Saiam da frente, advogados de privacidade, analistas, consultores, diretores de privacidade e responsáveis pela proteção de dados. Vamos dar espaço aos Engenheiros de Privacidade, que podem facilitar a implementação técnica de privacidade e proteção de dados desde a concepção e por padrão em produtos e serviços. Bem-vindo ao surgimento de Engenharia de Privacidade.
A área da privacidade tem sido tradicionalmente o domínio de advogados e consultores responsáveis por desenvolver e implementar políticas, lidar com riscos contratuais relacionados a dados, gerenciar riscos de privacidade em processos de negócios e garantir práticas eficazes de publicação de avisos e opções. No entanto, para gerenciar e governar efetivamente a forma como os dados são utilizados, é necessário também adotar uma abordagem mais abrangente. usado Em termos práticos, podemos agora olhar para a crescente disciplina da engenharia de privacidade e para as tecnologias e produtos associados.
Após alguns escândalos de privacidade de grande repercussão e uma série de violações e vazamentos de dados, as empresas estão percebendo a importância de conquistar e manter a confiança de seus clientes, contratando especialistas em tecnologia com conhecimento em privacidade que consigam traduzir as políticas em termos práticos, muitas vezes agrupados sob o título de "Engenheiro de Privacidade".
Que dados possuímos? Quem os utiliza? Como circulam em nosso ambiente corporativo? Nosso software vaza informações pessoais? Quais métodos de preservação da privacidade os cientistas de dados devem utilizar em suas pesquisas? Essas são apenas algumas das perguntas que os engenheiros de privacidade podem ajudar as empresas a responder. Oportunidades de trabalho em engenharia de privacidade estão surgindo em todo o país em empresas líderes em tecnologia focadas em dados, como Google, Uber, LinkedIn e Oracle.
O que é Engenharia de Privacidade?
Em sua obra seminal de 2014 sobre o assunto – O Manifesto do Engenheiro de Privacidade: Da Política ao Código, do Controle de Qualidade ao Valor – os autores Michelle Dennedy, Jonathan Fox e Tom Finneran descrevem “uma abordagem de engenharia sistemática para desenvolver políticas de privacidade com base nos objetivos da empresa e nas regulamentações governamentais apropriadas.” Somente então “[p]ergitos, padrões, diretrizes, melhores práticas, regras e mecanismos de privacidade… podem ser projetados e implementados de acordo com o conjunto de metodologias, modelos e padrões de engenharia de sistemas que são bem conhecidos e respeitados…”.
Enquanto a privacidade por design (PbD, na sigla em inglês) fornece um conjunto de princípios que as empresas devem seguir para incorporar a privacidade e a proteção de dados em produtos e serviços, os engenheiros de privacidade são os responsáveis por implementar os requisitos de PbD no processo de desenvolvimento.
Funções de Engenharia de Privacidade
Como a área é relativamente nova, muitas pessoas trabalham diariamente com engenharia de privacidade, mas não possuem um título que reflita essas atividades e tarefas. Para aumentar a confusão, o termo "Engenheiro de Privacidade" tem sido aplicado a diversas funções específicas dentro das organizações. A seguir, apresentamos um resumo de algumas das funções categorizadas no ecossistema da engenharia de privacidade — observe que outras provavelmente surgirão.
Gerentes de Produto de PrivacidadeEsses são os especialistas em privacidade que entendem as regulamentações de privacidade, as políticas de privacidade da empresa e como isso se aplica aos objetivos de negócios da organização, e então documentam os requisitos específicos de negócios e produtos para a prestação de serviços e o desenvolvimento de produtos.
Para entender as principais competências da engenharia de privacidade para o desenvolvimento de produtos, podemos analisar como a Universidade Carnegie Mellon prepara seus alunos para aplicar essas competências após a conclusão de seu programa. Mestrado em Ciências da Computação – Programa de Engenharia de Privacidade:
1) Desenvolver produtos e serviços de ponta que aproveitem o poder do big data, preservando a privacidade;
2) Propor e avaliar soluções para mitigar os riscos à privacidade;
3) Compreender como as tecnologias de aprimoramento da privacidade podem ser usadas para reduzir os riscos à privacidade;
4) Utilizar técnicas para agregar e desidentificar dados, e compreender os limites da desidentificação;
5) Compreender os atuais quadros regulamentares e de autorregulação em matéria de privacidade;
6) Compreender as questões atuais de privacidade relacionadas à tecnologia;
7) Realizar avaliações de risco e revisões de conformidade relacionadas à privacidade, responder a incidentes e integrar a privacidade nas fases do ciclo de vida da engenharia de software;
8) Realizar avaliações básicas de usabilidade para avaliar a aceitação do usuário em relação aos recursos e processos relacionados à privacidade; e
9) Atuar como um especialista eficaz em questões de privacidade, trabalhando com equipes interdisciplinares.
DesenvolvedoresEsses são os engenheiros de software e hardware com as habilidades técnicas para escrever código e construir produtos de software e ferramentas internas de privacidade.
Na comunidade de segurança de aplicações, os "Engenheiros de Segurança" mantêm-se atualizados sobre as As 10 principais vulnerabilidades de segurança da OWASP e então aprender e aplicar técnicas de codificação segura que os ajudem a evitar tais vulnerabilidades, a fim de prevenir explorações. Da mesma forma, os desenvolvedores que apoiam os esforços de engenharia de privacidade devem estudar o Os 10 principais riscos de privacidade da OWASP, que fornece uma lista dos riscos de privacidade mais comuns em aplicações web e as respectivas contramedidas. Abrange aspectos tecnológicos e organizacionais com foco em riscos reais, e não apenas em questões legais.
Este esforço da OWASP fornece dicas sobre como implementar PbD em aplicações web com o objetivo de ajudar desenvolvedores e fornecedores de aplicações web a entender e aprimorar melhor a privacidade.
Gestor de Dados e Custodiante de DadosEssas são as pessoas diretamente responsáveis pela proteção de dados e informações pessoais. Os Gestores de Dados gerenciam todos os aspectos de um subconjunto de dados, sendo responsáveis pela integridade, precisão e políticas de privacidade. Os Custodiantes de Dados gerenciam o acesso aos dados de acordo com as políticas de acesso, segurança e uso.
Engenheiros de Teste e Integração de Projetos: Trata-se da equipe técnica cuja função é garantir a verificação e validação da privacidade para integração, teste e avaliação do sistema, bem como a transição para a operação e manutenção do sistema.
Cientistas e analistas de dadosEsses são os matemáticos e estatísticos que ajudam a extrair valor de conjuntos de dados, protegendo a privacidade. À medida que os projetos de big data continuam a crescer, precisamos desses profissionais para garantir o uso responsável e ético dos dados pessoais. Com a ajuda de pesquisadores de privacidade, cientistas de dados e analistas de dados são responsáveis por aplicar técnicas de minimização, agregação e desidentificação de dados. Eles também devem ser capazes de selecionar as tecnologias apropriadas para aprimorar a privacidade (PET, na sigla em inglês), como... criptografia homomórfica, privacidade diferenciale outras – que protegem os dados durante a análise, ao mesmo tempo que agregam valor.
Experiência do Usuário e DesignEsses são os funcionários que projetam experiências confiáveis no ecossistema digital, trabalham para entender como o usuário interagirá com o produto ou serviço e garantem que a privacidade esteja incorporada a essa experiência.
Pesquisadores de PrivacidadePesquisadores de privacidade compreendem a tecnologia atual que viabiliza a privacidade e facilita a proteção de dados. Eles criam novos algoritmos de aprendizado de máquina, ajudam a desenvolver protótipos, auxiliam na arquitetura de privacidade e selecionam e implementam as tecnologias de proteção de dados apropriadas para proteger a privacidade. Muitas empresas estão contratando pesquisadores de privacidade diretamente da academia.
Engenharia de Privacidade = Privacidade + Engenharia
A engenharia de privacidade como disciplina ainda está em seus primórdios, mas regulamentações como o Regulamento Geral de Proteção de Dados da UE (RGPD)RGPDA legislação exige que as organizações implementem a PbD (Privacidade por Design). Como a PbD pode ser implementada sem a equipe técnica, os processos e a tecnologia de suporte adequados? A resposta é que não pode. Portanto, é imprescindível que as organizações contratem a combinação certa de experiência e habilidades em engenharia de privacidade para projetar e incorporar os requisitos. Além de contratar os profissionais certos, é fundamental que as empresas também invistam fortemente em: infraestrutura (ou seja, arquitetura e design corporativos), produtos de privacidade e proteção de dados que automatizem tarefas demoradas, PETs (Plataformas de Evidência de Privacidade), ferramentas de gerenciamento de consentimento, esforços de recrutamento e treinamento contínuo para engenheiros de privacidade atuais e futuros, à medida que novas técnicas surgem.
Em direção à padronização da privacidade desde a concepção e da engenharia de privacidade.
A engenharia de privacidade é uma disciplina em constante evolução que incorpora... 7 Princípios Fundamentais do PbD, que foram desenvolvidas pela Dra. Ann Cavoukian, ex-Comissária de Informação e Privacidade de Ontário. No ano passado, o Instituto Nacional de Padrões e Tecnologia (NIST) apresentou um Guia básico de engenharia de privacidade que aprofunda ainda mais a engenharia de privacidade relacionada aos sistemas federais dos EUA e à redução do risco à informação. Além disso, esforços estão em andamento para desenvolver uma abordagem global. Norma ISO/PC 317 para Privacidade por Design em Bens e Serviços de Consumo.
O NIST anunciou recentemente sua Estrutura de Engenharia de Privacidade rascunho – “uma ferramenta voluntária de nível empresarial que poderia fornecer um catálogo de resultados e abordagens de privacidade para ajudar as organizações a priorizar estratégias que criem soluções de proteção de privacidade flexíveis e eficazes, e permitam que os indivíduos desfrutem dos benefícios das tecnologias inovadoras com maior confiança”. Além disso, esforços também estão em andamento para desenvolver um ISO/ISE PTDR2 7550, uma norma global para Engenharia de Privacidade. e as técnicas de segurança associadas.
No BigIDEstamos acompanhando o cenário de perto e estamos animados para... participantes ativos no processo de definição da norma ISO/PC 317 PbDRecentemente lançamos um serviço regular. Encontros sobre privacidade na área da engenharia Nas seguintes cidades, para ajudar a expandir a comunidade de profissionais e compartilhar conhecimento: São Francisco, Nova Iorque, Seattle, Portland, Austin, Denver/Boulder, Minneapolis, Atlanta, Washington, DC, Boston, Londres, e Tel Aviv. Se você incorpora a privacidade de dados em suas funções de trabalho, esperamos que possa participar de um de nossos próximos encontros.
Fique atento aos eventos de construção de comunidade em engenharia de privacidade na cidade de Nova York e São Francisco.
Autor
