O que são e qual a importância das privacy enhancing technologies?

O uso de tecnologias que tratam dados pessoais está cada vez mais presente em nosso dia a dia, desde redes sociais e aplicativos de bancos até sistemas de reconhecimento facial em condomínios e smartwatches. A facilidade de acesso e sua adoção em larga escala, proporcionada por essas tecnologias impulsionam sua adoção, inclusive, com previsão em diversas políticas públicas. 

No entanto, a coleta e o uso massivo de dados pessoais na atualidade levantam questões importantes sobre privacidade, como, por exemplo, a criação de perfis detalhados por empresas e governos que podem ser utilizados para manipulação de comportamentos, discriminação em processos seletivos e até mesmo para a vigilância em massa.  

Por outro lado, os dados pessoais podem ser valiosos para o mercado e para governos, na medida em que permitem identificar padrões e tendências do comportamento de grupos e sociedades nos mais diversos espaços. Com diagnósticos mais precisos, é possível investir recursos em produtos e políticas a partir de decisões informadas. 

É neste cenário que emergem, como saída para o uso responsável de informações, as Privacy-Enhancing Technologies (PETs) - tecnologias que reforçam e aperfeiçoam a privacidade. As PETs são um conjunto de técnicas e abordagens que viabilizam os negócios e políticas ao permitir a coleta, análise e processamento de dados, ao mesmo tempo em que protege os dados pessoais, a privacidade dos titulares e demais informações confidenciais. 

Técnicas de PETs

Com o amadurecimento de leis e regulações de proteção de dados pessoais, junto do esforço do mercado em incorporar práticas de Privacy by Design¹, há uma oportunidade para que o tratamento de dados pessoais seja feito de forma mais protetiva em um nível técnico. A seguir serão abordadas quatro categorias de PETs, agrupadas pela Organização para a Cooperação e o Desenvolvimento Econômico (OCDE)².

Ferramentas de ofuscação de dados

A técnica de ofuscação envolve tratar os dados pessoais de forma local (como, por exemplo, no próprio celular do titular), ao invés de tratá-los na nuvem. Para seu armazenamento e acesso remoto na nuvem, são adicionados “ruídos” aos dados pessoais ou removidos seus identificadores (como na anonimização), evitando a capacidade de associá-los a uma pessoa. 

As principais técnicas de ofuscação de dados são:

Anonimização

O processo de anonimização consiste em remover identificadores pessoais dos dados. Isso significa que, após completo o processo, o dado deve perder a capacidade de identificar seu titular de forma irreversível. Deixando de ser pessoal, as legislações de privacidade deixam também de ser aplicáveis às atividades de tratamento realizadas com os dados, garantindo maior flexibilidade às organizações³. Por conta desta vantagem regulatória, a anonimização é uma técnica muito utilizada, apesar de ser custosa. Porém, o principal desafio desta técnica é garantir sua total eficácia, frente ao “efeito mosaico”: dada a grande quantidade de dados coletados sobre indivíduos, mesmo dados não pessoais e anonimizados, associados a outros dados dentro de um contexto, podem identificar os titulares e, assim, retomar seu caráter de dado pessoal. Em outras palavras, o efeito mosaico ocorre quando informações anonimizadas, ao serem combinadas com outros dados disponíveis, permitem a reidentificação de indivíduos, comprometendo a eficácia da anonimização. Ainda assim, a técnica dificulta a associação entre o dado e a pessoa a qual o dado se refere, reduzindo os riscos de armazenamento de grandes bases de dados, por exemplo.

Pseudonimização

Esta técnica é definida no art. 13, §4º da LGPD como “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”. Isso significa que são separadas as informações potencialmente identificáveis de uma base das informações não pessoais. Porém, as bases que foram separadas ainda podem ser associadas, mantendo a capacidade de identificação dos titulares. Ou seja, é um processo reversível, cujo objetivo é mitigar riscos de privacidade e não impedir a identificação do indivíduo, como no caso da anonimização. Por conta disso, as legislações de proteção de dados seguem sendo aplicáveis. Utilizada para armazenamento de dados pessoais, a pseudonimização é uma PET que reforça as práticas de privacidade dos agentes de tratamento.  

Uso de dados sintéticos

Consiste em utilizar dados artificiais gerados a partir de modelos estatísticos que imitam as características e padrões de dados pessoais reais. Para sua criação, é selecionada uma amostra de dados reais e, a partir de uma determinada técnica (como modelos matemáticos generativos), são gerados os dados artificiais. Dessa forma, fica preservada a propriedade estatística da base de dados, gerando as mesmas conclusões, sendo um recurso interessante para treinar modelos de inteligência artificial, testar o desenvolvimento de softwares ou executar políticas de dados abertos de governos, para citar alguns exemplos. O principal problema desta técnica é a possibilidade de reidentificação, visto que dados artificiais podem replicar os dados reais, a depender do modelo utilizado.   

Privacidade diferencial

Esta técnica consiste em aplicar ruído, calculado matematicamente, fazendo alterações simples nos dados brutos. Dessa forma, são mascarados seus identificadores pessoais, mantendo o valor daquele grupo de dados, pois quando agregados, permanecem os mesmos. No caso de políticas públicas de dados abertos, por exemplo, essa ferramenta reduz os riscos de identificação dos titulares, mantendo as informações relevantes disponíveis. Existe uma oportunidade de regulamentação pela ANPD de definição da quantidade de ruído necessária antes da publicação dos dados. A técnica é utilizada pela Apple para melhorar seus produtos, sem tratar dados pessoais⁴. 

Prova de conhecimento zero

Em inglês Zero-Knowledge Proofs (ZKP) é um método baseado em protocolos matemáticos e interações entre duas partes - uma que possui uma informação e outra que quer verificar uma informação. O objetivo do método é garantir que uma parte confirme a veracidade de uma informação específica, sem que esta informação tenha que ser revelada. Esta tecnologia pode ser utilizada para reduzir a coleta de dados pessoais e garantir uma maior qualidade da informação tratada. Por exemplo: imagine que um e-commerce precise verificar a maioridade de seus clientes para vender bebidas alcoólicas. Com esta técnica, o sistema pode confirmar a maioridade sem acessar ou armazenar a data de nascimento do cliente. A loja só recebe uma resposta 'sim' ou 'não', garantindo que o dado pessoal (a idade exata) permaneça privado. A técnica também poderia ser utilizada para verificar se a renda das pessoas que desejam alugar um imóvel é suficiente ou não, sem que o dado pessoal financeiro tenha que ser coletado. Ou seja, a exposição direta dos dados pessoais é evitada, preservando a privacidade dos titulares.

Ferramentas de criptografia de dados

Criptografia é a técnica de transformar informações legíveis em um formato codificado, tornando-as incompreensíveis para quem não possui a chave de decodificação. Ou seja, as informações tornam-se inúteis para qualquer pessoa não autorizada a acessá-las.

Criptografia Homomórfica

O método tradicional de tratamento depende de um acesso direto aos dados pelo agente. A computação homomórfica altera essa lógica, ao permitir o desenvolvimento de análises sobre dados criptografados, gerando resultados também criptografados. O método mitiga riscos de privacidade, apesar de ser menos eficiente que métodos tradicionais por conta de seu alto custo computacional e complexidade de processamento, limitando seu uso em larga escala. Com incentivos políticas para seu uso, pode ser uma solução promissora para proteger dados pessoais. 

Computação de várias partes

Esta técnica permite que agentes distintos  realizem análises conjuntas sobre um banco de dados pessoais, sem receber  os dados em si. A técnica agrega dados pessoais mantendo-os criptografados ou pseudonimizados. Dessa forma, os riscos de segurança podem ser reduzidos. Esta é uma técnica já usada em larga escala. 

Interseção de Conjuntos Privados

O PSI (na sigla em inglês - Private set intersection) habilita que duas ou mais partes descubram quais dados são comuns em suas bases, sem revelar os elementos que não coincidem. Essa técnica pode ser utilizada para encontrar correspondências entre diferentes bases de dados sem violar a privacidade dos indivíduos. Dessa forma, mitiga riscos de privacidade. Essa técnica foi utilizada, por exemplo, em aplicativos de contact tracing durante a Pandemia de Covid-19, de forma que o celular notifica os titulares sobre a proximidade com pessoas que foram contaminadas.

Ambientes seguros

São áreas isoladas dentro de um processador, com o objetivo de proteger dados pessoais e dados confidenciais do sistema operacional - inclusive códigos de aplicações - mantendo sua segurança, mesmo durante seu uso. Nestes ambientes, os desenvolvedores podem tratar dados e realizar análises sensíveis. 

Ferramentas de descentralização de dados

As análises descentralizadas e distribuídas tem como objetivo processar dados sem centralizá-los em um único local, ou seja, sem a necessidade de um servidor único. Por exemplo, para treinar um modelo de inteligência artificial a reconhecer rostos, os dados de rosto podem estar distribuídos em vários celulares. Ao invés de coletar todos esses dados em um servidor centralizado para treinar o modelo, seu treinamento ocorreria em cada dispositivo localmente, utilizando os dados disponíveis naquele dispositivo. Então, o que foi aprendido pelo modelo de IA no dispositivo específico é compartilhado com o servidor central, que combina os aprendizados locais para criar um modelo global. Assim, os dados pessoais permanecem apenas nos celulares.

Ferramentas de accountability

Accountable Systems

O objetivo destes sistemas é gerenciar a capacidade de uma organização de responder e se responsabilizar por suas ações e decisões relativas ao uso e compartilhamento de dados pessoais. Essas ferramentas devem auxiliar empresas a manter as atividades de tratamento de dados adequadas às legislações aplicáveis, inclusive limitando seu uso à finalidade inicialmente determinada. Apesar disso, a OCDE entende que tais sistemas ainda não conseguiram ganhar escalabilidade pela complexidade de sua implementação, mantendo-se em estágios pilotos de desenvolvimento.

Threshold Secret Sharing

Esta é uma ferramenta de criptografia que  cria uma chave múltipla, dividida entre partes distintas. Isso significa que as informações armazenadas só podem ser acessadas pelo conjunto total das partes, de modo que nenhuma parte individual tem acesso à chave completa. Isso aumenta a segurança da chave e impede que uma única entidade tenha controle total sobre ela. Aplicada ao contexto de privacidade, a ferramenta pode ser utilizada para impor condições a serem atendidas para que os dados estejam disponíveis aos controladores - condições estas que podem ser definidas por autoridades regulamentadoras. Apesar de apresentar uma oportunidade interessante, sua aplicação tem sido restrita e disponibilizada em algumas plataformas em nuvem. 

Sistemas pessoais de gestão de dados

Esta técnica inverte a lógica tradicional de tratamento de dados pessoais, que é baseada em coletar e armazenar grandes bases de dados para realizar análises. Ao invés disso, a técnica transfere ao titular o controle de armazenamento de seus próprios dados. Assim, é o titular quem define como e com quem seus dados serão compartilhados e tratados. O principal desafio regulatório desta técnica é a divisão de responsabilidades entre titular e agentes de tratamento pelas atividades feitas com os dados. Um exemplo de aplicação da técnica são as carteiras de identidade digitais da União Europeia⁵.

Conclusão

A utilização de tecnologias de coleta de dados em diversos aspectos de nossas vidas, alimenta uma demanda sem precedentes por informações. Ao mesmo tempo em que tais dados podem ser utilizados para a inovação e o desenvolvimento de novos produtos e serviços, o alto volume de dados pessoais tratados por diversos atores também levanta preocupações em relação à sua proteção, uso ético e responsável.

As Privacy-Enhancing Technologies (PETs) emergem como uma resposta ao desafio de conciliar inovação e privacidade no tratamento de dados pessoais. Ao permitir a coleta, análise e processamento de dados de forma segura e confidencial, as PETs abrem caminho para um futuro onde a tecnologia pode ser utilizada para beneficiar a sociedade sem comprometer a privacidade dos indivíduos. Com maiores incentivos regulatórios para investimento em tecnologias que protegem a privacidade, podemos aproveitar os benefícios da inovação sem comprometer nossos direitos fundamentais.

–––––––––––––––––––––

¹ O termo pode ser traduzido como privacidade desde a concepção, como foi utilizado pelo legislador brasileiro na Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018). A própria Autoridade Nacional de Proteção de Dados já chegou a utilizar o termo em decisão sobre o caso da atualização da Política de Privacidade do WhatsApp (Nota Técnica 49 <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/nt_49_2022_cfg_anpd_versao_publica.pdf>).

² EMERGING PRIVACY ENHANCING TECHNOLOGIES: CURRENT REGULATORY & POLICY APPROACHES - item 3.1. Categories of privacy-enhancing technologies (PETs)

³ Conforme Art. 5º, III da LGPD: “dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;”.

⁴ Conforme consta em sua Política de Privacidade, disponível em: https://www.apple.com/br/privacy/control/#:~:text=As%20informa%C3%A7%C3%B5es%20coletadas%20usando%20a,dicas%20de%20pesquisa%20no%20Notas.

⁵ A carteira digital eIDAS foi pensada para garantir transações internacionais seguras, ao identificar e autenticar os titulares. Para mais informações, acessar <https://digital-strategy.ec.europa.eu/en/policies/eidas-regulation>

‍

‍