Síntese para você que quer ir direto ao Privacy Bounty – Ed. Maio 2022:
- O Privacy Bounty – Ed. Maio 2022 ocorrerá entre os dias 23 e 28 de maio de 2022.
- Você precisará analisar os riscos à privacidade em dois projetos desenvolvidos pela Vestirsi Bene Brasil. Veja mais na seção O que deverá ser analisado?, logo abaixo.
- O relatório com o resultado da sua análise deverá ser enviado para o email indicado na seção Como a análise deverá ser enviada à DataUX?, logo abaixo.
- O vencedor receberá 100% de desconto na 3ª Turma do Curso Prático de DPO. Quem ficar em segundo lugar ganhará 50% de desconto no Curso, e quem ficar em 3º lugar ganhará 30% de desconto.
O que é o Privacy Bounty?
O Privacy Bounty é uma iniciativa da DataUX cujo objetivo é projetar um ambiente de teste para treinar as habilidades do profissional de privacidade e proteção de dados. O Privacy Bounty segue a lógica dos famosos bug bounties, mas é direcionado à descoberta de riscos à privacidade para o titular de dados pessoais.
De acordo com a Wikipedia (adaptado), de maneira sintética um bug bounty é uma recompensa (geralmente em dinheiro) oferecida por empresas em geral para aquelas pessoas que conseguem encontrar erros em seus produtos. Cabe aos envolvidos reportar erros, especialmente aqueles relativos a explorações e vulnerabilidades de segurança, de maneira que a empresa possa resolvê-los antes que o público em geral tenha conhecimento destes erros, prevenindo incidentes de maneira geral.
As diferenças entre black box, grey box e white box
De acordo com a plataforma Hack The Box (adaptado), na área de cibersegurança existem três abordagens diferentes para que uma pessoa possa analisar as medidas de segurança existentes via pentest:
- White box: o pentester – a pessoa que vai realizar o teste de intrusão – recebe todas as informações necessárias sobre o alvo, preocupando-se exclusivamente em solucionar os erros encontrados.
- Grey box: o pentester recebe algum tipo de informação mínima sobre o alvo a ser analisado, mas não terá tantos detalhes quanto no tipo white box.
- Black box: praticamente nenhum conhecimento prévio sobre o alvo é passado ao pentester. Ele/ela deve fazer um reconhecimento profundo para aprender sobre o alvo, identificando os erros e apresentando eventuais soluções.
O formato do Privacy Bounty – Ed. Maio 2022: grey box
O Privacy Bounty – Ed. Maio 2022 seguirá o formato grey box. Isto significa dizer que você terá alguma orientação prévia a respeito do que procurar. A proposta é a de que compete a você, como encarregado de proteção de dados, descobrir o máximo possível de riscos à privacidade no contexto indicado e com base no escopo apresentado. Isso é importante porque na sua atuação prática como DPO você precisará monitorar e auditar o programa de privacidade do agente de tratamento, sendo sua responsabilidade identificar os riscos à privacidade existentes e recomendar soluções a tais riscos.
Quem poderá participar?
O Privacy Bounty – Ed. Maio 2022 é aberto a qualquer pessoa que tenha interesse na área de privacidade e proteção de dados.
Quem já esteve na 1ª e/ou na 2ª Turmas do Curso Prático de DPO também poderá participar do Privacy Bounty – Ed. Maio 2022. Porém, a participação será apenas no sentido do aprendizado, não concorrendo para os descontos referentes à 3ª Turma do Curso Prático de DPO.
O que deverá ser analisado?
Analise os riscos à privacidade dos titulares com base nas informações disponibilizadas no site da Vestirsi Bene Brasil (VB-BR) referente à própria empresa, bem como com base na política de privacidade do projeto “Entrega com Drones”.
Leve também em consideração o objetivo final de realização de marketing direcionado por meio do enriquecimento dos dados pessoais. A política de privacidade da EWW também foi disponibilizada para consulta no site da VB-BR.
Para mais informações sobre a contextualização da VB-BR clique aqui.
Como a análise deverá ser enviada à DataUX?
O relatório com sua análise deverá ser enviado exclusivamente em formato Word e seu relatório deverá ser enviado até as 23h59 do dia 28 de maio de 2022 (horário de Brasília) para o email [email protected]. Relatórios enviados após este dia e horário e/ou em outros formatos serão desconsiderados. Além disso, a DataUX não é responsável por eventuais falhas no envio e/ou recebimento do relatório
Não há formato específico para o conteúdo do relatório em termos de sua estrutura interna. Porém, tenha atenção aos seguintes detalhes:
- O nome do arquivo que contém o relatório deverá ser composto pelos 3 primeiros e pelos 2 últimos dígitos do seu CPF. Por exemplo, se seu CPF for 123.456.789-00, o nome do arquivo deverá ser 12300.docx.
- No arquivo com seu relatório não deverá haver absolutamente nenhum dado pessoal, tais como nome, email, telefone ou qualquer outra forma de identificar a pessoa que o escreveu. Atenção aos metadados do arquivo!
- Deverá ser enviado um outro arquivo exclusivamente em formato PDF em que constem seu nome, seu email para contato e os 3 primeiros e os 2 últimos dígitos do seu CPF, para posterior reconhecimento dos vencedores do Privacy Bounty.
- Os vencedores serão contatados por email no dia 29 de maio de 2022 e seu número identificador também será divulgado nesta página.
Lembre-se: você está na posição de um encarregado de proteção de dados, e é com a visão de um encarregado de proteção de dados que esta análise de riscos à privacidade deve ocorrer.
Quais os critérios avaliativos do Privacy Bounty?
Serão dois os critérios avaliativos dos relatórios enviados no âmbito do Privacy Bounty:
- Número de riscos à privacidade corretamente identificados. Aqui não há muito a ser dito: quanto mais riscos à privacidade forem indicados, maior a pontuação. Os riscos indicados devem ser reais – ou seja, simplesmente “indicar por indicar” não fará com que você ganhe mais pontos neste critério.
- Recomendação para a solução do risco à privacidade. Na sua atuação prática como encarregado você precisará fazer recomendações a respeito dos riscos à privacidade. Estas recomendações se dividem em dois tipos: recomendações ao agente de tratamento a respeito do que não fazer e recomendações a respeito do que fazer em relação às atividades de tratamento. Caberá a você, como encarregado, decidir que recomendações fará para mitigar os riscos identificados na etapa anterior (acima).
O que você ganha com o Privacy Bounty – Ed. Maio 2022?
Em primeiro lugar, uma experiência minima a respeito da atuação como encarregado de proteção de dados. Lembre-se de que o encarregado deve ter iniciativa e deve encontrar os riscos à privacidade, apresentando recomendações para que estes riscos sejam minimamente mitigados. Esta obrigação esta no inciso III do § 2º do art. 41 da LGPD: compete ao encarregado “orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”.
Em segundo lugar, você ganha descontos para a 3ª Turma do Curso Prático de DPO. A pessoa que ficar em primeiro lugar ganhará 100% de desconto no Curso. Quem ficar em segundo lugar ganhará 50% de desconto. E quem ficar em terceiro ganhará 30% de desconto.
Atenção: os descontos de 50% e de 30% não são cumulativos com outros descontos eventualmente oferecidos pela DataUX para a 3ª Turma do Curso Prático de DPO.
Ainda tenho dúvidas. O que fazer?
Em caso de dúvidas entre em contato conosco exclusivamente pelo email [email protected]. Obviamente que serão respondidas dúvidas referentes a aspectos administrativos do Privacy Bounty, não ao conteúdo. Dúvidas enviadas para outros emails do Prof. Matheus Passos e/ou da DataUX não serão respondidos.
Participe e não perca esta chance!
Os casos omissos serão decididos exclusivamente pela DataUX, que também se reserva o direito de alterar as condições do Privacy Bounty ou mesmo cancelá-lo.
Aviso de Privacidade
- Os dados nome e email serão utilizados para o envio de comunicações para os participantes a respeito do Privacy Bounty – Ed. Maio 2022, incluindo o resultado final.
- O dado conteúdo do relatório será utilizado para avaliar o participante no contexto do Privacy Bounty – Ed. Maio 2022, com base nos critérios acima estabelecidos.
- O dado identificador numérico do participante será utilizado para a identificação pseudonimizada do participante do Privacy Bounty – Ed. Maio 2022.
- Todos os dados coletados serão armazenados até 18 de setembro de 2022, sendo apagados nesta data.
- O controlador dos dados pessoais é a DataUX, cuja identificação e contatos estão disponíveis no Aviso de Privacidade Geral. Neste mesmo documento estão indicados os direitos dos titulares com base na Lei Geral de Proteção de Dados Pessoais.
- Os dados coletados não serão compartilhados com nenhum terceiro.