A Privacy Preserving System to Consult Public Institutions Records

Abstract

Nas últimas décadas, as organizações públicas e privadas vêm melhorando a maneira de lidar com informações. Atualmente, tanto os aspectos quantitativos quanto os qualitativos do processamento de informações são importantes impulsionadores das estratégias de negócios e das decisões de mercado.O processamento regular de informações pessoais cria um risco tão sério quanto a sensibilidade dos dados que estão sendo processados. Nesse sentido, informações pessoalmente identificáveis exigem um tratamento especial para proteger o proprietário dos dados de possíveis ameaças como roubo de identidade e fraude bancária.Com a implementação do Regulamento Geral de Proteção de Dados da UE, as organizações aumentaram drasticamente a atenção à proteção de dados pessoais e à privacidade dos indivíduos. Garantir ``proteção de dados por projeto e por padrão'', conforme especificado no art. 25 do RGPD significa levar essas preocupações em consideração desde o estágio inicial de desenvolvimento de novos sistemas.A modernização e a digitalização dos processos das instituições públicas tornaram um desafio ainda mais complexo a garantia da privacidade das informações de identificação pessoal, ao mesmo tempo em que obedecem ao RGPD.Para facilitar o gerenciamento de informações de identificação pessoal, surgiu o projeto PoSeID-on H2020, que prevê o desenvolvimento de uma plataforma na qual os indivíduos possam gerenciar o compartilhamento de dados pessoais com organizações e serviços. Além disso, a plataforma garante a conformidade com o RGPD para indivíduos e organizações.Este trabalho apresenta o design e o desenvolvimento de um sistema de preservação da privacidade baseado em reputação para a plataforma PoSeID-on no seu Módulo de Gerenciamento de Riscos. O sistema de reputação desenvolvido garante o estabelecimento e o gerenciamento da confiança entre as partes, salvaguardando os direitos de um indivíduo.Para isso, é apresentado o estudo no estado da arte sobre sistemas de reputação, blockchain, contratos inteligentes e RGPD, refletindo sobre sua usabilidade no cenário de uma instituição pública. As contribuições gerais para o projeto, juntamente com a especificação e validação de seu sistema de reputação são abordadas nesta tese.

In the past decades, public and private organizations have been improving the way of dealing with information. Nowadays, both the quantitative and qualitative aspects of information processing are important drivers of business strategies and market decisions. The regular processing of personal information creates a risk as serious as the sensitivity of the data being processed. In that sense, personally identifiable information demands special treatment to safeguard the data owner from possible threats such as identity theft and banking fraud.With the enforcement of the EU GDPR, organizations increased dramatically the attention towards personal data protection and individual's privacy. Ensuring ``Data protection by design and by default'' as specified in Art. 25 of GDPR, means taking those concerns into account since the very early development stage of new systems. The modernization and digitalization of public institutions' processes have made the privacy of personally identifiable information an even more complex challenge, while complying with the GDPR.To facilitate the management of personally identifiable information, the PoSeID-on H2020 project emerged, which foresees the development of a platform on which individuals can manage the sharing of personal data with organizations and services. Besides, the platform ensures compliance with GDPR for both individuals and organizations.This work presents the design and development of a reputation-based privacy-preserving system for the PoSeID-on platform under its Risk Management Module. The developed reputation system ensures the establishment and management of trust between the parties while safeguarding an individual's rights. To this end, it is presented the state of the art study regarding reputation systems, blockchain, smart contracts, and GDPR reflecting upon their usability into a public institution's scenario. The overall contributions for the project, along with the specification and validation of its reputation system, are addressed in this thesis.