O que significa preservar a privacidade em bases de dados sujeitas à
análise?

1
 Contexto: Lei de Acesso à

Informação
 Exemplos de vulnerabilidades
 Algumas estratégias para permitir
a análise de da...
 LEI Nº 12.527, DE 18 DE NOVEMBRO DE
2011.
 Garantir o pleno acesso pelo cidadão a
informação e documentos públicos
 Ob...







Aplicável aos Governos Federal, Estaduais e
Municipais
informações básicas na Internet
criação de um Serviço ...
Novas regras sobre sigilo
Novos prazos para a

classificação em
reservado, secreto e ultrasecreto
5
 Não só para controle.
 Informação tem valor e
 a informação produzida,

guardada, organizada e
gerenciada pelo Estado ...
 Restringe o acesso quando a divulgação

de determinada informação de pessoal
for ofensiva à sua intimidade, vida
privada...


A restrição não será aplicada nos seguintes
casos:
 Consentimento expresso do titular
 Tratamento médico, estatística...
 Exceção à proteção das informações

pessoais:
 II - à realização de estatísticas e

pesquisas científicas de evidente
i...
Caso AOL: Logs de consulta anonimizados
vulnéraveis ao cruzamento de consultas
distintas e dados externos »
 Linkage Atta...
Caso AOL: Logs de consulta anomizados
vulnéraveis ao cruzamento de consultas
distintas e dados externos »
 Linkage Attack...


“Permitir apenas conjuntos de respostas grandes”
Sr. Fulano de Tal tem a doença X?

12


“Permitir apenas conjuntos de respostas grandes”
Sr. Fulano de Tal tem a doença X?

Quantas pessoas tem a doença X?

5....


“Permitir apenas conjuntos de respostas grandes”
Sr. Fulano de Tal tem a doença X?

Quantas pessoas tem a doença X?

5....
 “Qualquer coisa

que possa ser aprendida
sobre um participante da base deve ser
passível de ser aprendida sem acesso à
b...
 “Qualquer coisa

que possa ser aprendida
sobre um participante da base deve ser
passível de ser aprendida sem acesso à
b...
 Privacidade diferencial:

 “Não incorro em risco adicional ao

participar da base de dados”
 “A possibilidade de um te...
Pr[ K (DB - Me) = t]
Pr[ K (DB + Me) = t]

≈ 1 ± 
≤e

18


Adicionar ruído estatístico:
Qual a idade de Fulano?

77


Adicionar ruído estatístico:
Qual a idade de Fulano?

77
Qual a idade de Fulano?

32


Adicionar ruído estatístico:
Qual a idade de Fulano?

77
Qual a idade de Fulano?

32
Qual a idade de Fulano?

15
Quantas pessoas tem a doença X?

5.420
Quantas pessoas que não se chamam
Fulano de Tal tem a doença X?

5.422

22
Quantas pessoas tem a doença X?

5.423 ± ruído
Quantas pessoas que não se chamam
Fulano de Tal tem a doença X?

5.422 ± ru...


Base sintética: Gerar uma base sintética cuja
distribuição percentual dos conjuntos de
interesse seja equivalente à bas...
A firm
foundation for
private data
analysis.
Cynthia Dwork. 2011.
Commun. ACM 54, 1
(January 2011), 86-95.
25
O que significa preservar a privacidade em bases de dados sujeitas à
análise?

26
1.3. Novas regras sobre sigilo



Proíbe a restrição de acesso sobre informações que versem sobre condutas de
violação de...
1.3.


Novas regras sobre sigilo
O sigilo poderá ter como prazo final a ocorrência de um evento
específico



A desclass...
1.4.

Prazos de sigilo (classificação)
Como é hoje

Como passará a ser com a nova Lei

1) Ultra-secreto: máximo de 30 anos...
1.5.
sigilo

Possibilidades de prorrogação do prazo
Como é hoje

Como passará a ser com a nova Lei

1) Reservada: prorrogá...
1.6. Autoridades competentes para a classificação
Como é hoje

Como passará a ser com a nova Lei

1) Reservado e Confidenc...
Upcoming SlideShare
Loading in …5
×

Dados abertos: dados pessoais e anonimização de bases" no II Encontro Nacional de Dados Abertos

420 views
312 views

Published on

Palestra "Dados abertos: dados pessoais e anonimização de bases" na trilha Privacidade no II Encontro Nacional de Dados Abertos ( http://2.encontro.dados.gov.br/encontro.html )

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
420
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Dados abertos: dados pessoais e anonimização de bases" no II Encontro Nacional de Dados Abertos

  1. 1. O que significa preservar a privacidade em bases de dados sujeitas à análise? 1
  2. 2.  Contexto: Lei de Acesso à Informação  Exemplos de vulnerabilidades  Algumas estratégias para permitir a análise de dados e garantir a privacidade. 2
  3. 3.  LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011.  Garantir o pleno acesso pelo cidadão a informação e documentos públicos  Obrigar o Estado a buscar de forma ativa a transparência das informações  Estabelecer procedimentos administrativos para o acesso e a responsabilidade dos agentes públicos “Agora, o acesso é a regra, e o sigilo, a exceção!” 3
  4. 4.       Aplicável aos Governos Federal, Estaduais e Municipais informações básicas na Internet criação de um Serviço de Informação ao Cidadão negativa deve ser fundamentada gratuidade à população de baixa renda São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de informações de interesse público. 4
  5. 5. Novas regras sobre sigilo Novos prazos para a classificação em reservado, secreto e ultrasecreto 5
  6. 6.  Não só para controle.  Informação tem valor e  a informação produzida, guardada, organizada e gerenciada pelo Estado em nome da sociedade é um bem público. 6
  7. 7.  Restringe o acesso quando a divulgação de determinada informação de pessoal for ofensiva à sua intimidade, vida privada, honra e imagem  não exclui as demais hipóteses legais de sigilo e de segredo de justiça nem as hipóteses de segredo industrial ... 7
  8. 8.  A restrição não será aplicada nos seguintes casos:  Consentimento expresso do titular  Tratamento médico, estatísticas e pesquisa  Interesse público  Ordem judicial  Apuração de irregularidades ou ações voltadas à recuperação relevância de fatos históricos de maior 8
  9. 9.  Exceção à proteção das informações pessoais:  II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem; 9
  10. 10. Caso AOL: Logs de consulta anonimizados vulnéraveis ao cruzamento de consultas distintas e dados externos »  Linkage Attack (ataque por ligação):  Diagnóstico Medicação Custo do tratamento Registro médico anonimizado CEP Data de Nascimento Sexo 10
  11. 11. Caso AOL: Logs de consulta anomizados vulnéraveis ao cruzamento de consultas distintas e dados externos »  Linkage Attack (ataque por ligação):  Diagnóstico Medicação Custo do tratamento Registro médico anonimizado CEP Data de Nascimento Sexo Nome Endereço Registro público 11
  12. 12.  “Permitir apenas conjuntos de respostas grandes” Sr. Fulano de Tal tem a doença X? 12
  13. 13.  “Permitir apenas conjuntos de respostas grandes” Sr. Fulano de Tal tem a doença X? Quantas pessoas tem a doença X? 5.423 13
  14. 14.  “Permitir apenas conjuntos de respostas grandes” Sr. Fulano de Tal tem a doença X? Quantas pessoas tem a doença X? 5.423 Quantas pessoas que não se chamam Fulano de Tal tem a doença X? 5.422 Mesmo a recusa em responder uma pergunta pode revelar informação… 14
  15. 15.  “Qualquer coisa que possa ser aprendida sobre um participante da base deve ser passível de ser aprendida sem acesso à base.” Dalenius, 1977 15
  16. 16.  “Qualquer coisa que possa ser aprendida sobre um participante da base deve ser passível de ser aprendida sem acesso à base.” Dalenius, 1977 Problema: obter conhecimento novo é o objetivo da análise de dados.  Ex.: Fulano fuma. Analiso uma base de registros médicos. Descubro que fumar aumenta o risco de câncer (com ou sem Fulano na base).  16
  17. 17.  Privacidade diferencial:  “Não incorro em risco adicional ao participar da base de dados”  “A possibilidade de um terceiro tomar uma ação em relação a um indivíduo não é alterada pela presença ou não deste indivíduo na base” ▪ Ex.: Um banco não muda sua avaliação de empréstimo usando uma base com meus dados ou 17 sem eles.
  18. 18. Pr[ K (DB - Me) = t] Pr[ K (DB + Me) = t] ≈ 1 ±  ≤e 18
  19. 19.  Adicionar ruído estatístico: Qual a idade de Fulano? 77
  20. 20.  Adicionar ruído estatístico: Qual a idade de Fulano? 77 Qual a idade de Fulano? 32
  21. 21.  Adicionar ruído estatístico: Qual a idade de Fulano? 77 Qual a idade de Fulano? 32 Qual a idade de Fulano? 15
  22. 22. Quantas pessoas tem a doença X? 5.420 Quantas pessoas que não se chamam Fulano de Tal tem a doença X? 5.422 22
  23. 23. Quantas pessoas tem a doença X? 5.423 ± ruído Quantas pessoas que não se chamam Fulano de Tal tem a doença X? 5.422 ± ruído 23
  24. 24.  Base sintética: Gerar uma base sintética cuja distribuição percentual dos conjuntos de interesse seja equivalente à base original  Registro zero: Uso de rotinas para tratamento de sequencias (streams) de dados.  Ex. Média: Médian+1 = (Médian × n + Xn+1)/ (n+1) 24
  25. 25. A firm foundation for private data analysis. Cynthia Dwork. 2011. Commun. ACM 54, 1 (January 2011), 86-95. 25
  26. 26. O que significa preservar a privacidade em bases de dados sujeitas à análise? 26
  27. 27. 1.3. Novas regras sobre sigilo  Proíbe a restrição de acesso sobre informações que versem sobre condutas de violação de direitos humanos ou sejam necessárias à defesa dos direitos fundamentais  Trata o sigilo como exceção, quando a restrição de acesso, justificadamente, seja imprescindível à segurança da sociedade e do Estado  Obriga a um controle sobre as informações classificadas como sigilosas (publicação do número de informações classificadas e relatório de informações secretas e ultra-secretas desclassificadas)  Permite a qualquer pessoa solicitar a revisão da classificação junto ao órgão, e prevê possibilidade de recursos junto a instância superior  Criação da Comissão de Reavaliação de Informações, com competência para apreciar pedidos de desclassificação  Obriga a revisão, em 2 anos, das informações classificadas antes da vigência desta lei, sob pena de desclassificação
  28. 28. 1.3.  Novas regras sobre sigilo O sigilo poderá ter como prazo final a ocorrência de um evento específico  A desclassificação é automática após vencido o prazo de sigilo ou após a ocorrência de evento específico  Toda decisão que classifique informação como ultra-secreta deverá ser comunicada à Comissão de Reavaliação de Informações  Órgãos e entidades terão o prazo de 2 anos para revisar todo o acervo sigiloso
  29. 29. 1.4. Prazos de sigilo (classificação) Como é hoje Como passará a ser com a nova Lei 1) Ultra-secreto: máximo de 30 anos 1) Ultra-secreto: 25 anos 2) Secreto: máximo de 20 anos 2) Secreto: máximo de 15 anos 3) Confidencial: máximo de 10 anos 4) Reservado: máximo de 5 anos 3) Reservado: máximo de 5 anos
  30. 30. 1.5. sigilo Possibilidades de prorrogação do prazo Como é hoje Como passará a ser com a nova Lei 1) Reservada: prorrogável uma vez pela 1) Reservada: não é permitida a autoridade classificadora prorrogação 2) Confidencial: uma vez 2) Secreta: não é permitida a prorrogação 3) Secreta: uma vez 4) Ultra-secreta: a) uma vez ou 3) Ultra-secreta: Prorrogável somente uma vez, pela Comissão de Reavaliação, b) pela Comissão, por prazo indefinido, somente nos casos de ameaça à: - Soberania somente nos casos de ameaça à: -soberania - integridade territorial -integridade territorial -grave risco às relações internacionais -relações internacionais
  31. 31. 1.6. Autoridades competentes para a classificação Como é hoje Como passará a ser com a nova Lei 1) Reservado e Confidencial: 1) Reservada:  qualquer servidor civil ou militar  Direção, comando ou chefia, de nível 2) Secreta:  Direção, comando, chefia ou assessoramento, sem nível hierárquico mínimo 3) Ultra-secreta: hierárquico DAS 5 ou superior 2) Secreta:  Dirigentes de autarquias, fundações ou empresas estatais  Presidente e Vice 3) Ultra-secreta:  Ministros e Comandantes  Presidente e Vice  Chefes de Missão Diplomática e Consulares  Ministros e Comandantes  Chefes de Missão Diplomática e Consulares

×