Engenharia de privacidade não é mágica, é uma ciência exata.
Para cumprir regulamentações legais, tem que se ir muito além das cláusulas contratuais e avisos de privacidade, é preciso desenhar uma solução tecnológica que cumpra as promessas feitas aos titulares e clientes.
Hoje veremos superficialmente as formas de desidentificação de dados utilizadas para alcançar este objetivo.
Anonimização
A anonimização é o processo de supeimir ou alterar identificadores pessoais dos dados para que os indivíduos não possam ser identificados, direta ou indiretamente. Isso significa que, uma vez que os dados são anonimizados, não é mais possível rastreá-los até o indivíduo original. Os dados anônimos são frequentemente usados para pesquisa e análise porque permitem o uso de dados sem comprometer a privacidade individual.
No entanto, alcançar a verdadeira anonimização pode ser um desafio, pois até mesmo pontos de dados aparentemente inócuos às vezes podem ser combinados para reidentificar indivíduos.
As técnicas de supressão envolvem a remoção de atributos selecionados em todos os registros (por exemplo, mascaramento), valores de atributos específicos (por exemplo, supressão local) ou registros inteiros de um conjunto de dados (por exemplo, supressão de registro). Essas técnicas são principalmente aplicáveis a dados categóricos.
A supressão é relativamente fácil de implementar e preserva a veracidade dos dados, resultando em microdados. No entanto, suas desvantagens incluem a inevitável perda de informações e a necessidade de combiná-la com outras técnicas de desidentificação para alcançar resultados robustos.
1. Máscaramento
Trata-se da remoção de todos os identificadores diretos do conjunto de dados e, potencialmente, a remoção de alguns ou todos os atributos de identificação adicionais restantes para todos os registros no conjunto de dados. A remoção de uma parte de um identificador direto para que ele não seja mais um identificador exclusivo também é considerada uma técnica de mascaramento. Uma das formas mais conhecidas é o mascaramento do cartão de crédito, que aparece nos comprovantes como 1234 56XX XXXX 1234 ou simplesmente **** **** **** 1234.
É importante não confundir este processo com a remoção de uma parte de um identificador direto para que não seja mais um identificador direto, mas ainda um identificador exclusivo. Essa técnica é considerada uma técnica de pseudonimização, pela exclusividade do identificador.
Recomendados pelo LinkedIn
2. Supressão de registros
O termo "supressão de registro" refere-se a uma técnica de desidentificação que envolve a remoção de um registro ou registros inteiros de um conjunto de dados. Os candidatos típicos para remoção são registros que contêm combinações raras de atributos (por exemplo, valores discrepantes).
Criptografia
A criptografia envolve a conversão de dados em um formato codificado que só pode ser lido por alguém que tenha a chave de descriptografia correta. Esse processo garante que os dados permaneçam confidenciais e seguros, mesmo que sejam interceptados ou acessados por indivíduos não autorizados. A criptografia é amplamente usada para proteger informações confidenciais durante a transmissão e armazenamento, como números de cartão de crédito, registros médicos e comunicações pessoais. Ao contrário da anonimização, a criptografia não remove identificadores, mas bloqueia o acesso aos dados em um formato seguro.
Toda criptografia tem um prazo de validade, ou seja, em um momento do futuro as máquinas poderão reverter essa criptografia mesmo sem a chave. Por esse motivo, a criptografia é mais indicada para garantia a privacidade somente por um período de tempo, que varia de acordo com a força do algoritmo e o tamanho da chave utilizada.
Pseudonimização
A pseudonimização é uma técnica em que os identificadores pessoais são substituídos por pseudônimos ou identificadores artificiais. Esse processo permite que os dados sejam usados para fins de análise e operação sem revelar diretamente a identidade dos indivíduos. Os dados pseudonimizados ainda podem ser vinculados aos dados originais com o uso de informações adicionais, que são mantidas separadamente. Esse método fornece um equilíbrio entre a utilidade dos dados e a proteção da privacidade, tornando-o útil para cenários em que os dados precisam ser processados, minimizando os riscos de privacidade.
O processo de pseudonimização gera informações suplementares que podem incluir identificadores removidos do conjunto de dados original, tabelas de atribuição de pseudônimos ou chaves criptográficas. Essas informações podem ser utilizadas para uma reidentificação controlada. Para proteger essas informações contra-ataques de reidentificação, é necessário aplicar medidas técnicas e organizacionais apropriadas, conforme os objetivos da organização e a avaliação de risco de reidentificação.
Para alcançar o nível desejado de desidentificação, é crucial selecionar corretamente o subconjunto de atributos de identificação a serem substituídos por pseudônimos. A pseudonimização envolve a substituição de todos os identificadores diretos e, potencialmente, alguns atributos de identificação adicionais ou até mesmo todos os restantes por pseudônimos.
A engenharia de privacidade é fundamental para uma boa desidentificação de dados, pois integra a privacidade desde o início dos processos, minimiza a coleta de dados, anonimização, pseudonimização e criptografia.