Linguagem de privacidade (taxonomia)

Tanto a nível nacional como internacional, os profissionais em segurança da informação conseguem colaborar de uma forma eficaz, com base em definições claras e no consenso crescente sobre o alcance da segurança da informação. No domínio da privacidade não existe uma definição amplamente aceite, nem uma descrição consensual da relação entre a privacidade, a identidade e a segurança da informação - o que constitui um problema quando diferentes partes estão envolvidas na gestão da privacidade. Existe uma necessidade urgente de definições claras e um acordo entre as partes envolvidas que facilite a colaboração para o domínio da privacidade (ICO, 2008).

À semelhança de outras temáticas no domínio dos SI, a existência de um vocabulário próprio é um facilitador para operacionalizar questões complexas. Uma linguagem ou taxonomia específica para a privacidade, integrada com outras taxonomias, apresenta-se como uma ferramenta indispensável aos profissionais, por um lado no suporte ao desenvolvimento integrado de políticas de proteção da privacidade, e por outro no suporte ao desenvolvimento interno de um programa de privacidade aplicado a todo o ciclo de vida da privacidade dos dados (Cavoukian, 2012).

Os profissionais que têm que agir de acordo com as políticas de privacidade em vigor, devem ser capazes de as compreender. A escrita de boas políticas requer caminhar numa linha ténue entre a linguagem formal e informal. Os utilizadores muitas vezes não percebem linguagem formal, e em muitas situações a linguagem informal não tem a precisão necessária para expor claramente o que se pretende expor (Windley, 2005). Continua a ser um desafio proporcionar políticas de privacidade que os utilizadores realmente entendam e que servem como normas para o processamento dentro da organização (Hansen et al., 2008). Uma linguagem de privacidade é complexa e de momento existe muita divergência entre os profissionais neste domínio, sobre como descrever os conceitos relacionados com a privacidade (ICO, 2008). Esta falta de um vocabulário partilhado para analisar ou para especificar os requisitos de privacidade de uma forma inequívoca e clara, agravada com a falta de consciência do que é necessário, provoca que tanto os administradores de sistemas como os gestores executivos, muitas vezes promovam especificações para o sistema que não conseguem lidar com a privacidade de forma satisfatória.

A capacidade de construir um sistema que está em conformidade com a legislação em privacidade, depende muito da capacidade de se compreender o significado da privacidade. Compreender a natureza da legislação de privacidade é uma dificuldade que os engenheiros de sistemas enfrentam na construção de soluções tecnológicas em áreas como finanças, saúde, ou em outros domínios de informação sensível. Se a existência de uma taxonomia conseguir garantir um vocabulário comum a todos os profissionais responsáveis pelo desenvolvimento do SI, então esta pode desempenhar um papel fundamental na sua conformidade legal (Massey & Antón, 2008).

O propósito de qualquer taxonomia é contribuir para um melhor estudo de um assunto, ajudando a tomar determinadas decisões, não substituindo contudo a necessidade de formular e responder a questões fundamentais (Dutch, 2010). Uma taxonomia de privacidade dos dados41 _{constitui “um conjunto documentado e}

ordenado de tipos, classificações, categorizações e/ou princípios que são frequentemente alcançados por meio de mecanismos, incluindo a nomeação, definição e/ou o agrupamento de atributos, e que por sua vez ajudarão a descrever, diferenciar, identificar, organizar e fornecer relações contextuais entre entidades, tipos e itens de privacidades dos dados”.

Na impossibilidade de identificar uma taxonomia globalmente aceite, foi possível, contudo, identificar na revisão bibliográfica, várias propostas de taxonomia aplicáveis à privacidade. São os casos da taxonomia de Solove (2006), a taxonomia da privacidade dos dados para ambientes colaborativos de Skinner et al. (2006), a qual contempla uma dimensão computacional, uma dimensão estrutural e uma dimensão de dados para abordar a privacidade dos dados num ambiente colaborativo. Existem ainda taxonomias muito específicas, como são os casos da taxonomia proposta na

framework para desenvolvimento de políticas de privacidade para a Web, de Earp,

Antón, & Jarvinen (2002), da taxonomia proposta por Antón & Earp (2003) para análise dos requisitos de privacidade de um sítio Web, e o esquema de classificação das tecnologias para a proteção da privacidade de Yeonjung, Hyangjin, Kilsoo, & Junghwan (2007).

41 _{Termo consultado em 13 de janeiro de 2013 no sítio web da “The International Foundation for}

Information Technology (IF4IT)”, no URL:

A taxonomia sobre a privacidade, representada na Figura 9, de Solove (2006), foca-se essencialmente nas atividades potencialmente perigosas ou problemáticas que podem criar danos ou problemas de privacidade, e não sobre o que constitui uma atividade ou assunto privado, muito dependentes de contextos e culturas variáveis. Foi desenvolvida para fornecer uma compreensão abrangente da pluralidade de problemas de privacidade globalmente reconhecidos, não tendo por objetivo a definição de metas a manter ou alcançar (Massey & Antón, 2008), e não tem em consideração os aspetos atuais dos SI (Wuyts et al., 2009). É para Culnan (2011) uma alternativa à perspetiva individual da privacidade, na qual Solove caracteriza a privacidade como consistindo num conjunto de problemas resultantes das diferentes formas organizacionais de processamento de informações pessoais.

TITULAR DOS DADOS DETENTORES DE DADOS RECOLHA DE INFORMAÇÃO Vigilância Interrogatório PROCESSAMENTO DE INFORMAÇÃO Agregação Identificação Insegurança Uso secundário Exclusão DIFUSÃO DE INFORMAÇÃO Quebra de confidencialidade Divulgação Exposição Maior acessibilidade Blackmail Apropriação Distorção INVASÕES Intrusão Interferência na decisão

Figura 9 - Relação entre os vários grupos da taxonomia de Solove (adaptada de (Solove, 2006))

Solove (2006) definiu 16 categorias distribuídas por quatro grandes grupos de atividades problemáticas: (1) recolha de informação42_{, (2) processamento de}

informação43_{, (3) difusão de informação}44_{, e (4) invasões}45_{. A Figura 9 representa a}

42 _{Engloba a “vigilância” e o “interrogatório”. Por vigilância entende-se a observação, escuta e}

gravação de atividades de um indivíduo. Constitui uma forma passiva de recolha de informação, e pode ser realizada em espaços públicos ou privados (Marsh et al., 2008). O Interrogatório consiste em várias formas de questionar ou investigar para obter informações.

43 _{O segundo grupo de atividades envolve a forma como a informação é armazenada, manipulada e}

utilizada. Engloba os subgrupos “agregação”, “identificação”, “insegurança”, “uso secundário” e “exclusão”. Agregação envolve a combinação de vários conjuntos de dados, sobre uma pessoa. É o processo pelo qual diferentes itens de informação pessoal são reunidos para inferir “factos” novos (Marsh et al., 2008). Identificação constitui a vinculação de informações a indivíduos em particular.

Insegurança envolve descuido, falhas na proteção de informações armazenadas, podendo ser causadas

relação entre os vários grupos da taxonomia proposta. Culnan (2011) reagrupa estes quatro grupos em duas categorias globais: a reutilização de informação e o acesso não autorizado a informações pessoais. A reutilização da informação envolve todas as decisões das organizações sobre novas utilizações para os dados pessoais recolhidos, incluindo a agregação de dados e a mineração de dados, e a reutilização ou partilha de dados inicialmente recolhidos para um outro fim. Os problemas de privacidade que resultam da reutilização de dados incluem inferências incorretas, decisões baseadas em dados errados, exclusões ou intrusões. O acesso não autorizado inclui dois tipos de atividades relacionadas com a segurança: a navegação (browsing) e a violação de dados. No caso da navegação, é possível visualizar dados pessoais para os quais não se tem autorização, e no caso de violações de dados, existe o acesso não autorizado a dados pessoais, resultante de uma variedade de incidentes de segurança. De acordo com Marsh, Brown, & Khaki (2008) a taxonomia de Solove (2006) é uma base útil para o desenvolvimento de uma análise risco/benefício, isto porque, segundo estes autores, proteger a privacidade num sistema depende de como atingir um equilíbrio adequado entre riscos e benefícios. A taxonomia de Solove (2006), ao ser desenvolvida com o objetivo de influenciar a compreensão da privacidade no desenvolvimento de futura legislação, é uma ferramenta útil para a análise de requisitos na construção de um sistema que se pretende em conformidade com a legislação de privacidade (Massey & Antón, 2008)

uso de informação, não para a finalidade inicialmente definida, mas por uma outra diferente, e sem o consentimento do titular dos dados. Exclusão diz respeito à ausência de conhecimento por parte do titular dos dados, sobre que dados outros têm sobre si, e à impossibilidade de poder participar no seu manuseamento e utilização.

44 _{O terceiro grupo de atividades envolve a difusão da informação, na qual dados pessoais são}

difundidos, transferidos, ou se ameaça fazê-lo. Engloba os subgrupos “quebra de confidencialidade”,”

divulgação”, “exposição”, “maior acessibilidade”, “blackmail”, “apropriação” e “distorção”. Quebra de confidencialidade diz respeito à quebra da promessa de manter informações pessoais confidenciais. Divulgação envolve a revelação de informações verdadeiras sobre uma pessoa que pode ter impacto na

forma como outros julgam o seu carácter. Exposição constitui a exposição a outros de certas características físicas e emocionais de uma pessoa. Maior acessibilidade, surge associada à disponibilização de informação através de médias de broadcast e da internet. As informações em questão já são públicas, em algum sentido, mas o modo de apresentação faz com que se torne disponível para uma gama maior de pessoas do que originalmente destinadas. Blackmail surge como uma ameaça de divulgar informações pessoais. Apropriação envolve o uso da identidade do titular dos dados para servir os objetivos e interesses de outro. Distorção consiste na divulgação de informações falsas ou enganosas sobre um indivíduo.

45 _{O quarto grupo inclui atividades de invasão em assuntos privados ou particulares das pessoas, neste}

caso “intrusão” e “interferência na decisão”. Intrusão diz respeito a atos invasivos que perturbam a tranquilidade ou solidão de alguém. Interferência na decisão envolve a incursão de decisões governamentais nas decisões do titular dos dados quanto aos seus assuntos privados.

Para Wuyts et al. (2009) uma taxonomia de privacidade, semelhante às taxonomias desenvolvidas de segurança46_{, é fundamental para a escolha de soluções de} privacidade durante o processo de engenharia de software. A taxonomia desenvolvida por estes autores vai de encontro a esta pretensão, promovendo a divisão da privacidade em dois ramos (o ramo de dissimulação, que descreve todos os objetivos de restrição à formação de associações quando o utilizador comunica informação sensível com o sistema, e o ramo de vigilância que lida com as associações após a sua partilha), e a definição em cada um dos dois ramos de vários objetivos implementados por diferentes estratégias (por exemplo: estratégia de pseudónimos, de atributos, remoção, ocultação, substituição e generalização de dados, consentimento, transparência, controlo de acesso, atualização e expiração de dados).

O domínio da privacidade dos dados necessita de uma framework coerente que inclua os aspetos legais, tecnológicos e éticos, que permita aos defensores da privacidade um entendimento comum sobre este assunto. A criação de uma taxonomia é um passo essencial à construção desta framework (Dayarathna, 2011).

Em resumo, para a linguagem de privacidade (taxonomia):

 Uma taxonomia focada na privacidade e proteção de dados, integrada

com outras taxonomias, é uma ferramenta facilitadora na gestão e controlo de conformidade das situações de privacidade, assim como o seu alinhamento com situações similares nas outras organizações.

 Deve constituir um meio que permita que os elementos de um

programa de privacidade sejam expressos de forma compacta e flexível e que facilite a tomada de decisões relevantes quanto à privacidade.

 Uma taxonomia não se pode limitar à classificação de dados – deve

abranger outros parâmetros em que a sua classificação é útil à gestão da privacidade.