Uso de anotação semântica baseada em ontologia para identificação de aspectos de privacidade de dados em serviços web

Mori Junior, Dornélio (2022)

tcc

Com a Lei Geral de Proteção de Dados Pessoais (LGPD) em vigor desde 18 de setembro de 2020, muitas organizações estão sendo levadas a implementar práticas de tratamento de dados que a lei impõe. Uma preocupação é a dificuldade e os problemas que as organizações poderão enfrentar ao realizar tal tratamentos de dados (p.ex., coleta, armazenamento, processamento, eliminação) por meio de serviços web. Identificar quais serviços web realizam tratamento de dados pessoais, e com base nisso realizar práticas em conformidade com a LGPD, é um aspecto fundamental. Neste trabalho propomos uma abordagem para descrição de serviços web REST baseada na OpenAPI v3 usando anotações semânticas baseadas em uma ontologia a fim de incorporar aspectos de privacidade de dados. Em particular, para isso é fornecido: uma ontologia de referência do domínio de Privacidade de Dados, baseada na LGPD, na ISO/IEC NBR 29100 e em modelos relacionados; e um protótipo cuja função é localizar e listar anotações semânticas realizadas conforme a abordagem em APIs descritas em OpenAPI, a fim de demonstrar umas das possíveis utilização das informações que a abordagem pode oferecer. O uso da abordagem é apresentado na API PIX do Banco Central do Brasil.

With the General Personal Data Protection Act (LGPD - Lei Geral de Proteção de Dados Pessoais) in effect since September 18, 2020, many organizations are being led to implement data processing practices that the law imposes. One concern is the difficulty and problems that organizations may face when performing such data processing (e.g., collection, storage, processing, elimination) through web services. Identifying which web services processing of PII (personally identifiable information, or personal data), and based on that carry out practices in compliance with the LGPD, is a fundamental aspect. In this work we propose an approach for the description of REST web services based on OpenAPI v3 using semantic annotations based on an ontology, in order to incorporate data privacy aspects. In particular, for this it is provide: a reference ontology of the Data Privacy domain, based on LGPD, ISO/IEC NBR 29100 and related models; and a prototype whose function is to locate and list semantic annotations performed according to the approach in APIs described in OpenAPI, in order to demonstrate one of the possible uses of the information that the approach can offer. The use of the approach is presented in the PIX API of the Central Bank of Brazil.