Haganse a un lado los abogados de privacidad, analistas, consultores, CPO y DPO. Dejemos espacio para los ingenieros de privacidad que pueden facilitar la implementación técnica de privacidad y la protección de datos desde el diseño y por defecto en productos y servicios. Bienvenidos, el surgimiento de Ingeniería de privacidad.
El ámbito de la privacidad ha sido tradicionalmente competencia de abogados y consultores responsables de desarrollar e implementar políticas, gestionar el riesgo contractual de los datos, gestionar el riesgo de privacidad en los procesos empresariales y garantizar prácticas efectivas de notificación y publicación de opciones. Sin embargo, para gestionar y gestionar eficazmente cómo se gestionan los datos usado En términos prácticos, ahora podemos mirar hacia la creciente disciplina de la ingeniería de privacidad y las tecnologías y productos asociados.
Después de algunos problemas de privacidad de alto perfil y una serie de violaciones y filtraciones de datos, las empresas se están dando cuenta de lo importante que es ganar y mantener la confianza de sus clientes contratando tecnólogos expertos en privacidad que puedan traducir las políticas en términos prácticos, a menudo agrupados bajo el nombre de "Ingenieros de Privacidad".
¿Qué datos tenemos? ¿Quién los usa? ¿Cómo se mueven en nuestro entorno corporativo? ¿Filtra nuestro software información personal? ¿Qué métodos de protección de la privacidad deberían usar los científicos de datos en sus investigaciones? Estas son solo algunas de las preguntas que los ingenieros de privacidad pueden ayudar a las empresas a responder. Los puestos de ingeniería de privacidad están apareciendo en todo el país en empresas líderes en tecnología de datos como Google, Uber, LinkedIn y Oracle.
¿Qué es la ingeniería de privacidad?
En su obra seminal de 2014 sobre el tema – El Manifiesto del Ingeniero de Privacidad: De la Política al Código, al Control de Calidad y al Valor – los autores Michelle Dennedy, Jonathan Fox y Tom Finneran describen “un enfoque sistemático de ingeniería para desarrollar políticas de privacidad basadas en los objetivos empresariales y las regulaciones gubernamentales pertinentes”. Solo entonces se pueden “diseñar e implementar procedimientos, estándares, directrices, mejores prácticas, reglas y mecanismos de privacidad… según el conjunto de metodologías, modelos y patrones de ingeniería de sistemas bien conocidos y respetados…”.
Si bien la privacidad por diseño (PbD) proporciona un conjunto de principios que las empresas deben seguir para integrar la privacidad y la protección de datos en sus productos y servicios, los ingenieros de privacidad son quienes realmente implementan los requisitos de PbD en el proceso de desarrollo.
Roles de ingeniería de privacidad
Dado que este campo es relativamente nuevo, muchas personas se dedican a la ingeniería de privacidad en sus actividades diarias, pero no tienen un título que refleje dichas actividades y tareas. Para aumentar la confusión, el término "Ingeniero de Privacidad" se ha aplicado a varios roles definidos dentro de las organizaciones. A continuación, se presenta un desglose de algunos de los roles clasificados dentro del ecosistema de la ingeniería de privacidad; cabe destacar que es probable que surjan otros.
Gerentes de productos de privacidad:Estos son los expertos en privacidad que comprenden las regulaciones de privacidad, las políticas de privacidad de la empresa y cómo se aplican a los objetivos comerciales de la organización, y luego documentan los requisitos específicos del negocio y del producto para la prestación del servicio y el desarrollo del producto.
Para comprender las capacidades centrales de la ingeniería de privacidad para el desarrollo de productos, podemos observar cómo las capacidades centrales que la Universidad Carnegie Mellon prepara a sus estudiantes para aplicar al finalizar sus estudios... Maestría en Ciencias en Tecnologías de la Información – Programa de Ingeniería de Privacidad:
1) Diseñar productos y servicios de vanguardia que aprovechen el big data preservando la privacidad;
2) Proponer y evaluar soluciones para mitigar los riesgos a la privacidad;
3) Comprender cómo se pueden utilizar las tecnologías que mejoran la privacidad para reducir los riesgos a la privacidad;
4) Utilizar técnicas para agregar y desidentificar datos y comprender los límites de la desidentificación;
5) Comprender los marcos regulatorios y de autorregulación de la privacidad actuales;
6) Comprender los problemas de privacidad relacionados con la tecnología actual;
7) Realizar evaluaciones de riesgos relacionados con la privacidad y revisiones de cumplimiento, responder a incidentes e integrar la privacidad en las fases del ciclo de vida de la ingeniería de software;
8) Realizar evaluaciones básicas de usabilidad para evaluar la aceptación por parte del usuario de las funciones y procesos relacionados con la privacidad; y
9) Actuar como un experto eficaz en materia de privacidad, trabajando con equipos interdisciplinarios.
Desarrolladores:Estos son los ingenieros de software y hardware con las habilidades técnicas para escribir código y construir productos de software y herramientas de privacidad interna.
En la comunidad de seguridad de aplicaciones, los "ingenieros de seguridad" se mantienen actualizados con las Las 10 principales vulnerabilidades de seguridad de OWASP y luego aprender y aplicar técnicas de codificación segura que les ayuden a evitar dichas debilidades para prevenir vulnerabilidades. De igual manera, los desarrolladores que apoyan las iniciativas de ingeniería de privacidad deberían estudiar... Los 10 principales riesgos de privacidad de OWASP, que proporciona una lista de los riesgos de privacidad más comunes en aplicaciones web y las contramedidas correspondientes. Abarca aspectos tecnológicos y organizativos que se centran en riesgos reales, no solo en cuestiones legales.
Este esfuerzo de OWASP proporciona consejos sobre cómo implementar PbD en aplicaciones web con el objetivo de ayudar a los desarrolladores y proveedores de aplicaciones web a comprender y mejorar la privacidad.
Administrador y custodio de datosSon las personas directamente responsables de proteger la información y los datos personales. Los administradores de datos gestionan todos los aspectos de un subconjunto de datos, siendo responsables de su integridad, precisión y políticas de privacidad. Los custodios de datos gestionan el acceso a los datos de acuerdo con las políticas de acceso, seguridad y uso.
Ingenieros de pruebas e integración de proyectos: Se trata del personal técnico cuyo trabajo es garantizar la verificación y validación de la privacidad para la integración del sistema, la prueba y evaluación del sistema, y la transición a la operación y el mantenimiento del sistema.
Científicos y analistas de datosEstos son los matemáticos y estadísticos que ayudan a extraer valor de los conjuntos de datos, protegiendo al mismo tiempo la privacidad. A medida que los proyectos de big data siguen despegando, necesitamos que estos empleados garanticen el uso responsable y ético de los datos personales. Con la ayuda de los investigadores de privacidad, los científicos y analistas de datos son responsables de aplicar técnicas de minimización, agregación y desidentificación de datos. También deben ser capaces de seleccionar las tecnologías de mejora de la privacidad (PET) adecuadas, como cifrado homomórfico, privacidad diferencial, y otros, que protegen los datos durante el análisis y al mismo tiempo brindan valor.
Experiencia de usuario y diseño:Estos son los empleados que diseñan experiencias confiables en el ecosistema digital, trabajan para comprender cómo interactuará el usuario con el producto o servicio y garantizan que la privacidad esté incorporada en esa experiencia.
Investigadores de privacidadLos investigadores de privacidad comprenden la tecnología actual que permite la privacidad y facilita la protección de datos. Crean nuevos algoritmos de aprendizaje automático, ayudan a desarrollar prototipos, asisten en la arquitectura de privacidad y seleccionan e implementan las PET adecuadas para proteger la privacidad. Muchas empresas contratan investigadores de privacidad directamente del ámbito académico.
Ingeniería de privacidad = Privacidad + Ingeniería
La ingeniería de la privacidad como disciplina aún está en sus inicios, pero regulaciones como el Reglamento General de Protección de Datos de la UE (GDPR) exigen que las organizaciones implementen PbD. ¿Cómo se puede implementar PbD sin el personal técnico, los procesos y la tecnología de soporte adecuados? La respuesta es que no se puede. Por lo tanto, es imperativo que las organizaciones contraten la combinación adecuada de experiencia y habilidades en ingeniería de privacidad para diseñar e integrar los requisitos. Además de contratar a las personas adecuadas, es fundamental que las empresas también inviertan fuertemente en: infraestructura (es decir, arquitectura y diseño empresarial), productos de privacidad y protección de datos que automaticen tareas que consumen mucho tiempo, PET, herramientas de gestión del consentimiento, iniciativas de contratación y capacitación continua para ingenieros de privacidad actuales y futuros a medida que surgen nuevas técnicas.
Hacia la estandarización de la privacidad por diseño y la ingeniería de la privacidad
La ingeniería de privacidad es una disciplina en evolución que incorpora la 7 principios fundamentales del PbD, desarrollados por la Dra. Ann Cavoukian, ex Comisionada de Información y Privacidad de Ontario. El año pasado, el Instituto Nacional de Estándares y Tecnología (NIST) presentó una manual de ingeniería de privacidad que profundiza en la ingeniería de privacidad relacionada con los sistemas federales de EE. UU. y la reducción del riesgo para la información. Además, se están realizando esfuerzos para desarrollar un sistema global Norma ISO/PC 317 sobre privacidad desde el diseño para bienes y servicios de consumo.
El NIST anunció recientemente su Marco de ingeniería de privacidad borrador – “una herramienta voluntaria a nivel empresarial que podría proporcionar un catálogo de resultados y enfoques de privacidad para ayudar a las organizaciones a priorizar estrategias que creen soluciones de protección de la privacidad flexibles y efectivas, y permitan a las personas disfrutar de los beneficios de las tecnologías innovadoras con mayor confianza”. Además, también se están realizando esfuerzos para desarrollar un ISO/ISE PTDR2 7550, un estándar global para la ingeniería de privacidad y técnicas de seguridad que las acompañan.
En BigIDEstamos observando el paisaje muy de cerca y estamos emocionados de poder... participantes activos en el proceso de establecimiento de la norma ISO/PC 317 PbDRecientemente hemos lanzado la versión regular Reuniones de ingeniería sobre privacidad en las siguientes ciudades para ayudar a expandir la comunidad de profesionales y compartir conocimientos: San Francisco, Nueva York, Seattle, Portland, Austin, Denver/Boulder, Minneapolis, Atlanta, Washington, D.C., Bostón, Londres, y Tel Aviv. Si está incorporando la privacidad a su función laboral, esperamos que pueda unirse a nosotros en uno de nuestros futuros eventos de encuentro.
Manténgase atento a los eventos de construcción de comunidades de ingeniería de privacidad tanto en la ciudad de Nueva York como San Francisco.
Autor
