Este post é o segundo de uma série de posts que visa trazer alguma luz para o matagal terminológico da engenharia de privacidade. A série visa principalmente ilustrar os objetivos e funções da engenharia de privacidade e como eles podem ser implementados por meio de diferentes tecnologias. Para informar essa discussão, ela também abordará (mesmos brevemente) os fundamentos teóricos da engenharia de privacidade e privacidade. Vamos então à Parte 2: Da Teoria da Privacidade à Prática de Engenharia.
Este post é o segundo de uma série de posts que visa trazer alguma luz para o matagal terminológico da engenharia de privacidade. A série visa principalmente ilustrar os objetivos e funções da engenharia de privacidade e como eles podem ser implementados por meio de diferentes tecnologias. Para informar essa discussão, ela também abordará (mesmos brevemente) os fundamentos teóricos da engenharia de privacidade e privacidade.
Este texto é uma tradução do original que está disponível neste link.
TL;DR: esta parte discute brevemente o “porquê” da engenharia de privacidade: conformidade e confiança. Ambos os aspectos estão ligados a questões fundamentais sobre o que realmente é privacidade, já que as diferentes noções de privacidade moldam a legislação de proteção de dados e as expectativas das pessoas. Este post discute três grandes “sabores” de conceituações de privacidade e ilustra as metas de proteção para a engenharia de privacidade.
Engenharia de Privacidade – Por que se preocupar?
O último post desta série forneceu diferentes definições de “engenharia de privacidade”. Ele destacou a prevalência do paradigma privacidade por design nessas definições e postulou que diferentes teorias de privacidade levam a diferentes pontos focais na privacidade por design e engenharia de privacidade.
Mas por que a engenharia de privacidade é importante em primeiro lugar? Por que alguém se esforçaria para estabelecer um programa de engenharia de privacidade? Bem, em geral, a engenharia de privacidade atende a dois objetivos importantes:
Conformidade: Violações dos regulamentos de proteção de dados podem facilmente levar a multas drásticas. Práticas adequadas de engenharia de privacidade facilitam a conformidade com a regulamentação de proteção de dados, reduzindo assim o risco de conformidade.
Confiança: Práticas adequadas de engenharia de privacidade facilitam o desenvolvimento de produtos/serviços que atendem às necessidades e preferências de privacidade de usuários e parceiros. Isso promove a confiança de clientes e parceiros e pode estabelecer vantagens competitivas. Em contraste, a falha em proteger a privacidade pode levar a sérios danos à reputação.
Ambos os aspectos são obviamente importantes, mas é claro que é legítimo ver principalmente a engenharia de privacidade como um esforço de conformidade. No entanto, usar a engenharia de privacidade apenas como um meio de estar em conformidade deixa seu vasto potencial inexplorado. Para citar o último livro de Nishant Bhajaria, deve-se “[usar] os quadros legais existentes como o chão e a confiança do cliente como o teto […] para alcançar”. Dito isto: ainda há muitas pesquisas interessantes a serem feitas sobre preocupações com a privacidade, confiança e sua relação com o comportamento real. No entanto, fica cada vez mais claro que as boas práticas de privacidade têm um impacto positivo na confiança e nos benefícios comerciais. Você pode encontrar alguns links para uma pequena seleção de estudos populares recentes sobre o assunto no final deste post. Este é, é claro, apenas um pequeno subconjunto e também há um grande corpo de literatura científica fascinante sobre o assunto. Se você quiser saber mais, verá que o trabalho da Acquisti é um ótimo ponto de partida.
O que significa “privacidade”?
Os dois objetivos descritos acima (conformidade e confiança) não estão apenas intimamente ligados entre si, mas também com a questão do que realmente é privacidade e como alcançar a privacidade por design. Por um lado, as leis de proteção de dados não aparecem do nada, mas se baseiam (entre outros) em valores, normas e convenções pré-existentes em relação ao uso de informações sobre indivíduos. Consequentemente, as noções de privacidade ressoam nos regulamentos de proteção de dados e sua interpretação pelos tribunais e, portanto, estão indiretamente ligadas ao risco de conformidade.
Por outro lado, noções comuns de privacidade e manuseio aceitável de informações sobre indivíduos também moldam as expectativas e preferências de clientes, parceiros de negócios e reguladores. Portanto, uma sólida compreensão do que é privacidade é crucial para a construção de sistemas que não estejam apenas em conformidade com a legislação de proteção de dados aplicável, mas também atendam às necessidades e preferências de privacidade de clientes e parceiros.
Muita tinta foi derramada na tentativa de esclarecer o conceito de privacidade e uma infinidade de definições e conceituações de privacidade foi desenvolvida. No entanto, a privacidade é um conceito muito amplo que muitas vezes parece escapar de uma definição clara e a confusão quase babilônica sobre seu significado e seu papel o torna longe de ser fácil “[articular] o que é privacidade e por que ela é importante” (Solove, 2002, p. 1090). Somando-se à confusão, diferentes sociedades desenvolveram diferentes noções de privacidade e essas noções também mudam ao longo do tempo.
Não vou me aprofundar na discussão das várias teorias da privacidade neste post. Em vez disso, o seguinte se restringirá a três grandes “sabores” de conceituações de privacidade para informar a discussão sobre a prática de engenharia de privacidade com uma base teórica sólida. Este post omitirá quaisquer discussões sobre as diferenças entre privacidade e proteção de dados, bem como as várias variantes do direito à privacidade. Você pode encontrar dicas de literatura sobre esses tópicos altamente interessantes no final deste post.
Neste post, vou me concentrar nessas três principais noções de privacidade:
- Privacidade como confidencialidade
- Privacidade como controle
- Integridade contextual
Nota: Eu definitivamente não sou o primeiro a criar essa classificação. Eu me baseio, entre outros, em Seda Gürses, que forneceu uma visão geral muito semelhante já em 2014.
Grosso modo, o paradigma “privacidade como confidencialidade” se concentra na divulgação de fatos privados e postula que qualquer divulgação indesejada de informações pessoais, atributos físicos ou emocionais, etc., constitui uma perda de privacidade. Nessa perspectiva, um sistema de preservação da privacidade precisará ser projetado de modo que processe o mínimo possível de dados sobre indivíduos, de preferência abstendo-se de qualquer divulgação de informações pessoais.
O paradigma da “privacidade como controle” é, em essência, equivalente à noção de privacidade como autodeterminação informacional. Dentro desse quadro, a privacidade não é uma situação em preto ou branco em relação à divulgação de dados pessoais, mas uma questão de saber se o indivíduo é capaz de exercer controle sobre a divulgação e o uso de seus dados pessoais, mesmo após a divulgação. Nessa perspectiva, um sistema de preservação da privacidade precisará oferecer aos indivíduos medidas de longo alcance para exercer controle sobre a coleta, uso e disseminação de informações relacionadas a eles. Isso também exigirá transparência em relação ao processamento para permitir que os indivíduos realmente exerçam controle.
Finalmente, o paradigma da “integridade contextual” se concentra nas normas sociais e nos diferentes contextos dinâmicos nos quais os fluxos de informações pessoais estão incorporados. Dentro dessa estrutura, uma violação de privacidade ocorre quando os dados pessoais são divulgados ou usados de uma maneira que está em desacordo com as normas sociais (negociadas) que se aplicam a esse contexto. Nessa perspectiva, um sistema de preservação da privacidade precisará ser capaz de considerar o contexto em que processa informações pessoais. Ele também terá que ser capaz de aplicar políticas específicas correspondentes a um determinado contexto. A integridade contextual é apresentada no livro de Helen Nissenbaum “Privacidade em Contexto”, que vale a pena ser lido. No entanto, embora seja um conceito altamente interessante, vou me concentrar na privacidade como controle e privacidade como confidencialidade, pois elas têm um impacto muito maior na prática de engenharia de privacidade.
Ambas as noções (confidencialidade e controle) são difundidas em muitas sociedades ao redor do mundo e fatores altamente importantes em relação às expectativas das pessoas em relação ao design de preservação da privacidade. No que diz respeito à conformidade, a noção de privacidade como controle ou autodeterminação informacional é particularmente relevante, pois se reflete em muitas leis de proteção de dados em todo o mundo, principalmente no RGPD. Ainda assim, a noção de privacidade como confidencialidade também ressoa fortemente na legislação atual de proteção de dados, por exemplo, nos princípios de “minimização de dados” e “integridade e confidencialidade”, conforme definido no Art. 5º do RGPD.
Além disso, o RGPD também reflete fortemente o paradigma de privacidade por design sugerido na Parte 1 desta série. Mais precisamente, o RGPD consagra esse paradigma na lei como o princípio da “proteção de dados por design e padrão” (DPbDD) em seu Artigo 25.
Da Teoria e Direito ao Design e Tecnologia
O termo “privacidade por design” foi originalmente usado para descrever um conceito amplo destinado a “garantir a privacidade e obter controle pessoal sobre as informações e, para as organizações, obter uma vantagem competitiva sustentável”, conforme inicialmente descrito por Ann Cavoukian, então Comissária de Privacidade de Ontário. Para atingir esses objetivos, Cavoukian postulou sete princípios, por exemplo, “Privacidade incorporada ao design”, “Segurança de ponta a ponta” ou “Funcionalidade completa – soma positiva, não soma zero”.
Embora o paradigma de privacidade por design seja bastante antigo, ele ganhou importância renovada com a obrigação de “privacy by design” e “privacy by default” do RGPD. De um modo geral e citando a ICO “isso significa que [é preciso] integrar ou ‘juntar’’a proteção de dados nas atividades de tratamento e práticas comerciais, desde o estágio de projeto até o ciclo de vida”.
Conforme descrito na Parte 1, essa entrada de privacidade e proteção de dados em sistemas e engenharia de software está no centro da engenharia de privacidade. Além de tópicos organizacionais e de processo (ex. Avaliações de Impacto na Proteção de Dados ou a seleção e implementação de medidas organizacionais), isso envolve, entre outros, a definição de arquiteturas de preservação da privacidade e a implementação de novas tecnologias de preservação da privacidade (PPTs) existentes ou desenvolvidas.
No entanto, como discutido acima, as noções comuns de privacidade e os regulamentos de proteção de dados resultantes raramente fornecem requisitos que podem ser traduzidos em requisitos técnicos de maneira direta. Os chamados “objetivos de proteção” para engenharia de privacidade podem ser usados para apoiar análises de impacto na proteção de dados (DPIAs) e a definição de requisitos relacionados à privacidade. Embora existam várias abordagens para conceituar as metas de proteção de engenharia de privacidade, vou me concentrar nas metas de proteção amplamente utilizadas do “Modelo Padrão de Proteção de Dados” (SDM), que podem ser facilmente mapeadas para os princípios e obrigações estabelecidos no GDPR.
Além da clássica tríade de confidencialidade, integridade e disponibilidade da CID comumente usada na engenharia de segurança, os objetivos de proteção para a engenharia de privacidade, conforme definido no SDM, incluem ainda desvinculação, transparência, intervenibilidade e minimização de dados:
| Confidencialidade | “a exigência de que nenhuma pessoa não autorizada possa acessar ou usar dados pessoais” |
| Integridade | “por um lado […], a exigência de que os processos e sistemas de tecnologia da informação cumpram continuamente as especificações definidas para que eles desempenhem as funções pretendidas […]. Por outro lado, […] a propriedade de que os dados a serem processados permaneçam intactos […], completos, corretos e atualizados” |
| Disponibilidade | “a exigência de que o acesso aos dados pessoais e seu processamento seja possível sem demora e que os dados possam ser usados corretamente no processo pretendido” |
| Desvinculabilidade | “o requisito de que os dados pessoais não sejam mesclados, ou seja, vinculados”; intimamente relacionado ao princípio da limitação de finalidade |
| Transparência | “a exigência de que tanto os titulares dos dados […] quanto os operadores do sistema […] e os órgãos de supervisão competentes […] sejam capazes de identificar em diferentes graus quais dados são coletados e processados quando e para que finalidade em uma atividade de processamento, quais sistemas e processos são usados para determinar onde os dados são usados e para que finalidade, e quem tem responsabilidade legal pelos dados e sistemas nas várias fases do processamento de dados” |
| Interveniência | “a exigência de que os direitos dos titulares dos dados à notificação, informação, retificação […], apagamento […], restrição […], portabilidade de dados […], objeção e obtenção da intervenção em decisões individuais automatizadas […] sejam concedidos sem demora injustificada e efetivamente se os requisitos legais existirem […] e o controlador de dados for obrigado a implementar as medidas correspondentes” |
| Minimização de Dados | “requisito fundamental sob a lei de proteção de dados para limitar o processamento de dados pessoais ao que é apropriado, substancial e necessário para a finalidade” |
Conforme descrito abaixo e discutido em mais detalhes por Hansen et al., não é possível cumprir completamente essas metas de proteção simultaneamente, pois elas são conflitantes em pares. Portanto, compensações são necessárias.
Esses compromissos também determinarão a seleção ou o desenvolvimento de medidas técnicas (i.e. Tecnologias de Preservação de Privacidade (PPTs)) para atender às metas de proteção. Embora a legislação de proteção de dados e a jurisprudência definam certas obrigações e limites que devem ser considerados e cumpridos, há amplo espaço para diferentes abordagens e pontos focais quando se trata de abordar os objetivos de proteção por meio de PPTs. As Tecnologias de Preservação da Privacidade variam de medidas clássicas de segurança, como criptografia de dados em repouso, até Tecnologias de Melhoria da Transparência (TETs), como Painéis, até métodos para alcançar privacidade diferencial. A seleção ou desenvolvimento de PPTs específicos não só tem implicações na conformidade e na confiança, mas também pode facilitar novos modelos de negócios, por exemplo, com base no pool de dados que preservam a privacidade.
A Parte 3 desta série discutirá as diferentes classes de PPTs, ilustrará quais objetivos de proteção eles abordam e quais implicações na confiança e nas oportunidades de negócios eles podem ter.
Deixe abaixo seus comentários sobre a Parte 2: Da Teoria da Privacidade à Prática de Engenharia!
