Saiam da frente advogados de privacidade, analistas, consultores, CPOs e DPOs. Vamos abrir espaço para os engenheiros de privacidade que podem facilitar a implementação técnica de privacidade e proteção de dados por design e padrão em produtos e serviços. Bem-vindo, o surgimento de Engenharia de privacidade.
A área da privacidade tem sido tipicamente o domínio de advogados e consultores responsáveis por desenvolver e implementar políticas, lidar com riscos contratuais de dados, gerenciar riscos de privacidade em processos de negócios e garantir práticas eficazes de publicação de avisos e escolhas. No entanto, para gerenciar e governar eficazmente como os dados são usado em termos práticos, agora podemos olhar para a crescente disciplina de engenharia de privacidade e tecnologias e produtos associados.
Depois de alguns problemas de privacidade de alto perfil e uma série de violações e vazamentos de dados, as empresas estão percebendo o quão importante é ganhar e manter a confiança de seus clientes, contratando tecnólogos com conhecimento em privacidade que podem traduzir políticas em termos práticos, muitas vezes agrupados sob o apelido de "Engenheiro de Privacidade".
Quais dados temos? Quem os utiliza? Como eles circulam em nosso ambiente corporativo? Nosso software vaza informações pessoais? Quais métodos de preservação da privacidade os cientistas de dados devem usar em pesquisas? Essas são apenas algumas das perguntas que os engenheiros de privacidade podem ajudar as empresas a responder. Vagas de engenharia de privacidade estão surgindo em todo o país em empresas líderes em tecnologia que priorizam dados, como Google, Uber, LinkedIn e Oracle.
O que é Engenharia de Privacidade?
Em seu trabalho seminal de 2014 sobre o assunto – O Manifesto do Engenheiro de Privacidade: Da Política ao Código, do Controle de Qualidade ao Valor – os autores Michelle Dennedy Jonathan Fox e Tom Finneran descrevem “uma abordagem sistemática de engenharia para desenvolver políticas de privacidade com base em objetivos empresariais e regulamentações governamentais apropriadas.” Somente então “[o]s procedimentos de privacidade, padrões, diretrizes, melhores práticas, regras de privacidade e mecanismos de privacidade… podem ser projetados e implementados de acordo com um conjunto de metodologias, modelos e padrões de engenharia de sistemas que são bem conhecidos e bem considerados….”
Enquanto a privacidade desde a concepção (PbD) fornece um conjunto de princípios que as empresas devem seguir para incorporar privacidade e proteção de dados em produtos e serviços, os engenheiros de privacidade são aqueles que realmente implementam os requisitos de PbD no processo de desenvolvimento.
Funções de engenharia de privacidade
Como a área é relativamente nova, muitas pessoas têm atividades diárias relacionadas à engenharia de privacidade, mas ainda não possuem um título que reflita tais atividades e tarefas. Para aumentar a confusão, "Engenheiro de Privacidade" tem sido aplicado a diversas funções definidas dentro das organizações. Aqui está uma análise de algumas das funções categorizadas dentro do ecossistema de engenharia de privacidade – observe que outras provavelmente surgirão.
Gerentes de produtos de privacidade:Esses são os especialistas em privacidade que entendem os regulamentos de privacidade, as políticas de privacidade da empresa e como isso se aplica aos objetivos comerciais da organização e, então, documentam os requisitos comerciais e de produtos específicos para entrega de serviços e desenvolvimento de produtos.
Para entender as principais capacidades da engenharia de privacidade para o desenvolvimento de produtos, podemos dar uma olhada em como as principais capacidades que a Carnegie Mellon University prepara seus alunos para aplicar após a conclusão de seu Mestrado em Tecnologia da Informação – Programa de Engenharia de Privacidade:
1) Desenvolver produtos e serviços de ponta que aproveitem o big data e preservem a privacidade;
2) Propor e avaliar soluções para mitigar riscos de privacidade;
3) Entender como tecnologias de aprimoramento de privacidade podem ser usadas para reduzir riscos de privacidade;
4) Utilizar técnicas para agregar e desidentificar dados e entender os limites da desidentificação;
5) Compreender as atuais estruturas regulatórias e de autorregulação de privacidade;
6) Entender os problemas atuais de privacidade relacionados à tecnologia;
7) Realizar avaliações de risco relacionadas à privacidade e revisões de conformidade, responder a incidentes e integrar a privacidade nas fases do ciclo de vida da engenharia de software;
8) Realizar avaliações básicas de usabilidade para avaliar a aceitação do usuário em relação aos recursos e processos relacionados à privacidade; e
9) Atuar como um especialista eficaz em privacidade, trabalhando com equipes interdisciplinares.
Desenvolvedores:Esses são os engenheiros de software e hardware com habilidades técnicas para escrever código e criar produtos de software e ferramentas de privacidade interna.
Na comunidade de segurança de aplicações, os “Engenheiros de Segurança” mantêm-se atualizados com as As 10 principais vulnerabilidades de segurança da OWASP e, em seguida, aprender e aplicar técnicas de codificação seguras que os ajudem a evitar tais vulnerabilidades, a fim de prevenir explorações. Da mesma forma, os desenvolvedores que apoiam os esforços de engenharia de privacidade devem estudar a Os 10 principais riscos de privacidade da OWASP, que fornece uma lista dos riscos de privacidade mais comuns em aplicações web e contramedidas relacionadas. Abrange aspectos tecnológicos e organizacionais com foco em riscos da vida real, não apenas em questões jurídicas.
Este esforço da OWASP fornece dicas sobre como implementar PbD em aplicativos da web com o objetivo de ajudar desenvolvedores e provedores de aplicativos da web a entender melhor e melhorar a privacidade.
Administrador e custodiante de dados: São as pessoas diretamente responsáveis pela proteção de dados e informações pessoais. Os Administradores de Dados gerenciam todos os aspectos de um subconjunto de dados, sendo responsáveis pela integridade, precisão e políticas de privacidade. Os Custodiantes de Dados gerenciam o acesso aos dados de acordo com as políticas de acesso, segurança e uso.
Engenheiros de Teste e Integração de Projetos: Essa é a equipe técnica cujo trabalho é garantir a verificação e validação da privacidade para integração do sistema, teste e avaliação do sistema, e a transição para operação e manutenção do sistema.
Cientistas e analistas de dados: Estes são os matemáticos e estatísticos que ajudam a extrair valor dos conjuntos de dados, protegendo a privacidade. À medida que os projetos de big data continuam a decolar, precisamos desses funcionários para garantir o uso responsável e ético dos dados pessoais. Com a assistência de Pesquisadores de Privacidade, Cientistas de Dados e Analistas de Dados são responsáveis por aplicar técnicas de minimização, agregação e desidentificação de dados. Eles também devem ser capazes de selecionar as tecnologias apropriadas para aprimorar a privacidade ("PET") – como criptografia homomórfica, privacidade diferencial, e outros – que protegem os dados durante a análise e ainda fornecem valor.
Experiência do Usuário e Design: Esses são os funcionários que projetam experiências confiáveis no ecossistema digital, trabalham para entender como o usuário irá interagir com o produto ou serviço e garantem que a privacidade esteja incorporada nessa experiência.
Pesquisadores de PrivacidadePesquisadores de Privacidade compreendem a tecnologia atual que possibilita a privacidade e facilita a proteção de dados. Eles criam novos algoritmos de aprendizado de máquina, ajudam a desenvolver protótipos, auxiliam na arquitetura de privacidade e selecionam e implementam PETs apropriados para proteger a privacidade. Muitas empresas estão contratando pesquisadores de privacidade diretamente da academia.
Engenharia de Privacidade = Privacidade + Engenharia
A engenharia de privacidade como disciplina ainda está em fase inicial, mas regulamentações como o Regulamento Geral de Proteção de Dados da UE (GDPR) exigem que as organizações implementem o PbD. Como o PbD pode ser implementado sem a equipe técnica, os processos e a tecnologia de suporte adequados? A resposta é que não é possível. Portanto, é fundamental que as organizações contratem a combinação certa de experiência e habilidades em engenharia de privacidade para projetar e incorporar os requisitos. Além de fazer as contratações certas, é fundamental que as empresas também invistam pesadamente em: infraestrutura (ou seja, arquitetura e design corporativos), produtos de privacidade e proteção de dados que automatizem tarefas demoradas, PETs, ferramentas de gerenciamento de consentimento, esforços de recrutamento e treinamento contínuo para engenheiros de privacidade atuais e futuros, à medida que novas técnicas surgem.
Rumo à padronização da privacidade por design e engenharia de privacidade
A engenharia de privacidade é uma disciplina em evolução que incorpora a 7 Princípios Fundamentais do PbD, que foram desenvolvidos pela Dra. Ann Cavoukian, ex-Comissária de Informação e Privacidade de Ontário. No ano passado, o Instituto Nacional de Padrões e Tecnologia (NIST) apresentou um manual de engenharia de privacidade que se aprofunda na engenharia de privacidade relacionada aos sistemas federais dos EUA e na redução de riscos à informação. Além disso, esforços estão em andamento para desenvolver uma abordagem global Norma ISO/PC 317 para Privacidade por Design para Bens e Serviços de Consumo.
O NIST anunciou recentemente seu Estrutura de Engenharia de Privacidade rascunho – “uma ferramenta voluntária, de nível empresarial, que poderia fornecer um catálogo de resultados e abordagens de privacidade para ajudar as organizações a priorizar estratégias que criem soluções de proteção de privacidade flexíveis e eficazes e permitam que os indivíduos desfrutem dos benefícios de tecnologias inovadoras com maior confiança e credibilidade”. Além disso, também estão em andamento esforços para desenvolver uma ISO/ISE PTDR2 7550, um padrão global para Engenharia de Privacidade e técnicas de segurança que as acompanham.
No BigID, estamos observando a paisagem de perto e estamos entusiasmados por estar participantes ativos no processo de definição de padrões ISO/PC 317 PbD.Recentemente lançamos regularmente Encontros de privacidade de engenharia nas seguintes cidades para ajudar a expandir a comunidade de praticantes e compartilhar conhecimento: São Francisco, Nova York, Seattle, Portland, Austin, Denver/Boulder, Minneapolis, Atlanta, Washington, DC, Boston, Londres, e Tel Aviv. Se você considera a privacidade parte da sua função, esperamos que você possa se juntar a nós em um de nossos futuros eventos de encontro.
Fique atento aos eventos de construção de comunidade de engenharia de privacidade na cidade de Nova York e São Francisco.
Autor
