Melhore a comunicação da política de privacidade por meio de ferramentas de avaliação
Resumo do Problema
Os usuários frequentemente enfrentam dificuldades em comparar e avaliar políticas de privacidade devido à sua complexidade, extensão e falta de padronização.
Racional
Ao fomentar ferramentas de avaliação, as organizações podem fornecer informações de privacidade claras, concisas e em conformidade para os usuários.
Solução
Melhorar a comunicação das políticas de privacidade aos usuários implementando ferramentas que avaliem a conformidade com as regulamentações, comparem várias políticas de privacidade e assegurem o alinhamento com os princípios de proteção de dados. Tais ferramentas podem resumir os principais fatos sobre a privacidade e visualizar os fluxos de informações, tornando as políticas de privacidade mais fáceis de entender e comparar para usuários não especialistas.
Railean e Reinhardt [1] apresentaram uma ferramenta de transparência de privacidade (OnLITE) para consumidores não especialistas, permitindo que entendam e comparem como dispositivos da Internet das Coisas (IoT) lidam com os dados pessoais. A ferramenta visa abordar o número crescente de produtos IoT e suas implicações de privacidade, cumprindo atos legais como o GDPR ao resumir os principais fatos de privacidade e visualizar os fluxos de informações de maneira clara e legível para avaliações rápidas, mesmo com grandes conjuntos de dados. Para o protótipo, eles usaram informações fornecidas pelos fabricantes, já que essas informações devem ser fornecidas sob consideração do GDPR. O código-fonte do protótipo e outros materiais estão disponíveis em https://zenodo.org/records/4126346.
Liu et al. [2] desenvolveram um esquema de classificação baseado no Artigo 13 da GDPR. Eles anotaram um corpus de 304 políticas de privacidade para facilitar a análise automática de conformidade. Esse conjunto de dados anotado foi usado para treinar modelos de classificação que podem identificar e classificar sentenças dentro das políticas de privacidade para verificações de conformidade baseadas em regras. Eles implementaram uma ferramenta baseada na web chamada AutoCompliance para ajudar os usuários a aplicar essa abordagem, identificando problemas de conformidade nas políticas de privacidade. O conjunto de dados anotado e a ferramenta visam melhorar a transparência e ajudar as organizações a garantir que suas políticas de privacidade estejam em conformidade com os requisitos da GDPR. Embora o site da ferramenta AutoCompliance não esteja mais disponível até o momento desta escrita, o conjunto de dados está acessível via repositório no GitHub.
Kolter, Kernchen e Pernul [3] focam em uma abordagem baseada na comunidade e dirigida pelo usuário, em vez de uma ferramenta de análise de conformidade automatizada. Eles propõem uma arquitetura de privacidade centrada no usuário destinada a fornecer proteção independente do provedor dos dados pessoais. O elemento central dessa arquitetura é uma comunidade online de privacidade que capacita os usuários a compartilhar informações relacionadas à privacidade, avaliações e experiências em relação aos provedores de serviços. A arquitetura inclui componentes que permitem aos usuários definir preferências de privacidade, que podem ser comparadas com as políticas de privacidade dos provedores de serviços. Isso ajuda os usuários a avaliar a adesão às suas preferências e tomar decisões informadas sobre a divulgação de dados.
Plataformas: computadores pessoais, dispositivos móveis
Exemplo
Colagem de capturas de tela das abas do OnLITE [1]. (Ver em tamanho maior)
Ferramenta AutoCompliance [2]. (Ver em tamanho maior)
Resumo da política de privacidade [3]. (Ver em tamanho maior)
Casos de uso
- Permitir que os usuários avaliem e comparem políticas de privacidade.
Vantagens
- O OnLITE resume fatos importantes sobre privacidade e permite visualizar fluxos de informações, facilitando para consumidores não especialistas entender e comparar como os dispositivos de IoT manipulam dados. Ele melhora a compreensão do uso e promove o pensamento crítico, encorajando os usuários a refletirem sobre as informações mostradas a eles. Ele também permite avaliações rápidas de políticas de privacidade, mesmo com grandes conjuntos de dados, facilitando comparações e avaliações [1].
- O AutoCompliance ajuda os usuários a entender as políticas de privacidade identificando e classificando automaticamente as frases-chave de acordo com o Artigo 13 do GDPR. Um estudo de usuário mostrou que o AutoCompliance reduziu o tempo de leitura do usuário em 55%. Além disso, a ferramenta AutoCompliance auxilia as organizações a garantir que suas políticas de privacidade estejam em conformidade com os requisitos do GDPR, ajudando a identificar e abordar problemas de conformidade [2].
- Uma abordagem baseada na comunidade que aproveita o conhecimento e as experiências coletivas, ajudando os usuários a tomarem decisões informadas sobre divulgação de dados e práticas de privacidade [3].
Desvantagens
- O estudo reconhece limitações como a ausência de participantes acima de 44 anos e um número limitado de participantes novatos. No entanto, o design da interface, avaliado com uma gama mais ampla de participantes, e a avaliação heurística por especialistas, a maioria na faixa dos quarenta anos, são considerados fatores compensatórios. Também requer estudos de longo prazo para avaliar a habituação do usuário e a eficácia sustentada da ferramenta [1].
- A precisão dos modelos de machine learning da ferramenta AutoCompliance depende da qualidade e representatividade dos dados de treinamento. Além disso, a ferramenta AutoCompliance e soluções semelhantes suportam principalmente políticas de privacidade em inglês, limitando sua aplicabilidade em contextos multilíngues [2].
- O sucesso de uma abordagem orientada pela comunidade depende da participação e do engajamento do usuário ao longo do tempo. Além disso, a plataforma baseada na comunidade e as ferramentas de preferência de privacidade podem ser complexas para usuários que não estão familiarizados com análise de política de privacidade e ferramentas digitais [3].
Avisos de Privacidade
Tais soluções visam comunicar práticas de tratamento de dados pessoais por meio de avisos de privacidade [4].
- Sob demanda
Esta diretriz tem como objetivo apresentar um aviso de privacidade aos usuários quando eles buscam ativamente informações de privacidade.
- Visual
Esta recomendação se aplica a um aviso visual, utilizando recursos visuais como cores, texto e ícones.
- Primário
Esta diretriz pode ser aplicada ao mesmo canal em que o usuário está interagindo com o sistema.
- Secundário
Esta diretriz também oferece suporte a canais secundários para dispositivos restritos.
Transparência
A transparência [5] é o principal atributo da privacidade, uma vez que este mecanismo envolve a distribuição proativa de informações aos usuários, promovendo a comunicação visualmente acessível das práticas de tratamento de dados e ajudando os usuários a tomar decisões informadas sobre privacidade. Outros atributos de privacidade relacionados:
Fornecer aos usuários informações abrangentes e compreensíveis sobre as práticas de tratamento de dados potencializa o controle ao permitir que os usuários tomem decisões autodeterminadas sobre o compartilhamento de seus dados pessoais.
Referências
[1] Alexandr Railean and Delphine Reinhardt. OnLITE: On-line Label for IoT Transparency Enhancement. In Secure IT Systems: 25th Nordic Conference, NordSec 2020, Virtual Event, November 23–24, 2020, Proceedings. Springer-Verlag, Berlin, Heidelberg, 229–245. https://doi.org/10.1007/978-3-030-70852-8_14
[2] Shuang Liu, Baiyang Zhao, Renjie Guo, Guozhu Meng, Fan Zhang, and Meishan Zhang. Have You been Properly Notified? Automatic Compliance Analysis of Privacy Policy Text with GDPR Article 13. In Proceedings of the Web Conference 2021 (WWW '21). Association for Computing Machinery, New York, NY, USA, 2021, 2154–2164. https://doi.org/10.1145/3442381.3450022
[3] Jan Kolter, Thomas Kernchen and Günther Pernul (2010). Collaborative privacy management. computers & security, 29(5), 580-591. https://doi.org/10.1016/j.cose.2009.12.007
[4] Florian Schaub, Rebecca Balebako, Adam L Durity, and Lorrie Faith Cranor (2015). A Design Space for Effective Privacy Notices. In: Symposium on Usable Privacy and Security (SOUPS 2015). [S.l.: s.n.], p. 1–17. https://www.usenix.org/system/files/conference/soups2015/soups15-paper-schaub.pdf
[5] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288