Parte 3: Tecnologias de Preservação da Privacidade

Este post é o terceiro e último de uma série de posts que visa trazer alguma luz para o matagal terminológico da engenharia de privacidade. A série visa principalmente ilustrar os objetivos e funções da engenharia de privacidade e como eles podem ser implementados por meio de diferentes tecnologias. Para informar essa discussão, ela também abordará (mesmos brevemente) os fundamentos teóricos da engenharia de privacidade e privacidade. Vamos então à Parte 3: Tecnologias de Preservação da Privacidade.

Este texto é uma tradução do original que está disponível neste link.

TL;DR: As partes anteriores desta série discutiram conceitos abstratos de privacidade e engenharia de privacidade. Esta parte analisa os blocos de construção tecnológicos que podem ser usados para construir sistemas amigáveis à privacidade. Em particular, ele fornece uma visão geral de alto nível das tecnologias de preservação da privacidade que estão disponíveis para integração nos sistemas atualmente.

Em contraste com as duas primeiras partes, eu não escrevi este post sozinho. Em vez disso, o colega entusiasta da privacidade Shalabh Jain e eu nos unimos para escrever em conjunto esta parte final da série.

A primeira parte desta série forneceu uma visão geral sobre diferentes definições de engenharia de privacidade. A Parte 2 discutiu os objetivos da engenharia de privacidade, diferentes noções de privacidade e como as definições de privacidade e as obrigações de proteção de dados podem ser traduzidas em metas de proteção de engenharia de privacidade.

Mas o que fazer com todas essas informações bastante abstratas quando você realmente quer construir um produto ou serviço? Tentamos elaborar algumas ferramentas disponíveis aqui. Para não criar falsas expectativas: este post certamente não pode fornecer uma visão geral completa de como construir um sistema de preservação da privacidade. O que ele fornecerá, no entanto, é um vislumbre do fascinante mundo da tecnologia de privacidade. Em particular, discutirá as chamadas “tecnologias de preservação da privacidade” (PPTs).

Nota: para mais breve, usaremos “sistema” para nos referir a produtos e serviços. Além disso, para este post, subsumimos implicitamente a proteção de dados sob o termo abrangente “privacidade” para brevidade e não distinguimos entre os dois conceitos, a menos que seja necessário.

Construindo sistemas de preservação da privacidade

Antes de entrar no “como” de construir sistemas de preservação da privacidade, vamos nos lembrar rapidamente do “porquê”. Por que se deve seguir em termos de construção de sistemas de preservação da privacidade? A última parte desta série ilustrou que a engenharia de privacidade visa dois objetivos. Um dos objetivos é, é claro, o cumprimento da legislação de proteção de dados e a redução de riscos. No entanto, a construção de um sistema que esteja em conformidade com a legislação de proteção de dados deve, embora certamente necessário, não ser o único objetivo das atividades de engenharia de privacidade. Na verdade, isso seria um pouco como obter uma associação à academia, mas só ir à academia uma vez por mês para obter um desconto no seguro de saúde. Claro, você receberá seu desconto, mas ainda perderá a maioria dos benefícios da sua assinatura.

Conforme discutido no último post, todo o potencial da engenharia de privacidade só será liberado quando se destinar a construir sistemas confiáveis tanto, se não mais, quanto a construir sistemas que sejam “apenas” compatíveis. Dito isto, vamos dar uma olhada em como construir sistemas confiáveis e de preservação da privacidade.

A Parte 2 ilustrou que construir sistemas de preservação da privacidade significa, entre outros (!), construí-los de modo que pelo menos os objetivos de proteção relevantes sejam cumpridos. O cumprimento desses objetivos requer processos de desenvolvimento adequados, por um lado, e os blocos de construção tecnológicos certos, por outro. Conforme descrito no último post, o paradigma de privacidade por design (e a obrigação de privacy by design e by default do Art. 25 do RGPD, veja também a Parte 2) exige que os aspectos de privacidade sejam considerados durante todo o ciclo de desenvolvimento. Para citar novamente a ICO, “[é preciso] integrar ou ‘colocar’ a proteção de dados nas atividades de processamento e práticas comerciais [de alguém], desde o estágio de projeto até o ciclo de vida”.

Atuar em privacidade obviamente significará coisas diferentes em diferentes pontos do ciclo de vida do desenvolvimento. Por exemplo, nos primeiros passos do ciclo de desenvolvimento, isso pode estar relacionado a considerações fundamentais sobre estratégias de coleta de dados e o conceito geral do sistema. Estes podem, por exemplo, dizer respeito a decisões sobre quais dados coletar em primeiro lugar ou a decisão entre o processamento local nos dispositivos do usuário e o processamento centralizado de dados. Em etapas posteriores, você pode querer usar padrões específicos de design de privacidade para criar privacidade ou implementar medidas técnicas específicas*.

Consequentemente, a engenharia de privacidade compreende atividades tão variadas quanto avaliações de impacto de privacidade ou proteção de dados, seleção de medidas técnicas e organizacionais, implementação dessas medidas, documentação, mais documentação e muito mais algumas. Uma vez que o sistema esteja em operação, os dados precisam ser classificados e inventariados, as solicitações do titular dos dados precisam ser respondidas, o sistema e seu ambiente, incluindo o cenário de ameaças, precisam ser monitorados, etc. Obviamente, uma postagem de blog está longe de ser suficiente para tocar em todos esses pontos, mesmo superficialmente. Portanto, nos concentraremos em medidas técnicas em geral e em tecnologias de preservação da privacidade em particular.

  • Nota: Algumas tecnologias de preservação da privacidade que você pode optar por implementar também podem “definir implicitamente um padrão de design de privacidade correspondente” (J.-H. Hoepman). Não discutiremos estratégias e padrões de design de privacidade aqui, pois há muita literatura sobre o assunto, por exemplo, por Colesky et al., Romanosky et al. e muitos outros.

Tecnologias de Preservação da Privacidade

Então, o que exatamente são tecnologias que preservam a privacidade (e que melhoram a privacidade)? Em poucas palavras, as tecnologias de preservação da privacidade (PPTs) são blocos de construção que visam cumprir as metas de engenharia de privacidade ou proteção de dados, como as metas de proteção descritas na Parte 2.

Infelizmente, há uma grande variedade de definições e taxonomias diferentes de PPTs e as discussões sobre terminologia e definições fundamentais descritas nas duas primeiras partes desta série não param nos PPTs. Se você estiver menos interessado nessas discussões, talvez queira pular o próximo parágrafo.

Pode-se facilmente mergulhar em longas discussões sobre se deve usar o termo “tecnologias que melhoram a privacidade” (PETs) ou melhor, falar de “tecnologias de preservação da privacidade” (PPTs). Vamos nos abster de mergulhar profundamente nesta discussão, mas para lhe dar uma breve visão geral: alguns criticam o termo “tecnologias que melhoram a privacidade” em dois níveis. Em um nível mais filosófico, o termo PET é criticado por implicar que seria a critério de um controlador de dados aumentar (ou não) o nível de privacidade que um determinado sistema fornece em comparação com um nível anteriormente mais baixo. Isso, por sua vez, implicaria que a privacidade é algo que poderia ser “concedido” a um titular dos dados, em vez de algo a que ele ou ela tem direito em primeiro lugar. Isso seria particularmente problemático, já que o termo PETs é entendido por alguns como se referindo principalmente a tecnologias implantadas pelo usuário, como bloqueadores de cookies. No entanto, não é responsabilidade do titular dos dados empregar tecnologia (muitas vezes difícil de usar) para preservar sua privacidade em um ato de “autodefesa digital”. Em um nível focado na engenharia, os críticos do termo tecnologias que melhoram a privacidade argumentam que o termo implicaria que a compatibilidade com a privacidade poderia ser alcançada adicionando um PET a um sistema que, de outra forma, seria invasivo de privacidade, para melhorar a privacidade. Isso, é claro, então o argumento, estaria em forte contraste com a abordagem de privacidade por design e raramente levaria a um sistema amigável e compatível com a privacidade.

Dito isto, vamos dar uma olhada mais de perto no que são PPTs e quais tipos deles existem. Por uma questão de simplicidade e para poder usar a terminologia existente, usaremos uma taxonomia genérica. Assim, as tecnologias de preservação da privacidade (PPTs) abrangem as subclasses “tecnologias que melhoram a privacidade” (PETs) e “tecnologias que melhoram a transparência” (TETs). O primeiro visa principalmente os objetivos de proteção de minimização de dados, confidencialidade e desvinculação. Em contraste, o foco deste último está na transparência e interveniência.

Existem, é claro, muitas outras maneiras de categorizar PETs, PPTs e TETs. Por exemplo, os PETs também podem ser subdivididos em PETs macios e duros. Além disso, os TETs às vezes são considerados uma subclasse de PETs em vez de uma classe de direitos próprios no mesmo nível que os PETs. Além disso, alguns não fazem distinção entre tecnologias de preservação e melhoria da privacidade. Finalmente, nossas categorias e subcategorias também podem ser subdivididas e nem sempre são completamente disjuntas. No entanto, essa taxonomia aproximada será suficiente para uma discussão geral. Você pode encontrar outras taxonomias, parcialmente mais refinadas, nos artigos vinculados ao final deste post.

Tecnologias que Melhoram a Privacidade – PETs

Com base na definição de Heurix et al., as Tecnologias de Melhoria da Privacidade pertencem a uma classe de medidas técnicas que visam preservar a privacidade de indivíduos ou grupos de indivíduos. O foco principal dos PETs está na minimização de dados, que é alcançada principalmente através dos objetivos de proteção de “confidencialidade” e “desvinculabilidade”. Alguns deles também atingem os objetivos de “indistinguibilidade”, “não observabilidade” ou “negabilidade”, que não fazem parte dos objetivos de proteção considerados no SDM, mas podem ser considerados aspectos da minimização de dados (ver Pfitzmann & Hansen).

Intuitivamente, qualquer medida técnica para garantir a confidencialidade dos dados pessoais ou remover a ligação com dados pessoais pode ser classificada como PET para uma determinada classe de sistemas. Alguns exemplos de PETs que são comuns no uso diário são criptografia de e-mail, protocolo Signal, roteamento Tor e credenciais baseadas em atributos (por exemplo, Idemix, IRMA). Embora estes sejam bons exemplos de ferramentas que encontram mais aplicações na construção de sistemas confiáveis em vez de sistemas compatíveis, eles são específicos da aplicação. Tradicionalmente, o termo PET é usado no contexto de tecnologias que permitem privacidade para computação de uso mais geral.

De um modo geral, os PETs neste contexto atingem os objetivos de privacidade por três mecanismos distintos, a saber:

  • Isolar o cálculo/processamento usando hardware especializado ou primitivas criptográficas que fornecem tais garantias, por exemplo, ambientes de execução confiáveis, computação segura de várias partes ou criptografia homomórfica.
  • Executando computação/processamento para modificar os próprios dados para reduzir o vazamento de informações, por exemplo, privacidade diferencial ou k-anonimato.
  • Realizar computação/processamento em entradas que são estatisticamente semelhantes ou derivadas das entradas verdadeiras, mas não vazam informações sobre os valores verdadeiros dos dados de entrada, por exemplo, geração de dados sintéticos ou aprendizado federado.

Discutiremos alguns dos PETs comumente usados a seguir.

Privacidade Diferencial – Mecanismos para alcançar a chamada privacidade diferencial são ótimos exemplos de PETs. A privacidade diferencial em si não é uma tecnologia, mas uma definição de privacidade, ou seja, uma “definição robusta, significativa e matematicamente rigorosa” (Dwork & Roth, 2014). Vamos pular a matemática aqui e ir direto para a essência da definição: a privacidade diferencial garante que a ausência ou presença dos dados de um determinado indivíduo em um conjunto de dados não altere significativamente o resultado de uma análise do conjunto de dados. Em outras palavras, “a privacidade diferencial promete proteger os indivíduos de qualquer dano adicional que possam enfrentar devido aos seus dados estarem no banco de dados privado x que eles não teriam enfrentado se seus dados não tivessem feito parte do x” (Dwork & Roth, 2014). A privacidade diferencial pode ser alcançada adicionando ruído aleatório cuidadosamente adaptado aos resultados da análise. É amplamente utilizado para evitar o vazamento de dados pessoais de estatísticas agregadas, por exemplo, pelo US Census Bureau, pela Apple para sugestões de emoji ou pela Microsoft para análise de telemetria.

Ambientes de execução confiáveis (TEEs) – Os TEEs visam a confidencialidade do código e dos dados, onde alguns também fornecem proteção à integridade. Existem várias abordagens para TEEs, sendo os TEEs baseados em processos e baseados em VM os mais comuns. Não discutiremos isso em detalhes, mas manteremos uma visão geral. Se você quiser obter insights mais detalhados sobre os diferentes tipos de TEEs, você pode achar esta boa visão geral da Redhat útil. De um modo geral, os TEEs dependem dos principais recursos do processador para garantir confidencialidade e integridade. Normalmente, isso significa que chaves privadas imutáveis queimadas em processadores durante a fabricação são usadas como raiz de confiança de hardware. Exemplos de TEEs incluem Intel SGX, ARM TrustZone ou AMD SEV. Ambientes de execução confiáveis são usados para permitir computação confiável em ambientes não confiáveis usando criptografia de memória, onde apenas chamadas de dentro do ambiente seguro podem levar à descriptografia em tempo real dentro do processador. Dessa forma, o código e os dados dentro do TEE são protegidos mesmo contra o sistema host. Nesta apresentação no Microsoft Build, nosso colega Stefan Gehrer ilustra como os TEEs podem ser usados para aumentar a segurança dos dados pessoais no aprendizado de máquina.

Criptografia Homomórfica – Em contraste com os TEEs, PPCTs baseados em software, como criptografia homomórfica (HE) ou computação multipartidária segura (MPC), não dependem de raízes de confiança baseadas em hardware, mas na dureza dos problemas matemáticos em que se baseiam. A criptografia homomórfica “permite que o cálculo seja realizado diretamente em dados criptografados sem a necessidade de acesso a uma chave secreta” (Consórcio de Padronização de Criptografia Homomórfica). Embora o HE ainda seja muito caro computacionalmente para muitos casos de uso, ele está sendo usado ativamente, por exemplo, no navegador Edge da Microsoft para verificar senhas violadas.

Computação multipartidária segura (MPC) – A MPC visa “[permitir] que um grupo de proprietários de dados independentes que não confiam uns nos outros ou em qualquer terceiro comum calcule em conjunto uma função que depende de todas as suas entradas privadas” (Evans et al.). Um caso de uso muito comum para MPC é a chamada interseção de conjuntos privados (PSI), onde várias partes, cada uma com um conjunto de itens de dados, querem aprender a interseção de seus conjuntos sem divulgar nenhum elemento fora da interseção de conjuntos. Não vamos entrar mais em detalhes aqui, mas encaminhar o leitor para a literatura vinculada no final deste post para obter mais informações. A “introdução pragmática ao MPC” de Evans et al. é um ótimo ponto de partida para se familiarizar com o tema. Se você quiser ter mais prática, você pode conferir a pilha MPC nativa da nuvem Carbyne Stack (site, github) desenvolvida no projeto Bosch Research SPECS.

Tecnologias que Melhoram a Transparência – TETs

Como o nome sugere, os TETs visam as metas de proteção à privacidade “transparência” e, até certo ponto, “interveniez”. Eles podem ser definidos como “ferramentas que podem fornecer ao indivíduo em questão visibilidade clara de aspectos relevantes para [seus dados pessoais] e a privacidade do indivíduo”. Portanto, os TETs visam principalmente fornecer aos titulares dos dados informações sobre as atividades de processamento reivindicadas e reais de um controlador de dados. Os chamados painéis de privacidade são provavelmente o tipo mais proeminente de TETs. Um painel de privacidade constitui um ponto de acesso central para informações relevantes para a privacidade relacionadas ao usuário. Usando-o, os titulares dos dados podem obter informações sobre os dados relacionados a eles mantidos por um controlador de dados e seu uso. A figura abaixo mostra exemplarmente o “relatório de privacidade do aplicativo” de um iPhone, que pode ser considerado um painel de privacidade.

Alguns TETs também fornecem aos usuários funcionalidade para exercer algum nível de controle sobre os dados coletados e seu uso. Por exemplo, um painel de privacidade também pode fornecer aos usuários a funcionalidade de corrigir os dados coletados ou emitir outras solicitações de titulares de dados. A profundidade e a largura da visão e controle fornecidos por um TET dependem do tipo específico de TET e dos objetivos do provedor. Se você estiver interessado em uma discussão mais aprofundada sobre TETs, esta pesquisa relativamente recente da Murmann & Fischer-Hübner será um bom ponto de partida.

Se alguém quiser adotar uma definição muito ampla de TETs, alguma tecnologia de privacidade destinada a controladores de dados também pode ser considerada TETs ou compreendendo componentes que melhoram a transparência. Isso pode incluir, por exemplo, ferramentas para fornecer informações sobre onde os dados pessoais são armazenados, quais dados estão relacionados a qual usuário e muito mais. Componentes que melhoram a transparência em ferramentas como essas ajudarão os controladores a cumprir os requisitos legais em relação à transparência, documentação e responsabilidade. Exemplos incluem a funcionalidade de descoberta de dados em ferramentas de gerenciamento de proteção de dados. Você pode encontrar uma grande variedade de tecnologias de privacidade disponíveis, incluindo aquelas que podem ser consideradas que melhoram a transparência, por exemplo, no Relatório de Fornecedores de Tecnologia de Privacidade da IAPP).

O Potencial dos PPTs e da Engenharia de Privacidade

Uma postagem introdutória do blog dificilmente é adequada para fornecer uma visão aprofundada do fascinante campo da tecnologia de preservação da privacidade. Esperamos, no entanto, que possamos despertar seu interesse em PPTs. Eles, é claro, não são panacéia e só podem ser um dos múltiplos blocos de construção de sistemas amigáveis à privacidade. No entanto, o campo tem avançado rapidamente nos últimos anos e há um amplo potencial para os PPTs permitirem negócios centrados em dados mais seguros e amigáveis à privacidade.

As propriedades descritas acima das tecnologias de preservação da privacidade têm um enorme potencial não “apenas” no que diz respeito à proteção dos dados dos indivíduos. Eles também podem construir a base para o compartilhamento e análise de dados B2B que preservam a privacidade, e é fácil imaginar aplicativos úteis e casos de negócios baseados neles. Por exemplo, os PPTs podem ser usados para facilitar a análise de dados mantidos por diferentes partes sem que nenhuma das partes realmente tenha que divulgar seus dados às outras partes. Na verdade, já existem exemplos da vida real de casos de uso habilitados para PPT, como o uso do MPC pelo Conselho da Força de Trabalho Feminina de Boston para medir a diferença salarial racial e de gênero. Outras áreas em que os PPCTs podem facilitar a análise de dados benéficos sem comprometer a privacidade são, entre outras, a pesquisa médica (por exemplo, na pesquisa do câncer), detecção de fraudes e, basicamente, quaisquer casos de uso em que diferentes partes queiram reunir seus dados para análise. O interesse e o desenvolvimento de PPTs aumentaram tremendamente nos últimos anos, enquanto o mercado de tecnologia de privacidade em geral também cresce imensamente.

No entanto, enquanto os PPTs estão ganhando força, a privacidade e a autonomia dos indivíduos ainda estão em perigo, dada a prevalência de modelos de negócios que colocam as receitas de vigilância em vez de o manuseio responsável de dados na frente e no centro. Nesta série de postagens, tentamos ilustrar o que é engenharia de privacidade e como ela pode ajudar a criar sistemas mais amigáveis à privacidade e, ao mesmo tempo, apoiar as empresas no estabelecimento de negócios confiáveis (centrados em dados). Esperamos que você tenha gostado de ler nossos posts.


Deixe abaixo seus comentários sobre a Parte 3: Tecnologias de Preservação da Privacidade!