital, retrata-se que a soberania de dados semelhante à localização de dados seria cara, reduziria os investimentos estrangeiros, criaria obstáculos à promoção da Índia como um novo hub para serviços da nova era e aumentaria vigilância. Essa narrativa em torno da soberania emerge do atual contexto intelectual e geopolítico em que os estados permanecem poderosos tanto no sistema político quanto na imaginação política e muitas vezes confundidos com o colonialismo de dados. No entanto, a noção de soberania deve ser vista do ângulo da teoria do contrato social não apenas como um aspecto da territorialidade isoladamente.

A noção de soberania só deve ser considerada quando todos os padrões de respeito à privacidade estiverem em vigor. O objetivo central da soberania dos dados não pode ser a datificação de nossos corpos via vigilância em massa, alterando assim a relação entre a nação e o Estado.

A notificação do RBI sobre armazenamento de dados de pagamento e regulamentos de farmácia eletrônica considera o armazenamento de registros financeiros e de saúde como dados confidenciais a serem armazenados na Índia. Essas regras agora precisam reconhecer a mudança do cenário de fluxos de dados, privacidade e desafios emergentes, estabelecendo assim novos padrões para fazer cumprir os direitos fundamentais.

[O artigo foi escrito em coautoria por Kazim Rizvi, diretor fundador, The Dialogue e Harsh Bajpai, pesquisador de doutorado e tutor em meio período da Universidade de Durham]