PT115479B - Sistema de computador e método de operação para gerir dados pessoais anonimizados - Google Patents

Sistema de computador e método de operação para gerir dados pessoais anonimizados Download PDF

Info

Publication number
PT115479B
PT115479B PT115479A PT11547919A PT115479B PT 115479 B PT115479 B PT 115479B PT 115479 A PT115479 A PT 115479A PT 11547919 A PT11547919 A PT 11547919A PT 115479 B PT115479 B PT 115479B
Authority
PT
Portugal
Prior art keywords
data
personal
server
subject
computer application
Prior art date
Application number
PT115479A
Other languages
English (en)
Other versions
PT115479A (pt
Inventor
Loura Ricardo
Villax Peter
Original Assignee
Mediceus Dados De Saude Sa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mediceus Dados De Saude Sa filed Critical Mediceus Dados De Saude Sa
Priority to PT115479A priority Critical patent/PT115479B/pt
Priority to PCT/EP2020/061821 priority patent/WO2020221778A1/en
Priority to BR112021021858A priority patent/BR112021021858A2/pt
Priority to CN202080047899.6A priority patent/CN114026823A/zh
Priority to EP20724757.8A priority patent/EP3844934B1/en
Priority to JP2021564459A priority patent/JP2022530535A/ja
Priority to US17/607,202 priority patent/US11983298B2/en
Publication of PT115479A publication Critical patent/PT115479A/pt
Publication of PT115479B publication Critical patent/PT115479B/pt
Priority to IL287691A priority patent/IL287691A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

UM SISTEMA E UM MÉTODO SÃO APRESENTADOS PARA PERMITIR QUE OS COMPUTADORES COMUNIQUEM E TRANSMITAM DADOS PESSOAIS NUM SISTEMA SEGURO, ONDE A SEGURANÇA É ALCANÇADA POR UM COMPUTADOR QUE DESIDENTIFICA OS DADOS PESSOAIS ATRAVÉS DA REMOÇÃO DE TODOS OS IDENTIFICADORES PESSOAIS E SUBSEQUENTEMENTE OS RE-IDENTIFICA COM UM IDENTIFICADOR ANÓNIMO, GERADO PELO COMPUTADOR OPERADO PELO TITULAR DOS DADOS. EMBORA OS DADOS PESSOAIS E O TITULAR DOS DADOS SEJAM ANONIMIZADOS, OS COMPUTADORES NO SISTEMA ACTUAL PODEM ESTABELECER UMA SESSÃO DE COMUNICAÇÃO ENTRE O COMPUTADOR DO TITULAR DE DADOS ANÓNIMO E O SISTEMA DE COMPUTADOR QUE POSSUI INFORMAÇÕES DE INTERESSE DO TITULAR DOS DADOS E ENVIAR ESSAS INFORMAÇÕES PARA O SEU TITULAR.

Description

Descrição
Campo da invenção
[0001] O presente pedido de invenção está no área de sistemas de computador e de criptografia e diz respeito a melhorias na proteção de identidade do utilizador e de privacidade através do uso de arquiteturas de sistema intrinsecamente seguras.
Antecedentes da invenção
[0002] Esta secção destina-se a fornecer um contexto à invenção que é descrita nas reivindicações e pode incluir conceitos que poderiam desenvolvidos e que são novos. A menos que se depreenda do contexto ou que seja explicitamente indicado como arte anterior, tais divulgações não devem de ser admitidas como técnica anterior à descrição e reivindicações do presente pedido de invenção.
[0003] A internet permitiu a criação de sistemas de computador que tratam dados pessoais de milhares de milhões de pessoas. Estes sistemas transportaram a era da informação da esfera empresarial e estatal para o nível do indivíduo. Criaram as condições para que as pessoas tivessem um acesso incomparável a informações úteis ao seu trabalho, a interações sociais e ao comércio, de um forma que lhes permite trabalhar, interagir e transacionar com facilidade, rapidez, conveniência e a custos muito baixos. As empresas cujo modelo de negócio assenta sobre a internet podem fornecer serviços aos seus clientes, muitas vezes sem nenhum custo, porque os dados que essas empresas derivam de clientes a partir das suas interações entre computadores conectados à internet têm valor económico. As preferências e escolhas dos consumidores obtidas durante essas interações e transações permitem que as empresas de internet criem perfis de consumidores que orientam com precisão ofertas comerciais aos consumidores incluídos nos perfis definidos, reduzindo assim os
2/66 custos de direcionamento, marketing e venda, possibilitando mesmo direcionar a oferta comercial diretamente ao consumidor individual. Tal resultou em mais opções de consumo, a preços mais baixos e maior volume de vendas e, portanto, é altamente benéfico para a economia e a sociedade, sendo alcançado pelo cidadão com ações que não custam nada - apenas dar acesso às empresas aos seus dados pessoais.
[0004] Essa facilidade de identificar as preferências do consumidor criou uma segunda fonte de valor para as empresas, que vai além das receitas obtidas com a venda de produtos e serviços convencionais e que inclui as receitas provenientes da venda de dados pessoais dos consumidores para terceiros, que usam esses dados para publicidade direcionada online, aumentando ainda mais as suas vendas de produtos e serviços convencionais.
[0005] A combinação dessa capacidade de atingir mercados de massa com alta precisão ficou ainda mais sofisticada com o processamento de dados pessoais do consumidor combinado com dados físicos do mundo. Recentemente, essa capacidade de combinar dados de várias fontes foi aprimorada ainda mais com tecnologias que permitem que o processador de dados determine padrões de comportamento e escolha e, a partir daí, preveja e, às vezes, influencie as ações dos cidadãos que são consideradas por convenção social e moral como soberanas, devendo ser livres de interferências de terceiros. Às vezes, os dados pessoais fornecidos pelo cidadão, de boa fé, a empresas de internet em troca de melhores serviços e benefícios económicos são usados para fins dissimulados que não têm nenhuma relação com o objetivo e a intenção originais para os quais os dados pessoais foram dados.
[0006] No entanto, em outras áreas, o próprio medo do uso indevido de dados pessoais levou a um retraimento no desenvolvimento de sistemas de computadores, com perda para o cidadão em termos de benefícios que se encontram ausentes da oferta. Tal é notório em certos tipos de dados pessoais sensíveis, como registos médicos e dados de saúde, armazenados em sistemas múltiplos, não conectados e não interoperáveis, nos
3/66 quais a atomização de dados tem sido o mecanismo involuntário para a proteção de dados pessoais. Os dados são distribuídos de forma redundante em tantas bases de dados, servidores e sistemas de computadores operados por uma multiplicidade de prestadores de serviços de saúde, que se torna muito difícil, se não impossível, de aceder à história clínica completa de um paciente. Obter dados pessoais de saúde e de cuidados de saúde e consolidá-los num sistema integrado teria um interesse público significativo.
[0007] Existe assim uma necessidade importante de melhorar a maneira como os sistemas de computador tratam os dados pessoais, prevenindo situações em que estes são abusados ou estudando outras onde se encontram subutilizados. Essa é a invenção que é apresentada aqui e que trata de um problema que está enraizado numa falha técnica característica da internet, que é a incapacidade, até agora, de usar dados pessoais de forma segura e consentida, onde o cidadão tem o controle e seus direitos de privacidade são protegidos. A solução ideal desse problema de controle não alteraria o protocolo de comunicação da internet, o que não seria prático e, na verdade, não é necessário, mas estabelecendo um novo modelo de relacionamento entre seus vários participantes e colocando o indivíduo como o controlador nas suas interações de dados na internet, pelo simples meio do seu dispositivo pessoal de comunicações.
[0008] A solução descrita na presente invenção é baseada sobre a anonimização e criptografia de dados. A proteção de dados pessoais na internet, particularmente de dados confidenciais, tais como dados pessoais de saúde ou qualquer outro tipo de dados que o seu titular deseje permanecerem reservados, confidenciais ou secretos é importante e vários métodos para atingir esse objetivo foram desenvolvidos. Um desses métodos envolve o anonimato que oculta a identidade do titular e o anonimato irreversível, que torna impossível a sua reidentificação. Em aplicações informáticas em que é útil manter o titular de dados anónimo, mas manter a capacidade de agregar os seus dados sob um termo de identificação, pode ser usado um identificador anónimo que tenha uma relação direta com o
4/66 titular. Dessa maneira, os dados pertencentes à mesma pessoa podem ser armazenados, organizados e processados sob a chave identificadora anónima do titular dos dados.
[0009] Também deve-se tomar cuidado para prevenir que sistemas de computadores ou que aplicações informáticas tenham acesso a meios de re-identificação e uma forma técnica de o evitar é usar nesses computadores identificadores anónimos que não tenham relação com o nome da pessoa ou com dados de identificação pessoal, como a data de nascimento do titular, a morada ou números de identificação pessoal, por exemplo . Além disso, particularmente no caso de computadores conectados a redes de grande dimensão como a internet e com a possibilidade de acesso público, armazenar e comunicar os dados em texto em claro, ou seja, imediatamente legíveis e compreensíveis por gualquer leitor ou máquina, é um risco para a privacidade. Os métodos criptoqráficos são uma solução útil para o problema e podem ser usados para proteqer informações de interesse, como reqistos de compras, reqistos médicos, reqistos financeiros, reqistos fiscais, reqistos de propriedades, preferências do consumidor, etc., que são processados nessas redes de sistemas de computador.
[0010] Usando essas técnicas, é necessário que, mesmo que os identificadores pessoais do titular dos dados sejam encriptados e as informações de interesse sejam anonimizadas, as informações de interesse em claro não contenham dados que permitiriam inferir a identidade do titular de dados, comparando esses dados em outras fontes de dados com dados idênticos em que a identidade do sujeito é conhecida. Portanto, uma maneira eficaz de proteqer os direitos de privacidade do titular dos dados é simplesmente ocultar sua identidade. Para ocultá-la completamente, pode até ser útil eliminar o método convencional de verificação de identidade de nome de utilizador / palavrapasse, que para funcionar pode exiqir que um computador saiba o nome de utilizador do titular dos dados e armazene a sua palavra-passe.
5/66
[0011] No entanto, existem várias aplicações em que é necessário reverter o anonimato dos dados pessoais do titular. Tais aplicações incluem cuidados médicos, onde é necessário reidentificar o titular, por exemplo, quando é desejável alterar o tratamento médico e, assim, identificar positivamente o paciente. Além dos cuidados de saúde, há outras situações em que o anonimato do titular precisa ser revertido, e isso inclui todas as situações em que o titular precisa ou deseja ser contactado pelo prestador de dados ou de serviço - tais como para provar a propriedade dos ativos, para receber informações de pagamento, alterações nos termos e condições, informações do produto, oferta de novos serviços, solicitação de consentimento etc.
[0012] O anonimato reversível é conhecido como pseudonimização, definido no Regulamento Geral da Proteção de Dados da União Europeia como um tratamento em que os dados pessoais não podem ser associados ao seu titular sem o uso de informações adicionais. Um exemplo prático de pseudonimização é dado por sistema de computador ser configurado para selecionar um ficheiro de dados contendo informações de interesse relacionadas com um titular dos dados, identificado com um código confidencial, onde o código também é armazenado noutro ficheiro no mesmo computador ou noutro computador, que contém também o nome do titular dos dados e identificadores pessoais. Comparando os dois ficheiros é possível re-identificar o titular. Assim, um ficheiro que contenha, por exemplo, registos de saúde pseudonimizados ou outras informações confidenciais de vários titulares de dados pode ser processado sem que suas identidades sejam conhecidas, mas caso surja a necessidade, cada registo de dados pode ser rastreado até a identidade do titular dos dados por meio de um segundo ficheiro que contenha a chave de reidentif icação .
[0013] Infelizmente, esta separação de dados, onde a verdadeira identidade do titular dos dados é mantida em separado num outro ficheiro de computador é uma fonte de vulnerabilidade, particularmente quando ambos os ficheiros estão sob o controle do mesmo servidor do responsável do tratamento de dados, um
6/66 sistema operado por uma entidade que trata dados que pertencem a um titular e que têm origem no servidor de computador operado por uma entidade que, entre outras atividades, utiliza seus sistemas de computador para processar dados pertencentes a um titular de dados e originários do computador do titular de dados. A menos que o abuso intencional ou a re-identificação acidental sejam absolutamente prevenidos pela configuração adequada de todos os computadores envolvidos, sempre há o risco de que uma violação de dados possa ocorrer e os dados pessoais sejam comprometidos e usados para fins que o titular dos dados não consentiu originalmente, explicitamente ou implicitamente. Por esse motivo, é necessário que os servidores do responsável de confiança do tratamento de dados sejam configurados para impedir que operadores internos, por acidente ou intenção, ou operadores externos mal-intencionados revertam um identificador pseudónimo, mas essa configuração não deve impedir que o servidor de computador do responsável do tratamento de dados seja capaz de estabelecer comunicação com o computador do titular dos dados para transmitir e trocar dados com o seu titular.
[0014] O presente pedido de patente apresenta uma solução para esse paradoxo e descreve um sistema e método de computador seguro em que o computador do titular dos dados está configurado para gerar um identificador anónimo que oculta a identidade do nome do titular e os seus identificadores pessoais, impedindo, assim, que tais dados de identificação sejam transmitidos ao servidor do responsável pelo tratamento de dados e, portanto, torná-los insensíveis à divulgação acidental ou violação maliciosa. O computador do titular dos dados é ainda configurado para permitir que o titular dos dados indique o seu consentimento quanto à transferência dos seus dados pessoais, para quem, para qual uso e por quanto tempo, e para poder estabelecer comunicação com o servidor do responsável de confiança do tratamento de dados, de uma maneira que o servidor do responsável do tratamento de dados possa verificar a identidade do computador do titular dos dados.
7/66
[0015] Existem várias referências na literatura a modelos de anonimização variáveis que permitem que os dados pessoais sejam parcial ou totalmente conhecidos ou descobertos.
[0016] O pedido de patente WO/2018/201009 descreve sistemas e métodos que têm um propósito similar ao do presente pedido de patente, através da utilização de um identificador dinâmico para cada utilizador. A identificação dinâmica é muito eficiente em termos de tornar anónimos os utilizadores, mas levanta a questão da responsabilidade legal sobre qual a entidade responsável para atribuir o identificador a um utilizador, para administrar a mudança dinâmica do identificador e para garantir que o identificador dinâmico se refere sempre à mesma pessoa. Identificadores estáticos e rigorosamente protegidos e métodos de minimização de dados podem oferecer um melhor compromisso entre segurança, operacionalidade e garantias legais .
[0017] A publicação de pedido de patente dos EUA 2015/ 0149208 descreve um sistema de recolha e anonimização de saúde de vários prestadores de cuidados de saúde onde o foco está em melhorar a confiança de que o identificador anónimo refere-se sempre à mesma pessoa.
[0018] A publicação de pedido de patente dos EUA 2002 / 0091650 descreve um sistema que dá aos comerciantes informações confidenciais sobre as escolhas do consumidores, sob forma de grupos e de subgrupos geográficos, de estilos de vida, de hábitos de compra, protegendo ao mesmo tempo sua privacidade e identidade. No entanto, a solução apresentada deixa de ser capaz de identificar indivíduos específicos.
[0019] A patente dos EUA 8.234.698 descreve um sistema onde um titular de dados pode aceder a serviços web de uma forma que ainda permite que o prestador de serviços de internet possa identificar positivamente o cliente, por exemplo, para pagamento seguro para uma transação, ao mesmo tempo que impede o acesso aos identificadores pessoais do cliente. Isso é feito por meio de uma autoridade de certificação anónima de terceiros, bem como da autenticação presencial por uma organização de confiança,
8/66 como um banco ou uma empresa de valores mobiliários. Este é um procedimento complexo e caro.
[0020] A patente dos EUA 7.840.813 e publicação de pedido de patente dos EUA 2010 / 0131765 ambas incluem algumas das caracteristicas do caso anterior, mas especificamente permitem a revogação do anonimato ou a sua reversão, o que é contrário ao objectivo do presente pedido onde o anonimato é desejavelmente irreversível e onde a reversibilidade, quando é possível, está fora do controle do responsável pelo tratamento de dados.
[0021] A publicação de pedido de patente dos 2014 / 0372149 procura reconciliar a necessidade de anonimização dos dados pessoais do paciente com o acesso a dados de saúde do paciente, sem erros, por meio o armazenamento de registos médicos na cloud, com campos de identificação anonimizados para acesso seguro por vários médicos. Esses registos do paciente, principalmente imagens, são acedidos no écran principal do computador do médico atribuído ao paciente. Este computador contém dados predefinidos sobre os pacientes cujos dados devem de ser visualizados pelo médico e apenas os registos dos pacientes correspondentes aos dados predefinidos são exibidos. No entanto, o responsável pelo tratamento de dados e os servidores dos processadores contêm os registos do paciente e os dados de identificação do paciente e, portanto, podem ser programados para associar os dados médicos aos nomes dos titulares, e, portanto, a identificar novamente o paciente.
[0022] A patente dos EUA 8.635.464 detalha um método abrangente para encriptar um sistema de computador, mas aquele em que uma autoridade de certificação e revogação e o titular dos dados são entidades separadas. Aqui, o titular dos dados não está no controle da gestão dos seus códigos de encriptação e não pode controlar de forma exclusiva o acesso aos seus dados pessoais.
[0023] A patente dos EUA 5.369.702 descreve um sistema de criptografia multimédia de vários níveis em que o objeto encriptado é rotulado com um código que determina se o destinatário da mensagem encriptada está autorizado a desencriptá-lo. Este sistema emprega criptografia aninhada para
9/66 que a mesma mensagem possa ser transmitida do originador para um destinatário e deste para novo destinatário numa cadeia de transmissão, mas o acesso será seletivo dependendo se o destinatário é um leitor autorizado, conforme especificado pelo rótulo. A invenção destina-se à distribuição de informações para um grande número de pessoas, onde é necessário conceder acesso seletivamente com base nos níveis de acesso dos destinatários.
[0024] A patente dos EUA 9.910.902 descreve um processo para anonimizar informação identificável, mas que não oculta completamente a identidade do titular dos dados, pois retém as tabelas de mapeamento de anonimização, permitindo a reidentificação do titular dos dados.
[0025] O pedido de patente dos EUA US2016/147945 AI descreve um método e sistema para a pesquisa e obtenção de dados de saúde pessoais de um titular de dados, a partir de um ou mais servidores de computador. Os identificadores pessoais do paciente não são revelados durante a transmissão de dados de um servidor do fornecedor de dados para um servidor de um responsável de tratamento de dados da confiança do titular. Esses dados de interesse estão associados a identificadores pessoais do respectivo titular, armazenados no servidor do responsável do tratamento de dados de confiança, e portanto não são tratados ou armazenados na forma anonimizada pelo servidor do responsável de tratamento de dados de confiança.
[0026] O pedido de patente dos EUA US2007/192139 AI descreve sistemas e métodos de pesquisa, obtenção e reidentificação de dados de saúde de um titular de dados. Um identificador anónimo encriptado é utilizado para obter um identificador anónimo associado aos dados de interesse do titular. Dados de interesse relativos a um titular são transmitidos do servidor de um fornecedor de dados para um servidor de um responsável de tratamento de dados da confiança do titular, na forma anonimizada. No entanto, o titular de dados não controla a transmissão dos respectivos dados de interesse ao servidor do responsável de tratamento de dados da confiança do titular e esses dados não são devolvidos ao titular.
/66
[0027] O pedido de patente dos EUA US2017/372096 Al descreve sistemas e métodos de transmissão de dados de interesse de um titular de dados a partir de um primeiro servidor numa primeira região para um segundo servidor numa segunda região, numa forma anonimizada. Os dados de interesse estão armazenados no primeiro servidor, e conjunto com identificadores pessoais que identificam os titulares. Os identificadores pessoais são retirados dos dados de interesse, que são transmitidos em conjunto com um identificador anónimo, para fins de processamento de análise de dados no primeiro servidor. Os resultados da análise são transmitidos pelo segundo servidor ao primeiro servidor e são re-identifiçados com os identificadores pessoais associados ao identificador anónimo armazenado no primeiro servidor. No entanto, o titular de dados não controla a transmissão dos respectivos dados de interesse ao servidor do responsável de tratamento de dados da confiança do titular.
[0028] Existem, portanto, vários casos da técnica anterior onde são empregues sistemas de verificação, de encriptação e de gestão de direitos de acesso para proteger os dados pessoais. No entanto, nenhum deles coloca o titular dos dados no centro do modelo de proteção, com o poder total e único de conceder e revogar o acesso aos seus dados pessoais, sob anonimato e com a possibilidade de manter uma comunicação encriptada com a entidade que trata e gere os dados pessoais anonimizados desse titular.
[0029] Desenvolvemos agora um sistema de computador inovador e um método para utilizá-lo que permite o processamento e a comunicação segura de dados, proporcionando em simultâneo meios de acesso e de proibição de acesso, de uma maneira que é controlada automaticamente pelo titular dos dados através de seu computador, usando programas que lhe são disponibilizados e sem a necessidade de conhecimentos especiais.
[0030] A invenção é útil em qualquer campo onde os dados pessoais são armazenados em computadores e onde há uma necessidade de proteger a privacidade do titular dos dados. Uma lista de possíveis categorias de dados onde esta aplicação se
11/66 pode aplicar inclui: estudos científicos ou não científicos, pesquisas e extração de dados, onde as informações de interesse podem incluir sexo, orientação sexual, raça, dados médicos e de tratamento, dados genéticos, registos criminais, dados biométricos, comportamento e estilos de vida, dados de desempenho, religião, crenças, opções políticas, filiação partidária, filiação sindical, decisão política, pesquisas de opinião e sondagens, respostas a publicidade, grupos de foco, recrutamento de recursos humanos, gestão de negócios, gostos e decisões de compra, registos de compras e de propriedade, registos fiscais, investimentos e decisões de investir ou de aforrar, gostos e desgostos, relações sociais etc. De facto, áreas tão sensíveis que algumas jurisdições proíbem o seu processamento na generalidade dos casos, permitindo-as apenas sob excepções justificadas. A presente invenção permite que essas categorias sensíveis de dados sejam pesquisadas no mais estrito respeito dos direitos de privacidade dos indivíduos e a proteção é reivindicada para todos as áreas relevantes.
Resumo da invenção
[0031] Entidades e conceitos. São agora descritos os vários participantes, entidades, funções e conceitos uteis à compreensão deste sistema de computador seguro para a transmissão e processamento de dados pessoais.
[0032] A presente invenção identifica três categorias de participantes e os seus respectivos sistemas de computador. Na primeira categoria, os titulares ou titulares de dados são as pessoas ou entidades que usam computadores para processar dados, incluindo dados pessoais. São cidadãos, consumidores, profissionais, recrutadores, gestores, contribuintes, pacientes, empresas, organizações, organizações sem fins lucrativos, organizações não-governamentais, estados, serviços de informações, militares, denunciantes, crentes, eleitores, viajantes, escritores, fotógrafos, artistas, amigos, investidores, aforradores, etc., pessoas ou entidades em qualquer função em que dados pessoais são gerados como resultado
12/66 da actividade humana. Os dados produzidos por máquinas, como sensores de monitorização, também estão incluídos neste âmbito e o titular dos dados será a pessoa que originou os dados. A propriedade legal pode variar de acordo com a jurisdição, mas, para os fins do presente pedido de patente, titular dos dados refere-se à pessoa ou entidade que originalmente gerou os dados do computador ou em nome de quem foram gerados. Uma característica valiosa desses dados é que, quando processados em escalas muito grandes, é possível extrair novas informações e analisar correlações, causas e efeitos e padrões de desempenho, comportamento ou escolhas. O uso de computadores é necessário para todas essas operações, mas, em geral, estes não estão preparados para oferecer aos titulares de dados a proteção adequada para os seus direitos de privacidade.
[0033] Na segunda categoria, os responsáveis pelo tratamento de dados são pessoas ou entidades que usam sistemas de computador e são legalmente responsáveis pelas operações de processamento de dados, mesmo que as subcontratem a processadores de dados especializados. Alguns responsáveis pelo tratamento de dados obtêm benefícios económicos do acesso às informações dos titulares de dados, como objetivo principal ou estratégico dos negócios. Actualmente, esses responsáveis pelo tratamento de dados incluem: a) plataformas de motores de busca na internet, que registam os interesses dos titulares de dados; b) plataformas de negócios e comércio na internet, que armazenam dados e podem criar mercados para consumidores e fornecedores de bens e serviços; e c) redes sociais da internet, que registam e ajudam a gerir a interação social e a comunicação entre as pessoas. Estes três grupos registam as informações dos titulares de dados em pesquisas, compras e interações sociais para obter um perfil preciso de consumo de cada indivíduo e podem usar essas informações e dados do perfil para vender serviços de publicidade, informações e meios precisos de segmentação do consumidor. Nesse caso, os titulares dos dados ficam beneficiados ao receber serviços gratuitos de alto valor e conveniência, enquanto os responsáveis pelo tratamento de dados
13/66 transformam os dados gratuitos dos titulares num negócio vantaj oso.
[0034] O presente pedido de patente cria um novo tipo de servidor de computador do responsável pelo tratamento de dados, que acede, recupera e consolida dados de indivíduos de qualquer fonte em que possam estar localizados e que os utiliza de maneira consistente com a proteção dos direitos de privacidade do cidadão e da sua autodeterminação. Esse responsável pelo tratamento de dados será selecionado pelo titular dos dados para realizar, em seu nome, toda a extração, consolidação, armazenamento e processamento de dados, ao mesmo tempo que assequra os direitos de privacidade. Na presente invenção, essa entidade é o responsável de confiança do tratamento de dados e opera o servidor de computador do responsável de confiança do tratamento de dados. O servidor de computador do responsável de confiança do tratamento de dados é confiqurado, como parte do sistema de computador descrito na presente invenção, para processar dados pessoais de uma maneira que proteja os direitos de privacidade dos titulares de dados.
[0035] A terceira cateqoria de participante é o prestador de dados. Existem muitas entidades empresariais em que o principal neqócio é prestar serviços ou vender mercadorias, mas que no processo de condução de sua atividade principal adquirem ou qeram quantidades muito qrandes de dados pessoais valiosos por meio do uso de sistemas de computador. Os exemplos incluem os prestadores de dados mencionados acima, bancos, companhias de sequros, contabilistas, consultores fiscais, empresas financeiras, empresas de marketinq, empresas de sondaqens, empresas farmacêuticas, empresas de serviços de investiqação, orqanizações não-qovernamentais, serviços nacionais de saúde, orqanizações de recenseamento, hospitais, consultórios médicos, empresas de serviços de testes clínicos, etc. De facto, é cada vez mais ténue a linha que separa as empresas em que os dados são o principal neqócio e as empresas de serviços e produtos em que a importância dos dados está a aumentar, por vezes acima da importância do neqócio oriqinal. O que caracteriza esse último qrupo é que seus sistemas de computador mantêm qrandes conjuntos /66 de dados de informações pessoais e podem ter interesse em explorá-los economicamente contratando um responsável pelo tratamento de dados especializado. A configuração dos servidores dos prestadores de dados para operar de uma maneira que garanta a proteção dos direitos de privacidade dos titulares de dados faz parte desta invenção.
[0036] Certos tipos de prestador de dados são particularmente importantes na presente invenção. O prestador de cuidados de saúde é um desses tipos de prestadores e inclui médicos, farmacêuticos, enfermeiros e qualquer pessoa autorizada a consultar os registos clínicos do paciente para fins de tratamento e, ao mesmo tempo, adicionar novas informações sobre tratamento e saúde. Aqui, é necessário que o servidor do prestador de cuidados de saúde seja capaz de identificar positivamente o titular dos dados como paciente, para garantir que os registos médicos subjacentes realmente pertençam ao paciente que está sendo observado e tratado, mas esse acesso não deve comprometer a privacidade das informações do titular dos dados.
[0037] Uma quarta categoria opcional de participante é o prestador de verificação de identidade, onde um servidor verifica a identidade da pessoa em causa de modo a que a identidade da pessoa possa ser confirmada. Numa modalidade Online, o prestador de verificação de identidade é um servidor configurado para aceder e conectar-se a servidores que gerem bases de dados muito grandes armazenando informações do cidadão e nomeadamente dados de identificação pessoal, como o nome, identificadores pessoais e, de importância para o presente pedido de patente, um endereço eletrónico, um endereço de e-mail ou o número associado ao smartphone ou tablet do titular dos dados ou a qualquer outro dispositivo de computação pessoal com capacidade de comunicação. Exemplos desses sistemas são bases de dados do estado, organismos de emissão de cartas de condução, autoridades tributárias, bem como bases de dados de operadoras de telecomunicações e outros.
15/66
[0038] Identificadores pessoais são elementos de informação que podem ser usados para identificar o titular dos dados e incluem o nome da pessoa, sexo, data de nascimento, endereço, qualquer número de identificação pessoal (cartão de cidadão, número de contribuinte, número de segurança social, número nacional de saúde, número de apólice de seguro, número de conta bancária, número de telefone, número de telemóvel, etc.) ou endereços pessoais (endereço de residência, endereço do empregador, nome de utilizador, nome da rede social, endereço de e-mail, endereço do síte, nome do computador e endereço eletrónico, etc.), todos conhecidos coletivamente como identificadores pessoais. Na medida em que os membros da familia também podem ajudar a identificar uma pessoa, os identificadores pessoais dos membros da familia também são incluídos no perímetro dos identificadores pessoais de uma pessoa.
[0039] As modalidades de realização da presente invenção usam tecnologias de criptografia. A criptografia é um mecanismo de manipulação de dados usado por um computador de um titular ou por um servidor de um responsável pelo tratamento de dados para encriptar uma mensagem para que, durante a transmissão, um computador de terceiros não possa entendê-la. Quando a mensagem é recebida pelo seu destinatário autorizado, segue-se a operação de um segundo mecanismo associado ao primeiro que permite ao destinatário reverter o processo de manipulação da mensagem, desencriptá-la e obter acesso de leitura ao seu conteúdo. Os métodos de criptografia também incluem a capacidade de confirmar as identidades do titular e do destinatário dos dados e a capacidade de identificar qualquer alteração nos dados encriptados e garantir a integridade do seu conteúdo.
[0040] A criptografia requer chaves criptográficas de computador. Uma chave é uma sequência de letras, números ou bytes de informações que é manipulada por um algoritmo de codificação no lado do computador do remetente para transformar texto ou dados legíveis em séries de sinais ou caracteres ininteligíveis. A chave é então usada pelo computador destinatário do texto codificado para desencriptar a mensagem de volta para texto em claro.
16/66
[0041] Quatro tipos de sistemas de computador de criptografia são importantes na presente invenção.
[0042] No primeiro tipo, o computador remetente e o computador destinatário usam a mesma chave criptográfica e o mesmo algoritmo de codificação. Isso é conhecido como criptografia de chave simétrica e é um sistema de encriptação relativamente rápido em termos de recursos do computador. Uma dificuldade aqui é gerir o acesso a essa chave exclusiva e isso torna-a mais apropriada para cifrar as comunicações entre apenas dois computadores - uma chave simétrica para cada par de computadores que enviam e recebem.
[0043] A criptografia de chave simétrica por computador usa uma única chave k para encriptar e desencriptar. Existem muitos tipos diferentes de criptografia de chave simétrica por computador. Um exemplo é o Advanced Encryptíon Standard (AES). Em geral, a criptografia de chave simétrica por computador emprega uma série de operações deterministicas para encriptação que podem ser invertidas para desencriptação. Para a criptografia de chave simétrica por computador, a chave de criptografia é geralmente mantida em segredo pelos dois computadores que comunicam entre si, pois o acesso à chave permite a desencriptação.
[0044] No segundo tipo de sistema criptográfico por computador, conhecido como criptografia de chave assimétrica, o computador remetente e o computador destinatário usam um par de chaves criptográficas diferentes, uma chave pública e uma chave privada. A criptografia de chave pública / chave privada por computador é amplamente usada em transações comerciais e protocolos de comunicações. Um sistema criptográfico de chave pública / chave privada é conhecido como técnica criptográfica RSA , em que a RSA inclui as primeiras letras dos apelidos dos inventores do método: Rivest, Shamir e Adleman. Neste sistema criptográfico por computador, são gerados pares de chaves criptográficas. Em geral, a chave criptográfica pública é distribuída publicamente e é referida como chave pública, enquanto que a chave de criptografia privada é mantida em
17/66 segredo pelo computador que recebe a mensagem encriptada e é chamada de chave privada ou chave secreta. Em uso normal, o computador de envio da mensagem codifica-a usando a chave pública do computador destinatário, que geralmente é conhecida, e será desencriptada pelo computador destinatário, usando sua chave privada, que é confidencial.
[0045] Os métodos criptográficos de chave assimétrica também podem ser usados para assinar digitalmente uma mensagem para fornecer autenticação de mensagem entre computadores. Num exemplo, a mensagem a ser assinada consiste na chave pública do remetente. O computador remetente encriptará a mensagem usando a chave privada do remetente e enviará a mensagem encriptada para o computador destinatário. O computador destinatário desencriptará a mensagem usando a chave pública conhecida do computador remetente. Se o conteúdo da mensagem desencriptada for igual à chave pública do computador remetente, a assinatura digital foi verificada com êxito. Para assinar digitalmente mensagens mais longas, é útil aplicar uma função hash à totalidade da mensagem primeiro, encriptá-la com a chave privada do remetente e depois transmitir a mensagem ao computador destinatário para desencriptação e verificação. Vários métodos estão disponíveis, o método preferido aqui é o algoritmo de assinatura digital de curva elíptica (ECDSA), uma variante do RS A.
[0046] Um terceiro tipo de criptografia de computador útil é blockchaín. Este é um sistema seguro para registar transações distribuídas por um grande número de nós de processamento, tão grande que não é viável derrotar a criptografia. Cada objeto de informação que é encriptado usando blockchaín normalmente contém um hash criptográfico do bloco anterior, um carimbo de data e hora e dados de transação. Por conceção, uma blockchaín é inerentemente resistente à modificação dos dados. É um livro de registo aberto e distribuído que pode registar transações entre dois computadores de maneira eficiente, permanente e verificável. No caso de ser usada como um livro de registo distribuído, uma blockchaín é normalmente gerida por uma rede não-hierárquica de computadores que aderem coletivamente a um
18/66 protocolo para comunicação inter-nodal e de validação de novos blocos. Uma vez gravados, os dados de um determinado bloco não podem ser alterados retroativamente sem a alteração de todos os blocos subsequentes, o que requer o conluio da maioria dos participantes da rede.
[0047] No presente pedido de patente, o blockchain pode ser útil para registar transações de informações entre os computadores dos titulares dos dados, verificadores de identidade, prestadores de dados e do responsável de confiança do tratamento de dados, além de dar ao titular dos dados a possibilidade de personalizar o consentimento e de visualizar direitos para os seus dados pessoais através do uso de contratos inteligentes, um recurso do blockchain. Os contratos inteligentes permitem que o titular dos dados especifique, por meio de seu computador, quem e que computadores podem ver os seus dados pessoais e os seus dados de interesse, quais as categorias de dados que podem ser vistas e por quem, quais podem ser escritas e por quem, quais as ações que podem ser autorizadas dependendo dos dados de interesse subjacentes, e ainda conceder ou retirar, global ou seletivamente, direitos de consentimento e de acesso ao computador.
[0048] Um quarto método criptográfico é o Secure Hash Algorithm, como SHA-256, SHA-512 ou qualquer um dos seus sucessores. Essa é uma função matemática amplamente usada que encripta uma expressão transformando-a noutra com um nível de segurança ainda mais alto do que as chaves assimétricas. No estado da arte actual, os ataques de força bruta para reverter um número de hash levam muito mais tempo que aquele necessário para reverter um número encriptado com uma chave pública. Na presente descrição, a função hash pode ser usada para transformar o identificador anónimo do titular dos dados.
[0049] Estes quatro sistemas de criptografia, chave simétrica, chave assimétrica, blockchain e função hash, podem ser utilmente combinados na presente invenção. Outros recursos de criptografia, como chaves de sessão, porta-chaves, chaves
19/66 temporárias e tokens, bem como qualquer outro sistema de criptografia, também podem ser usados.
[0050] Útil na compreensão de modalidades da invenção é o conceito de consentimento. Consentimento é a autorização explicita, especifica e informada do titular dos dados para identificar as partes autorizadas a aceder aos dados pessoais e aos dados de interesse do titular; para autorizar os fins para os quais os dados são utilizados e que podem sobreviver à revogação do consentimento; para identificar as várias categorias de dados que podem ser acedidas e processadas, dependendo da natureza e consequente nível de autorização das várias partes destinatárias; e determinar por quanto tempo os dados podem ser armazenados e processados pelo computador destinatário. O direito ao consentimento inclui o direito de retirar ou revogar o consentimento, com a consequência de que todos os dados pessoais e todos os dados de interesse oriundos do titular dos dados devem ser apagados por todos os computadores destinatários na ordem de revogação do consentimento. Modalidades de sistemas de computador inventivos aqui descritos empregam esse conceito de consentimento e permitem procedimentos para alterar o consentimento.
[0051] Um formulário de consentimento inclui um pedido de transferência de dados, conforme definido no Regulamento Geral de Proteção de Dados da UE, que permite que um titular de dados solicite que seus dados pessoais armazenados no servidor de um responsável pelo tratamento de dados sejam transferidos ou copiados para o computador de outro responsável pelo tratamento de dados. No presente pedido, é o responsável de confiança do tratamento de dados e o seu servidor que são os destinatários dos dados transferidos ao abrigo de um pedido de transferência de dados emitido pelo titular dos dados.
[0052] Os relatórios são documentos produzidos pelo responsável de confiança do tratamento de dados usando dados pessoais de interesse armazenados no seu servidor e na sua base de dados aplicacional, mas onde não constam ou se encontram ocultados o nome ou qualquer identificador pessoal do titular dos dados. Os /66 relatórios usam estatística, ciência de dados e métodos de Big Data. Os relatórios extraem novos conhecimentos valiosos calculando e inferindo relações entre os elementos obtidos nos dados pessoais de interesse. Aplicações úteis são publicidade, marketing e venda de bens e serviços, finanças, seguros e medicamentos, entre outros. Na medicina e na saúde, as aplicações úteis são diagnóstico, prescrição inteligente, classificação de medicamentos e tratamentos em termos de efectividade, eficácia e segurança, identificação de efeitos secundários, reações adversas e interações medicamentosas, relação custo / benefício dos medicamentos, dispositivos e tratamentos médicos, tudo em termos de atributos do paciente, como idade, sexo, características genéticas, gravidade da doença, presença ou ausência de várias doenças, administração de vários medicamentos, adesão a medicamentos, dependências, vícios, intolerâncias, alergias, vacinas, microbioma e estilo de vida. Os relatórios também são úteis para identificar coortes de pacientes que partilham características desejavelmente homoqéneas ou heteroqéneas como candidatos para ensaios clínicos.
[0053] Os relatórios usam todas as informações disponíveis num determinado momento na base de dados aplicacional do responsável de confiança do tratamento de dados, contendo informações de interesse de toda a população de titulares de dados. Quando os dados pessoais e as informações de interesse do titular dos dados são obtidos sob consentimento, futuras revoqações de consentimento não afetam os relatórios, pois sobrevivem à revoqação do consentimento sob os termos do consentimento oriqinal. Aqui se conclui a descrição das entidades e funções úteis na presente divulqação.
[0054] Descrição da invenção. A presente descrição resolve os problemas de privacidade inerentes às comunicações na internet em larqa escala, substituindo o nome e os identificadores pessoais do titular dos dados nas comunicações de dados entre computadores por um identificador anónimo, mas permitindo que o servidor do responsável de confiança do tratamento de dados confirme absolutamente a identidade do titular dos dados anónimo
21/66 e que transmita corretamente os dados de interesse anonimizados para o dispositivo de computação pessoal do titular dos dados. Tal permite que dados pessoais confidenciais sejam pesquisados, obtidos, armazenados e processados sem que o servidor do responsável de confiança do tratamento de dados armazene a identidade do nome do titular dos dados e assim seja anulado o risco de abuso e violação da privacidade, tão caracteristicos de muitas comunicações e sistemas de computador na internet. Na área dos cuidados de saúde, a presente invenção permite o desenvolvimento de sistemas de registos eletrónicos de saúde (RES) que são intrinsecamente privados.
[0055] O sistema e o método descrito requerem que um titular de dados com um dispositivo de computação pessoal executando uma aplicação informática pessoal, um ou mais prestadores de dados executando cada um deles aplicações informáticas de comunicação de dados nos seus servidores e um responsável de confiança do tratamento de dados executando uma aplicação informática de transmissão de dados no seu servidor. Todos os computadores dos três participantes incluem um módulo criptográfico capaz de criar chaves criptográficas e de encriptar e desencriptar mensagens. Cada uma dos três aplicações informáticas está configurada para comunicar com segurança e transmitir dados com as outras duas aplicações informáticas. Por comunicação segura, entende-se que meios criptográficos de computador são empregados para garantir que apenas as comunicações autorizadas possam ocorrer da maneira descrita na presente divulgação. Vantajosamente, o identificador anónimo do titular dos dados será usado como uma chave criptográfica ou como elemento de um sistema de criptografia nesta divulgação.
[0056] Numa modalidade de realização da presente invenção - a modalidade geral - quaisquer meios criptográficos empregues pelo módulo criptográfico correndo nos sistemas de computador de todos os participantes, são úteis para encriptar com segurança o identificador anónimo e os dados transmitidos, de modo a que só possam ser desencriptados pelos destinatários legítimos.
22/66
[0057] Noutra modalidade - a modalidade de chave assimétrica os meios criptográficos usam um sistema criptográfico assimétrico de chave pública / chave privada empregado pelo módulo criptográfico executado nos sistemas de computador de todos os participantes. Esses meios podem encriptar com segurança o identificador anónimo e os dados transmitidos, de modo que só possam ser desencriptados pelo sistema de computador destinatário que disponha das chaves apropriadas. Para autenticar as comunicações entre o dispositivo de computação pessoal e o servidor do prestador de dados ou o servidor do responsável de confiança do tratamento de dados, o identificador anónimo pode ser usado num procedimento de assinatura digital. Uma assinatura digital garante que cada computador que recebe dados tenha a certeza da identidade do computador remetente, que não possa afirmar que o computador remetente não originou os dados e que a transmissão de dados é confidencial. Portanto, o identificador anónimo, usado como chave pública num sistema de criptografia de chave assimétrica, também é uma chave de autenticação e uma chave de criptográfica. A implementação e o uso desses métodos são conhecidos na comunidade da criptografia e apenas aspectos inventivos salientes serão descritos na presente divulgação.
[0058] Para tornar as comunicações e o processamento ainda mais seguros, uma terceira modalidade adiciona um a função de hash à segunda modalidade, de modo que funções de hash e chaves assimétricas são usadas para encriptar o identificador anónimo e os dados transmitidos do titular dos dados .
[0059] O dispositivo de computação pessoal do titular dos dados pode ser, por exemplo, um smartphone ou um tablet. Um computador pessoal ou uma conta pessoal num computador servidor também podem ser usados, mas, sendo dispositivos menos pessoais, são menos adequados para estas tarefas. Nomeadamente, uma conta pessoal num sistema de servidor pode exigir um nome de utilizador de logín definido pelo utilizador e uma palavra-passe de sistema, que podem ser dados conhecidos pelo responsável pelo tratamento de dados e, portanto, podem permitir que os dados pessoais do titular dos dados sejam associados a um
23/66 identificador pessoal. Em certos sistemas de computador, uma palavra-passe pode ser redefinida por um administrador do sistema, permitindo acesso imediato a dados pessoais e identificáveis pelo administrador. A invenção, no entanto, não se restringe a smartphones ou tablets, e qualquer dispositivo a ser desenvolvido no futuro que possua poder de computação suficiente e esteja ao alcance e sob o controle do titular dos dados, é adequado.
[0060] Impedir o acesso por um responsável de tratamento de dados ou por um administrador de sistema às credenciais convencionais de registo e acesso do utilizador titular de dados (login e palavra-passe), pelo facto de não existirem, é uma importante vantagem de proteção de dados pessoais e de segurança da presente invenção. Executar o processo de registo do utilizador titular de dados num servidor central por meio de um identificador anónimo ou de um identificador anónimo encriptado, a partir de uma aplicação informática pessoal executada no dispositivo de computação pessoal do utilizador titular de dados, aumenta essa proteção e essa segurança.
[0061] O dispositivo de computação pessoal do titular dos dados pode ser configurado para executar as etapas descritas nesta descrição por meio de uma aplicação informática pessoal descarregada no dispositivo de computação pessoal, a partir de um síte ou de um serviço de distribuição de aplicações informáticas, como Appstore ou Google Play. Em todos os casos, a aplicação informática pessoal é fornecida pelo responsável de confiança do tratamento de dados. Um objetivo desta aplicação informática pessoal é reunir num único dispositivo de computação pessoal informações pessoais pertencentes ao titular dos dados, que geralmente são distribuídas por um número muito grande de servidores de prestadores de dados.
[0062] Os sistemas de servidor descritos neste documento incluem servidores operados pelos prestadores de dados e pelo responsável de confiança do tratamento de dados e geralmente serão sistemas de servidor com considerável capacidade de computação, armazenamento e comunicação. Os dados são /66 processados pelo prestador de dados por meio da sua aplicação informática de transmissão de dados armazenada em um ou mais servidores dos prestadores de dados. Os dados são processados pelo responsável de confiança do tratamento de dados por meio da sua aplicação informática de transmissão de dados armazenada no servidor do responsável de confiança do tratamento de dados.
[0063] Todos os sistemas de computador da presente invenção possuem um processador, uma memória capaz de armazenar instruções de programas, subsistemas de comunicação, meios de armazenamento, dispositivos de introdução de dados como teclado, rato, ponteiro, écran tátil, microfone ou camara e dispositivos de saída como um écran e um alto-falante. Os sistemas de computador são capazes de comunicar usando redes de telecomunicações públicas ou privadas, mas a rede pública é preferida e o meio preferido é a internet.
[0064] As operações de computador na presente divulgação incluem etapas manuais e automáticas. As operações manuais são aquelas em que os dados são inseridos por um titular dos dados que configura a aplicação informática pessoal no seu dispositivo de computação pessoal. Durante a instalação da aplicação informática pessoal, o titular dos dados insere os seus dados de identificação pelos quais o servidor do prestador de dados será capaz de identificar os dados de interesse do titular. Pode ser o nome ou identificadores pessoais, ou ambos. Opcionalmente, o titular dos dados também insere uma declaração de consentimento e uma solicitação de transferência de dados, bem como quaisquer outras indicações necessárias para estabelecer preferências do utilizador ou dados necessários para a operação subsequente do programa e que variarão dependendo dos requisitos funcionais específicos das aplicações informáticas. Outras tarefas manuais do titular dos dados incluem a seleção de opções de menu na aplicação informática pessoal durante o uso.
[0065] Todas as outras tarefas descritas neste documento são tarefas automáticas e ocorrem automaticamente sob controle de programas de computador para gerir todo o processamento de dados no dispositivo de computação pessoal do titular dos dados e nos
25/66 servidores de um ou mais prestadores de dados e do responsável de confiança do tratamento de dados e as comunicações e transmissões de dados entre eles.
[0066] A presente invenção visa permitir uma sequência de pedidos, recuperação, armazenamento, processamento e transmissão de dados sob o controle de programas de computador executados sobre os dados pessoais do titular dos dados no seu dispositivo de computação pessoal, num ou mais servidores dos prestadores de dados que pesquisam, anonimizam e transmitem dados de interesse anonimizados relativos ao titular dos dados, e no servidor do responsável de confiança do tratamento de dados que recebe, armazena e acumula os dados de interesse anonimizados e os devolve ao dispositivo de computação pessoal do titular dos dados anónimo.
[0067] O servidor do responsável de confiança do tratamento de dados não armazena nenhuma informação relativa ao nome ou identificadores pessoais do titular dos dados, nem informações de endereço eletrónico, como número de telefone celular, endereço eletrónico ou endereço na internet do dispositivo de computação pessoal do titular de dados. Não armazenar esses dados é uma maneira eficiente de impedir que, de forma acidental, negligente ou maliciosa, computadores possam violar os dados pessoais do titular dos dados e os direitos de privacidade associados. Portanto, dados que identificam o titular dos dados, como nome ou identificadores pessoais não devem ser comunicados ao servidor do responsável de confiança do tratamento de dados, nem devem ser fornecidos ao servidor do responsável de confiança do tratamento de dados que lhe permita identificar o titular dos dados por nome, identificadores pessoais, nome de login ou de utilizador ou palavras-passe do sistema. Consequentemente, os computadores na presente invenção não estão configurados para identificar os titulares de dados usando um nome de utilizador de login convencional e palavraspasse de sistema. Uma palavra-passe de sistema é um código confidencial geralmente escolhido pelo titular dos dados que é armazenado no sistema do computador de qualquer responsável pelo
26/66 tratamento de dados que gere a conta de utilizador do computador do titular dos dados.
[0068] Em vez disso, a aplicação informática pessoal no dispositivo de computação pessoal usa um número exclusivo para identificar o titular dos dados - o identificador anónimo. O número é de tal dimensão que a probabilidade de pelo menos dois seres humanos partilharem o mesmo identificador anónimo e de computadores diferentes que armazenam e usam o mesmo identificador anónimo para identificar mais de um ser humano é considerada próxima de zero. O identificador anónimo é, portanto, também uma chave de identificação do titular dos dados.
[0069] Há pelo menos duas maneiras pelas quais um sistema de computador pode gerar o identificador anónimo, ambas empregando o módulo criptográfico correndo no dispositivo de computação pessoal. A primeira é a geração de um número único aleatório complexo e será utilizado nas comunicações criptográficas entre todos os sistemas de computador. Estes usarão o identificador anónimo do titular dos dados também como chave criptográfica num sistema criptográfico de chave simétrica. A segunda maneira é usar sistemas criptográficos de chave de criptografia assimétrica. Numa primeira etapa, o módulo criptográfico gera um número aleatório, que será a chave criptográfica privada do titular dos dados. A partir da chave privada, o módulo criptográfico deriva matematicamente a chave criptográfica pública, usando, por exemplo, o método publicado do algoritmo de assinatura digital da curva elíptica. Tal pode ser usado para comunicações encriptadas entre os sistemas de computador do titular dos dados, de um ou mais prestadores de dados e do responsável de confiança do tratamento de dados.
[0070] A chave criptográfica pública do titular dos dados será também o seu identificador anónimo, mas seu uso será diferente do que é convencional, pois permanecerá confidencial e conhecida apenas pelos computadores do titular dos dados e pelo responsável de confiança do tratamento de dados. Como o identificador anónimo pode ser uma chave de identificação, uma
27/66 chave de autenticação e uma chave criptográfica, este deve ser rigorosamente protegido.
[0071] Para maior segurança, o identificador anónimo original do titular dos dados pode ser transformado por uma função hash por meio do módulo criptográfico no dispositivo de computação pessoal do titular, para que possa ser transmitido aos servidores dos prestadores de dados de uma maneira que oculte o identificador anónimo original. Nesta modalidade, quando o titular dos dados instala a aplicação informática pessoal no dispositivo de computação pessoal, o processo de instalação é configurado para enviar o identificador anónimo original ao servidor do responsável de confiança do tratamento de dados. Ao recebê-lo, o servidor do responsável de confiança do tratamento de dados aplica o algoritmo de hash ao identificador anónimo original e obtém o identificador anónimo hash, que armazena no registo do titular dos dados na base de dados de registo de utilizadores. Nas transmissões subsequentes de informações de interesse pertencentes ao titular dos dados, entre o servidor do prestador de dados e o servidor do responsável de confiança do tratamento de dados, os dados do titular são identificados pelo primeiro pelo identificador anónimo de hash do titular. Ao recebê-lo, o servidor do responsável de confiança do tratamento de dados procura na sua base de dados de registo de dados esse mesmo identificador anónimo hash, e ao encontrar um igual, lê o identificador anónimo original da pessoa em causa nesse mesmo registo e armazena os dados de interesse recebidos sob a identidade desse identificador anónimo.
[0072] Em todas as modalidades criptográficas, é desejável que o identificador anónimo encriptado seja desencriptado apenas pelo servidor do responsável de confiança do tratamento de dados. Assim, o identificador anónimo encriptado e as chaves criptográficas necessárias para desencriptá-lo serão conhecidos apenas pelos módulos criptográficos correndo no dispositivo de computação pessoal do titular dos dados e no servidor do responsável de confiança do tratamento de dados e serão secretos para todos os outros computadores, tais como os servidores dos prestadores de dados.
28/66
[0073] Dada a existência de numerosos métodos de criptografia e de transformação de dados e para simplificar a presente divulgação, as expressões encriptar, hash, identificador anónimo encriptado , dados encriptados, assinado digitalmente (e suas contrapartes desencriptar, identificador anónimo desencriptado , dados desencriptados , assinatura digital verificada ) serão agora usadas sem referência continua ao método de criptografia ou transformação de dados utilizado, usando apenas as palavras encriptado e desencriptado, excepto quando o contexto o exigir. No entanto, uma pessoa com capacidade razoável em criptografia será capaz de identificar o método mais apropriado para cada uso.
[0074] A presente divulgação descreverá agora a operação do presente sistema e método para gerir dados pessoais anonimizados. Este sistema e método são utilizados para pesquisar e obter dados pessoais identificados relacionados com a pessoa em causa, e incluem o download e instalação de uma aplicação informática pessoal num dispositivo de computação pessoal, devendo o titular dos dados introduzir pelo menos o nome, identificadores pessoais ou ambos, um consentimento opcional, o pedido de acesso aos dados e a sua transferência e as preferências do utilizador. O módulo criptográfico gera um identificador anónimo para o titular dos dados bem como uma versão encriptada. A aplicação informática pessoal envia os dados e o identificador anónimo encriptado a um ou mais servidores dos prestadores de dados, que pesquisam e obtêm as informações de interesse do titular dos dados armazenadas numa ou mais bases de dados da aplicação, removem todos os identificadores pessoais para desidentificar e anonimizar as informações e o titular dos dados, transmitem as informações anonimizadas e o identificador anónimo encriptado, para um servidor do responsável de confiança do tratamento de dados, que desencripta a valida o identificador anónimo do titular dos dados e grava, processa e subsequentemente devolve os dados anonimizados para o dispositivo de computação pessoal do titular dos dados anonimizado.
29/66
[0075] Em mais detalhe, a aplicação informática pessoal no dispositivo de computação pessoal entra em contacto com todos os servidores dos prestadores de dados participantes que possivelmente possuem dados pessoais relacionados com o titular dos dados. Os servidores dos prestadores de dados executam uma aplicação informática de transmissão de dados confiqurado para comunicarem com sequrança com a aplicação informática pessoal. Um servidor do prestador de dados recebe os dados da aplicação informática pessoal, incluindo pelo menos o nome ou identificadores pessoais ou ambos, o consentimento opcional, pedido de acesso aos dados e de transferência, preferências do utilizador e identificador anónimo encriptado e, por meio dos identificadores pessoais, pesquisa na sua bases de dados da aplicação, dados pessoais de interesse pertencentes ao titular dos dados e obtém os dados identificados. Ao encontrá-los, a aplicação informática de transmissão de dados remove todo e qualquer identificador pessoal dos dados de interesse identificados: nome, data de nascimento completa, endereço, números de identificação pessoal, número de telefone celular, endereço de e-mail, endereço na internet e similares, para desidentificar e anonimizar os dados de interesse do titular. Essas ações são realizadas por todos os servidores dos prestadores de dados contactados pela aplicação informática pessoal do titular dos dados.
[0076] A aplicação informática de transmissão de dados em cada servidor do prestador de dados adiciona aos dados de interesse anonimizados o identificador anónimo encriptado do titular dos dados e as informações opcionais e transmite-os à aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados.
[0077] O servidor do responsável de confiança do tratamento de dados recebe a transmissão de dados e verifica se esta se refere a um titular de dados novo ou a um existente. Tal é feito pelo módulo criptoqráfico desencriptando o identificador anónimo encriptado do titular dos dados e pesquisando o identificador anónimo desencriptado do titular dos dados na base de dados de /66 registo de utilizadores do servidor do responsável de confiança do tratamento de dados.
[0078] Se não o encontrar, o titular dos dados é novo e a aplicação informática para a transmissão de dados abre um novo registo para o titular, registando o seu identificador anónimo, consentimento opcional, pedido de acesso aos dados e transferência e preferências na base de dados de registo de utilizadores e os metadados de transmissão (por exemplo, registo de data e hora da comunicação, identidade e endereço do prestador de dados de origem, etc.) no arquivo de log de transmissões do servidor do responsável de confiança do tratamento de dados. Se o encontrar, o titular dos dados é, portanto, um utilizador existente, e a aplicação informática de transmissão de dados regista os metadados de transmissão no arquivo de log de transmissões no servidor do responsável de confiança do tratamento de dados. Posteriormente e em ambos os casos, a aplicação informática de transmissão de dados regista o identificador anónimo e os dados de interesse anonimizados na base de dados aplicacional do servidor do responsável de confiança do tratamento de dados.
[0079] A transmissão de dados anonimizados do servidor do prestador de dados para o servidor do responsável de confiança do tratamento de dados irá ocorrer periodicamente, sempre que novos dados pessoais relativos à pessoa em causa são inseridos na base de dados aplicacional de um ou mais servidores de prestadores de dados participantes. A aplicação informática de transmissão de dados no servidor do prestador de dados será configurada para identificar os novos dados para transmissão subsequente ao servidor do responsável de confiança do tratamento de dados. Essa transmissão periódica ocorrerá enquanto o titular dos dados não revogar o seu consentimento para o acesso e processamento dos seus dados pessoais, por meio da sua aplicação informática pessoal, uma revogação que será disseminada a todos os servidores que participam no presente sistema de computador e transmissão de dados. Com o tempo, o servidor do prestador de dados continuará transmitindo novos dados e o servidor do responsável de confiança do tratamento de
31/66 dados acumulará uma quantidade substancial de dados de interesse anonimizados, identificados apenas pelo identificador anónimo do titular dos dados.
[0080] O método pelo qual o servidor do responsável de confiança do tratamento de dados devolve dados de interesse anonimizados para a aplicação informática pessoal de um titular de dados anónimo será agora descrito. A aplicação informática pessoal no dispositivo de computação pessoal e a aplicação informática de transmissão de dados do servidor do responsável de confiança do tratamento de dados estabelecem comunicação pela rede de comunicações e a aplicação informática de transmissão de dados transmite os dados de interesse anonimizados para a aplicação informática pessoal, devolvendo assim os dados pessoais e informações de interesse para o dispositivo de computação pessoal do titular anónimo.
[0081] Tal é conseguido por meio de uma sessão de comunicação que é sempre iniciada pela aplicação informática pessoal no dispositivo de computação pessoal do titular dos dados, conectando-se ao endereço eletrónico conhecido do servidor do responsável de confiança do tratamento de dados. A aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados deve aguardar o início da sessão de comunicações pela aplicação informática pessoal, já que este não tem nenhum elemento, número ou endereço de contacto do titular.
[0082] As comunicações seguras entre o dispositivo de computação pessoal do titular dos dados e o servidor do responsável de confiança do tratamento de dados são estabelecidas pela aplicação informática pessoal que envia um pedido de transmissão de dados ao servidor do responsável de confiança do tratamento de dados, que pode ser validado de duas maneiras diferentes. A aplicação informática pessoal e o módulo criptográfico podem enviar o pedido e o identificador anónimo do titular dos dados num formato de assinatura digital, que será esse identificador anónimo encriptado com a chave privada do módulo criptográfico, expressão à qual se junta a chave pública do titular dos dados,
32/66 que é igual ao identificador anónimo. O módulo criptográfico no servidor do responsável de confiança do tratamento de dados recebe e decifra a mensagem usando a chave pública que foi anexada à mensagem. Se o conteúdo da mensagem desencriptada for o mesmo que a chave pública usada para desencriptar, a assinatura digital e a mensagem serão validadas.
[0083] Descrevendo um segundo método, um pedido identificado exclusivamente pelo identificador anónimo do titular dos dados pode ser validado pela aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados, que o recebe e o compara com registos iguais na base de dados de registo de utilizadores no servidor do responsável de confiança do tratamento de dados. Se uma correspondência for encontrada, é uma confirmação de que um pedido válido foi recebido e de que o identificador anónimo armazenado e o identificador anónimo recebido correspondem ao mesmo titular dos dados anonimizado.
[0084] Seguindo um desses dois métodos de verificação, a aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados asseguradamente devolverá os dados de interesse anonimizados para o dispositivo de computação pessoal do seu legítimo titular. Este método e sistema fornecem aos computadores da presente invenção um nível de segurança operacional no que diz respeito aos direitos de privacidade que não se encontravam até agora devidamente contemplados nas comunicações e sistemas de computadores na internet.
[0085] Selecionando o sistema criptográfico de chave assimétrica para gerar o identificador anónimo e fornecer pares de chaves criptográficas assimétricas a todos os computadores na presente invenção - do titular dos dados, dos prestadores de dados e do responsável de confiança do tratamento de dados - e adicionalmente usando uma função hash para transformar os identificadores anónimos originais resolve com mais eficiência e segurança, as deficiências presentes nos sistemas de
33/66 computadores existentes em relação ao risco de abuso de privacidade relativamente a dados pessoais.
[0086] Dessa maneira, quando a aplicação informática pessoal entra em contacto com um ou mais servidores dos prestadores de dados e transmite os dados do titular introduzidos durante a instalação da aplicação informática pessoal no dispositivo de computação pessoal do titular, o identificador anónimo original do participante pode ser encriptado ou transformado com uma função hash, continuando assim a servir de identificador único para o titular dos dados, mas sem revelar o identificador anónimo original. Consequentemente, o servidor do prestador de dados não pode associar o nome e os identificadores pessoais do titular dos dados, que são armazenados e conhecidos por esse mesmo servidor, com o identificador anónimo original do titular dos dados. Tal garante a confidencialidade da chave pública do titular dos dados , que também é seu identificador anónimo. Quando o servidor do prestador de dados transmite os dados de interesse anonimizados e o identificador anónimo encriptado para o servidor do responsável de confiança do tratamento de dados, o servidor do responsável de confiança do tratamento de dados usa a sua chave criptográfica privada para desencriptar e obter o identificador anónimo original do titular dos dados. Dessa forma, será impossível para qualquer entidade operando um computador, ou para qualquer computador excepto o titular dos dados e o responsável de confiança do tratamento de dados e seus respectivos computadores, de conhecer o identificador anónimo do titular dos dados e usá-lo para obter acidental ou ilegalmente os dados de interesse do titular dos dados a partir do servidor do responsável de confiança do tratamento de dados e, em seguida, usar esses dados em violação dos direitos de privacidade do titular. Mesmo que o computador interceptador seja capaz de obter uma quantidade considerável de informações de interesse, na ausência do nome ou de identificadores pessoais do titular dos dados, estas não são identificáveis ou relacionáveis com uma pessoa conhecida.
[0087] Quando a aplicação informática pessoal no dispositivo de computação pessoal e a aplicação informática de transmissão de /66 dados no servidor do responsável de confiança do tratamento de dados comunicam e transmitem dados, na maioria dos casos a sessão de comunicações é iniciada automaticamente, de acordo com as preferências padrão existentes na aplicação informática pessoal, que poderão ser diariamente, semanalmente ou mensalmente ou períodos ainda mais longos. Essa frequência depende da natureza dos dados. No caso de cuidados médicos, um valor padrão adequado é mensal, mas se uma pessoa se encontra hospitalizada, um intervalo mais apropriado é uma actualização diária. Por esse motivo, o titular dos dados pode alterar a frequência de actualização na sua aplicação informática pessoal para um intervalo desejado ou até selecionar um botão de opção de actualização imediata na aplicação informática pessoal.
[0088] Para actualizações programadas, a frequência será comunicada pela aplicação informática pessoal à aplicação informática de transmissão de dados num ou mais servidores dos prestadores de dados. Para uma actualização imediata, o pedido irá diretamente para a aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados, para transmissão de dados de interesse recebidos recentemente.
[0089] Em todas as modalidades, seja durante a comunicação de mensagens que contêm dados de interesse anonimizados, a partir de um ou mais servidores dos prestadores de dados para o servidor do responsável de confiança do tratamento de dados, seja durante o registo de um novo titular dos dados anónimo na base de dados de registo de utilizadores no servidor do responsável de confiança do tratamento de dado, seja aquando da comunicação de dados de interesse anonimizados a partir do servidor do responsável de confiança do tratamento de dados para o dispositivo de computação pessoal do titular dos dados anónimo, o titular dos dados nunca usa e nunca lhe é exigido pela aplicação informática pessoal o uso de um nome de utilizador convencional definido pelo utilizador (um logín) e uma palavra-passe do sistema, que identificaria indesejadamente o titular dos dados. O acesso à aplicação informática pessoal pode ser protegido pelo uso de uma palavra-passe de bloqueio de
35/66 écran local, armazenada exclusivamente no dispositivo de computação pessoal, ou por meios biométricos, como impressão digital ou reconhecimento facial localmente presentes em dispositivos de computação pessoal. A verificação de identidade do titular é sempre por meio do identificador anónimo.
[0090] Existem várias aplicações informáticas para obter dados pessoais de um titular de dados e esse é o caso em aplicações informáticas de assistência médica e de registo eletrónico de saúde. No entanto, essas aplicações informáticas estão normalmente associadas a um prestador de serviços de saúde ou a uma companhia de seguros e não cobrem todos os prestadores de dados nos quais os registos de um titular de dados possam estar armazenados. O presente pedido de patente divulga um método e um sistema em que os dados pessoais podem ser obtidos universalmente, de onde quer que estejam armazenados numa multiplicidade de servidores participantes e são depois encaminhados de forma anónima e devolvidos de maneira organizada e fácil de entender para o dispositivo de computação pessoal do titular dos dados.
[0091] A devolução das informações de interesse do titular dos dados durante uma sessão de comunicação sempre iniciada pela aplicação informática pessoal do titular dos dados que é identificado pelo seu identificador anónimo resolve o paradoxo da reversibilidade / irreversibilidade do anonimato e permite que o servidor do responsável de confiança do tratamento de dados comunique com segurança com o dispositivo de computação pessoal do titular e lhe transmita informações pessoais valiosas e conhecimento cientifico derivado do processamento em larga escala de dados pessoais, sem saber o nome do titular, o número de telefone celular, o endereço de e-mail ou o endereço do dispositivo de computação pessoal.
[0092] Numa modalidade da invenção, uma mãe ou um pai podem armazenar as informações de interesse de uma criança no seus dispositivos de computação pessoal e, mesmo, uma vez atingida determinada idade legal, permitir que as informações da criança
36/66 sejam removidas do dispositivo dos pais e transferidas para o dispositivo da criança agora adulta.
[0093] Noutra modalidade da invenção aplicável aos cuidados de saúde, o titular dos dados pode, por meio da aplicação informática pessoal, designar um profissional de saúde que estará autorizado a receber os registos médicos do titular dos dados. Para isso, o titular dos dados faz com que a aplicação informática pessoal envie o identificador anónimo do titular dos dados e o nome do profissional de saúde para a aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados. O profissional de saúde executará uma aplicação informática no seu computador conectado por uma rede de comunicações à mesma aplicação informática de transmissão de dados. Esse aplicação informática no servidor do responsável de confiança do tratamento de dados receberá o pedido do titular dos dados, o seu identificador anónimo e o nome do profissional de saúde. Essa aplicação informática de transmissão de dados recuperará os registos médicos do titular dos dados da base de dados aplicacional informática e enviá-losá para o computador conectado cuja identidade de utilizador corresponde ao nome do profissional de saúde designado pelo titular dos dados. Portanto, os registos de dados de saúde podem ser partilhados pelo titular dos dados com o profissional de saúde escolhido e a partilha de dados ocorre sem que o servidor do responsável de confiança do tratamento de dados saiba o nome do titular dos dados.
[0094] Noutra modalidade, a aplicação informática pessoal está configurada para detetar a presença da mesma aplicação instalada noutros dispositivos de computação pessoal de outros titulares de dados, que se encontram próximos, e, por wífí ou bluetooth, as duas aplicações informáticas pessoais enviam, recebem e armazenam os identificadores anónimos encriptados do outro titular. Esta modalidade é particularmente útil em situações epidémicas, onde existe a necessidade de saber a identificação, neste caso anónima, de todas as pessoas que estiveram na proximidade de uma pessoa infectada, e de contactar todos os
37/66 intervenientes para lhes enviar conselhos relevantes para as suas aplicações informáticas pessoais.
[0095] Outra modalidade envolve a aplicação informática pessoal a qual, durante sua instalação, contacta primeiro um servidor de verificação de identidade conhecido, com o objetivo de qarantir absolutamente que o titular dos dados seja realmente a pessoa indicada pelo seu nome, e não outra pessoa tentando usar uma identidade que não é a sua, para obter ileqalmente as informações pessoais de outrem. Somente após a verificação de identidade , como descrito, por exemplo, no pedido de patente PT 115.304, a aplicação informática pessoal poderá concluir com êxito a sua instalação no dispositivo de computação pessoal , por uma mensaqem do servidor de verificação de identidade que a autorize. O servidor de verificação de identidade também podem armazenar uma lista de servidores de prestadores de dados participantes susceptiveis de armazenar informações de interesse da pessoa em causa. Nesse caso, o servidor de verificação de identidade pode ser proqramado para qarantir a distribuição dos dados de reqisto de utilizadores do titular dos dados a todos os servidores dos prestadores de dados. Tal evita que o dispositivo de computação pessoal seja vinculado a um processo de reqisto do titular dos dados que pode ser demorado. Esta possível função para o servidor de verificação de identidade não altera substancialmente a presente divulqação, pois após verificar a identidade do titular dos dados, esse servidor transmite dados para os servidores dos prestadores de dados exatamente da mesma maneira descrita aqui em relação às transmissões de dados entre o dispositivo de computação pessoal e um ou mais servidores dos prestadores de dados. Os meios para controlar a transmissão sequra de dados nesta modalidade podem incluir chaves de criptoqrafia assimétricas, assinaturas diqitais, funções hash e blockchaín.
[0096] Outra modalidade envolve a possibilidade de recuperar as informações de interesse de um titular de dados, no caso de perda, destruição, roubo, reinstalação ou actualização do dispositivo de computação pessoal do titular de dados. Aqui, um novo dispositivo de computação pessoal pode ser usado, a
38/66 aplicação informática pessoal descarregada e instalada novamente, um novo identificador anónimo sendo gerado e a conta de utilizador do computador do titular dos dados recuperada, reiniciando o processo de fluxo de dados através de um ou mais computadores prestadores de dados servidores e permitir que as informações de interesse anteriormente existentes armazenadas no servidor do responsável de confiança do tratamento de dados sejam associadas novamente ao novo identificador anónimo do titular dos dados, sem transmitir ou revelar a identidade do nome ou identificadores pessoais dos dados do titular ao servidor do responsável de confiança do tratamento de dados. Os meios para essa recuperação incluem um computador que previamente detenha pelo menos o nome do titular dos dados, identificadores pessoais e o identificador anónimo encriptado original . Portanto servidores dos prestadores de dados e servidores de verificação de identidade podem ser úteis nesta recuperação, bem como na re-identificação de pessoas no caso de interesse vital ou de emergência de saúde pública.
Descrição sumária dos desenhos
[0097] O Desenho la é um diagrama de blocos de uma arquitetura de sistema usada para descarregar e instalar uma aplicação informática pessoal e um módulo criptográfico num dispositivo de computação pessoal, de acordo com um exemplo de modalidade da presente divulgação.
[0098] O Desenho 1b é um diagrama de blocos de uma arquitetura de sistema de computador usada para conectar um dispositivo de computação pessoal, um servidor de prestador de dados, um servidor de responsável de confiança do tratamento de dados e estabelecer comunicações entre todos eles, de acordo com um exemplo de modalidade da presente divulgação.
[0099] O Desenho 2 é um diagrama de blocos de um dispositivo de computação pessoal, de acordo com um exemplo de uma modalidade da presente divulgação.
39/66
[0100] O Desenho 3 é um diagrama de blocos de um servidor de um prestador de dados, de acordo com um exemplo de uma modalidade da presente divulgação.
[0101] O Desenho 4 é um diagrama de blocos de um servidor de um responsável de confiança do tratamento de dados, de acordo com um exemplo de modalidade da presente divulgação.
[0102] O Desenho 5 é um fluxograma de programa começando com a instalação da aplicação informática pessoal no dispositivo de computação pessoal e terminando com a transferência das informações de interesse para o servidor do responsável de confiança do tratamento de dados, de acordo com um exemplo de modalidade da presente divulgação.
[0103] O Desenho 6 é um fluxograma de programa começando com a transmissão do pedido de transmissão de dados pela aplicação informática pessoal e terminando com o titular dos dados acedendo e utilizando as informações pessoais de interesse no seu dispositivo de computação pessoal, de acordo com um exemplo de modalidade da presente divulgação.
[0104] Nos desenhos, números semelhantes referem-se a elementos e caracteristicas semelhantes na descrição.
Descrição detalhada dos desenhos
[0105] No Desenho la, o titular dos dados conecta o seu dispositivo de computação pessoal à rede pública de comunicações digitais móveis, como o sistema GSM, por exemplo, a internet ou qualquer outra rede de comunicações - coletivamente a rede de comunicações. De seguida, o titular dos dados descarrega e instala uma aplicação informática pessoal 100 e um módulo criptográfico 101 no seu dispositivo de computação pessoal 110. A aplicação informática pessoal 100 e o módulo criptográfico 101 são descarregados a partir de um sistema de distribuição de software apropriado 105, como AppStore ou Google Play, ou um site da internet, ao qual o titular dos dados conecta-se usando seu dispositivo de computação pessoal 110. O titular dos dados conhece a aplicação informática pessoal 100 através de /66 conhecimento público, redes sociais ou um anúncio convencional, que a identifica como uma aplicação informática pessoal publicada por um responsável de confiança do tratamento de dados para obter com segurança dados pessoais pertencentes ao titular dos dados.
[0106] No Desenho 1b, após o download, ocorre a instalação da aplicação informática pessoal 100 e o titular dos dados introduz pelo menos o seu nome e pode inserir outros identificadores pessoais e termos de consentimento. O módulo criptográfico 101 gera um identificador anónimo, bem como sua versão encriptada, usando a chave pública conhecida do responsável de confiança do tratamento de dados .
[0107] A aplicação informática pessoal 100 do dispositivo de computação pessoal 110 envia a mensagem de dados - dados inseridos pelo titular dos dados e identificador anónimo encriptado - para um ou mais servidores de prestadores de dados 120, conhecidos pela aplicação informática pessoal, que possam conter dados pessoais relativos ao titular dos dados. Em um ou mais servidores dos prestadores de dados 120 encontra-se instalada uma aplicação informática de transmissão de dados 125, configurada para comunicar dados com segurança com a aplicação informática pessoal 100.
[0108] A aplicação informática de transmissão de dados 125 pesquisa as bases de dados da aplicação do servidor do prestador de dados 120 e extrai as informações de interesse relacionadas com o titular dos dados. A aplicação informática de transmissão de dados 125 anonimiza as informações de interesse removendo o nome e os identificadores pessoais e substituindo-os pelo identificador anónimo encriptado do titular dos dados e transmite-os para o servidor do responsável de confiança do tratamento de dados 130. Este servidor 130 também tem instalada uma aplicação informática de transmissão de dados 135 configurada para comunicar dados com segurança com a aplicação informática de transmissão de dados 125 em um ou mais servidores dos prestadores de dados 120. Essa extração, anonimização e transmissão de dados ocorre periodicamente sob o controle da
41/66 aplicação informática de transmissão de dados 125 correndo em um ou mais servidores dos prestadores de dados 120.
[0109] A aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 recebe a mensagem de dados da aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120, incluindo as informações de interesse anonimizadas e o identificador anónimo encriptado.
[0110] Programação contida no servidor do responsável de confiança do tratamento de dados 130 decifra ou valida o identificador anónimo do titular dos dados e armazena as informações de interesse anonimizadas. Em intervalos regulares, a aplicação informática de transmissão de dados 135 do servidor do responsável de confiança do tratamento de dados 130 transmite a informação recém-recebida de interesse à aplicação informática pessoal 100 no dispositivo de computação pessoal 110 do titular dos dados, que é identificada pelo mesmo identificador anónimo que a informação de interesse anonimizada.
[0111] No Desenho 2, o dispositivo de computação pessoal 110 é ilustrado em termos dos seus componentes essenciais de hardware e software. O dispositivo de computação pessoal 110 possui um processador principal 200, um subsistema de comunicações 210 configurado para comunicar através da rede de comunicações com todos os servidores dos prestadores de dados 120 e com o servidor do responsável de confiança do tratamento de dados 130, um dispositivo de introdução de dados 220, um monitor ou écran 230 e um subsistema de armazenamento de dados 235, que armazena dados e programas. O processador 200 interage com a memória 240 contendo programas de computador e dados recebidos do subsistema de armazenamento de dados 235. A memória 240 inclui as instruções do programa 250, a aplicação informática pessoal 100, o módulo criptográfico 101 e dados dos ficheiros e bases de dados da aplicação 280 que armazenam a informação de interesse recebidas do servidor do responsável de confiança do tratamento de dados 130.
/66
[0112] O Desenho 3 ilustra os componentes essenciais de hardware e software de um ou mais servidores dos prestadores de dados.
[0113] Um ou mais servidores dos prestadores de dados 120 possuem um processador principal 300, um subsistema de comunicações 310 configurado para comunicar através da rede de comunicações com todos os dispositivos de computação pessoal dos titulares dos dados 110 e com o servidor do responsável de confiança do tratamento de dados 130, um dispositivo de introdução de dados 320 , um monitor ou écran 330 e um subsistema de armazenamento de dados 335, que armazena dados e programas. O processador 300 interage com a memória 340 contendo programas de computador e dados recebidos do subsistema de armazenamento de dados 335. A memória 340 inclui as instruções do programa 350, a aplicação informática de transmissão de dados 125, o módulo criptográfico 301, a base de dados de registo de utilizadores 370, a base de dados aplicacional 380 contendo os dados pessoais identificados do titular dos dados e os arquivos de log de transações 390 contendo os metadados das comunicações de todas as sessões de transmissão de dados que incluem pelo menos a identidade do computador de origem e o registo de data e hora do evento de transmissão de dados.
[0114] O Desenho 4 ilustra os componentes essenciais de hardware e software do servidor do responsável de confiança do tratamento de dados.
[0115] O servidor do responsável de confiança do tratamento de dados 130 possui um processador principal 400, um subsistema de comunicações 410 configurado para comunicar através da rede de comunicações com o dispositivo de computação pessoal do titular dos dados 110 e com os servidores dos prestadores de dados 120, um dispositivo de introdução de dados 420, um monitor 430 e um subsistema de armazenamento 435 armazenando programas e dados de computador. O processador 400 interage com a memória 440 contendo programas de computador e dados recebidos do subsistema de armazenamento 435. A memória 440 inclui as instruções de programa 450, a aplicação informática de transmissão de dados 135, o módulo criptográfico 401, a base de dados de registo de /66 utilizadores 470, a base de dados aplicacional 480 contendo as informações de interesse anonimizadas do titular dos dados, os arquivos de log de transações 490 contendo os metadados das comunicações de todas as sessões de transmissão de dados, incluindo pelo menos a identidade do computador de origem e o carimbo de data e hora do evento de transmissão de dados, e a aplicação informática de ciência de dados 495. Em uso, é esta aplicação informática de ciência de dados que processará as informações de interesse anonimizadas armazenadas em larga escala na base de dados aplicacional 480 para produzir os relatórios descritos anteriormente a partir dos quais novas informações e novos conhecimentos serão derivados. Esses relatórios terão um valor económico significativo e, em certas áreas como cuidados médicos, um interesse público considerável.
[0116] A operação dos sistemas de computador nos Desenhos la, 1b, 2, 3 e 4 será agora explicada em detalhe através dos fluxogramas dos Desenhos 5 e 6. As etapas do programa são numeradas por números pertencentes às séries 500 e 600, mas também é feita referência aos elementos dos desenhos anteriores.
[0117] O Desenho 5 ilustra o processo pelo qual um titular de dados se regista no sistema de computadores da presente divulgação, e como os dados de interesse são obtidos por um ou mais servidores dos prestadores de dados 120 e são transmitidos para o servidor do responsável de confiança do tratamento de dados 130. Na etapa 500, o titular dos dados descarrega a aplicação informática pessoal 100 e o módulo criptográfico associado 101 de um serviço de distribuição de aplicações informáticas adequado ou de um site 105, para o seu dispositivo de computação pessoal 110. Durante o processo de instalação, o titular dos dados insere dados de identificação pessoal na aplicação informática pessoal 100 por meio de um dispositivo de introdução de dados 220, tais como nome, sexo, data de nascimento, endereço, código postal e identificadores pessoais, como o número do cartão de identificação do cidadão, número da carta de condução, número de segurança social ou número de contribuinte - o maior número possível , e isso ajudará na /66 pesquisa subsequente de dados pessoais nos servidores dos prestadores de dados 120.
[0118] No caso de leis de proteção de dados pessoais assim o exigirem, o titular dos dados indica, por meio do dispositivo de introdução de dados 220 na aplicação informática pessoal 100, o seu consentimento para o processamento dos seus dados pessoais, em qualquer servidor de prestador de dados 120 onde possam estar armazenados, e para autorizar o seu processamento e transferência para o servidor do responsável de confiança do tratamento de dados 130. Normalmente, a aplicação informática pessoal 100 terá sido desenvolvida e é distribuída por um responsável de confiança do tratamento de dados específico e será configurada para exibir o nome desse responsável de confiança no écran 230 do dispositivo de computação pessoal 110, de modo que seja claro para o titular dos dados qual o sistema de computador em que seus dados pessoais anónimos serão transferidos ou copiados. O titular dos dados também pode inserir quaisquer dados de preferências ou opções solicitados pela aplicação informática pessoal 100 usando o dispositivo de introdução de dados 220.
[0119] Uma vez concluída a etapa de introdução de dados, na etapa 510, um módulo criptográfico 101 no dispositivo de computação pessoal 110 gera um identificador anónimo e uma versão encriptada desse mesmo identificador. O identificador anónimo pode ser gerado usando um sistema de chaves simétricas ou um sistema de chaves assimétricas, dependendo da modalidade e do nível de segurança desejado, mas independentemente do sistema adotado para gerá-lo, o identificador anónimo e o identificador anónimo encriptado estarão sempre associados ao titular dos dados que os originou e identificarão como chave de identificação todos os dados pessoais obtidos posteriormente em um ou mais servidores dos prestadores de dados 120 e transmitidos ao servidor do responsável de confiança do tratamento de dados 130.
[0120] Na modalidade geral, ao usar uma chave criptográfica simétrica, o identificador anónimo pode ser gerado para cumprir /66 a função de uma chave de criptografia, usando o Advanced Encryptíon Standard incluído no módulo criptográfico 101 do dispositivo de computação pessoal 110 .
[0121] Na modalidade de chave assimétrica, chaves criptográficas assimétricas são geradas usando o sistema preferido do algoritmo de assinatura digital de curva elíptica. A chave privada será gerada aleatoriamente pelo módulo criptográfico 101 no dispositivo de computação pessoal 110 e a partir dessa chave privada o módulo criptográfico 101 derivará matematicamente uma chave criptográfica pública. Essa chave pública também será o identificador anónimo do titular dos dados. O módulo criptográfico 101, em seguida, seleciona a chave pública gerada / identificador anónimo e produz uma versão encriptada usando a chave criptográfica pública conhecida do servidor do responsável de confiança do tratamento de dados 130, ou usando qualquer um dos outros métodos criptográficos ou de transformação descritos na presente divulgação. A chave pública do servidor do responsável de confiança do tratamento de dados 130 é conhecida publicamente e é armazenada no módulo criptográfico 101 no dispositivo de computação pessoal 110. Isso significa que, se a chave pública encriptada do titular dos dados for transmitida ou interceptada por outros computadores que não possuem os meios para desencriptá-la estes nunca conhecerão a chave pública original / identificador anónimo do titular dos dados. Assim, quando transmitidos a um ou mais servidores dos prestadores de dados 120 como parte do processo de registo inicial descrito neste Desenho 5, os servidores dos prestadores de dado 120 são impedidos de conhecer o identificador anónimo em claro do titular dos dados e, portanto, serão incapazes de usar a sua funcionalidade como chave de identificação, chave de autenticação e chave criptográfica.
[0122] Na etapa 520, a aplicação informática pessoal 100 no dispositivo de computação pessoal 110 entra em contacto com todos os servidores de prestadores de dados participantes 120 que armazenam dados de interesse do titular dos dados, como registos de saúde, registos fiscais, registos de transações, registos financeiros, registos de preferências - qualquer /66 informação que por natureza possa ser privada ou sensível - e esses reqistos são armazenados nas bases de dados da aplicação 380. Esse contacto será realizado usando a rede de comunicações. Os endereços eletrónicos dos servidores dos prestadores de dados 120 podem ser qravados numa lista armazenada no dispositivo de computação pessoal 110 que é acedida pela aplicação informática pessoal 100, ou a aplicação informática pessoal 100 pode entrar em contacto com um servidor de internet de confiança (não ilustrado) a partir do qual pode recuperar a lista mais actualizada de endereços eletrónicos dos servidores dos prestadores de dados participantes.
[0123] A aplicação informática pessoal 100 e a aplicação informática de transmissão de dados 125 em um ou mais servidores dos prestadores de dados 120 são confiqurados para transmitir dados com sequrança entre si. A aplicação informática de transmissão de dados 125 terá sido desenvolvida pelo responsável de confiança do tratamento de dados. É a primeira vez que a aplicação informática pessoal 100 entra em contacto com o servidor do prestador de dados 120.
[0124] Uma vez a conexão estabelecida, a aplicação informática pessoal 100 transmite o nome do titular dos dados, dados de identificação pessoal, identificadores pessoais, termos de consentimento opcional, pedido de acesso a dados opcional, preferências pessoais opcionais e o identificador anónimo encriptado, para a aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120.
[0125] Na etapa 530, a aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120 recebe os dados de identificação transmitidos pelo titular dos dados e armazenaos na sua base de dados de reqisto de utilizadores 370. A base de dados de reqisto de utilizadores 370 reqistará, portanto, o nome do titular dos dados, todos os identificadores pessoais, termos opcionais de consentimento, pedido opcional de transferência de dados, preferências opcionais do utilizador e o identificador anónimo encriptado.
/66
[0126] Uma vez este processo concluído, a aplicação informática de transmissão de dados 125 transmite uma mensagem para a aplicação informática pessoal 100 de que o processo de registo se encontra concluído nesse servidor do prestador de dados 120.
[0127] A aplicação informática pessoal 100 então seleciona o próximo servidor do prestador de dados na lista de servidores de prestadores de dados e reinicia o processo de registo do utilizador em todos os servidores dos prestadores de dados 120 até que o titular dos dados tenha sido registado como um novo utilizador em todos os servidores dos prestadores de dados 120 da lista.
[0128] A aplicação informática de transmissão de dados 125 pesquisa as bases de dados da aplicação 380 em um ou mais servidores dos prestadores de dados 120 e, usando o nome do titular dos dados e os seus identificadores pessoais, localiza e obtém todos os dados pessoais de interesse associados ao titular identificado.
[0129] Na etapa 540, ao localizar os dados de interesse e colocá-los na memória do servidor do prestador de dados 340, a aplicação informática de transmissão de dados 125 apaga o nome do titular dos dados e todo e qualquer identificador pessoal e substitui-os pelo identificador anónimo encriptado. Os dados de interesse do titular são, assim, despojados de quaisquer elementos de identificação pessoal e, portanto, são anonimizados e desidentifiçados.
[0130] Na etapa 550, a aplicação informática de transmissão de dados 125 em um ou mais servidores dos prestadores de dados 120 entra em contacto com a aplicação informática de transmissão de dados 135 localizada no servidor do responsável de confiança do tratamento de dados 130 por meio da rede de comunicações. Uma vez estabelecido o contacto, a aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120 transmite as informações de interesse anonimizadas, desidentifiçadas do titular dos dados, os termos opcionais de consentimento, o pedido opcional de acesso e transferência de dados, as preferências opcionais do utilizador e o identificador /66 anónimo encriptado , para a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130. As aplicações informáticas de transmissão de dados 125 registam os metadados de transmissão (pelo menos a identidade dos computadores em comunicação e o carimbo de data e hora da transmissão de dados) no arquivo de log 390 em um ou mais servidores dos prestadores de dados 120.
[0131] É de notar que o nome e os identificadores pessoais do titular dos dados não são transmitidos ao servidor do responsável de confiança do tratamento de dados 130. A transmissão de dados de interesse anonimizados ocorre periodicamente, sempre que novos dados de interesse - novos registos médicos, novos registos fiscais, novos registos financeiros, etc. - são adquiridos pelas bases de dados da aplicação informática 380 a partir do um ou mais servidores dos prestadores de dados 120, desde que o consentimento do titular dos dados não tenha sido revogado na aplicação informática pessoal 100 e comunicado à aplicação informática de transmissão de dados 125. A aplicação informática de transmissão de dados 125 está configurada para realizar esta pesquisa periódica, anonimizando e transmitindo os dados de interesse para o servidor do responsável de confiança do tratamento de dados 130. De forma a transmitir apenas a informação de interesse recente, a aplicação informática de transmissão de dados 125 referir-se-á aos metadados da transmissão anterior contida no arquivo de log 390 e apenas transmitirá informações interesse adquirido desde esse evento.
[0132] Na etapa 560, o servidor do responsável de confiança do tratamento de dados 130 recebe os dados transmitidos do um ou mais servidores dos prestadores de dados 120. A aplicação informática de transmissão de dados 135 regista os metadados de transmissão (pelo menos a identidade dos computadores comunicantes e o carimbo de data e hora da transmissão de dados) no ficheiro de log 490 no servidor do responsável de confiança do tratamento de dados 130.
/66
[0133] Ao receber a mensagem de dados de um ou mais servidores dos prestadores de dados 120, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 deve primeiro ler o identificador anónimo encriptado. Na modalidade geral, o identificador anónimo será desencriptado pelo módulo criptográfico 401 usando o método correspondente ao método usado para encriptá-lo originalmente. Na modalidade de chave assimétrica, o módulo criptográfico 401 lê o identificador anónimo encriptado do titular dos dados e desencripta-o usando a chave privada do servidor do responsável de confiança do tratamento de dados 130, obtendo assim o identificador anónimo original bem como a chave pública do titular dos dados .
[0134] Na etapa 570, o servidor do responsável de confiança do tratamento de dados 130 usa o identificador anónimo recebido para determinar se o titular dos dados é novo ou não. A aplicação informática de transmissão de dados 135 pesquisa a base de dados de registo de utilizadores 470 localizada no servidor do responsável de confiança do tratamento de dados 130 e compara o identificador anónimo recebido com os identificadores anónimos armazenados na base de dados de registo de utilizadores 470.
[0135] Na etapa 575, se uma correspondência não for encontrada, uma novo registo é introduzido na base de dados de registo de utilizadores 470 do servidor do responsável de confiança do tratamento de dados 130, incluindo o identificador anónimo do titular dos dados, termos de consentimento opcionais, pedido de transferência de dados opcional, as preferências opcionais do utilizador e os metadados da transmissão são registados no arquivo de log 490 localizado no servidor do responsável de confiança do tratamento de dados 130. O fluxo do programa de computador continua na etapa 580.
[0136] Se for encontrada uma correspondência ou se o fluxo do programa continuar depois da etapa 575, de seguida, na etapa 580 a pessoa em causa já está registada na base de dados de registo de utilizadores 470 do servidor do responsável de confiança do /66 tratamento de dados 130 e a aplicação informática de transmissão de dados 135 regista os dados de interesse anonimizados do titular dos dados na base de dados aplicacional 480 do servidor do responsável de confiança do tratamento de dados 130, identificados apenas pelo identificador anónimo do titular dos dados.
[0137] Após vários eventos de transmissão de dados, o servidor do responsável de confiança do tratamento de dados 130 armazenará uma quantidade significativa de informações pessoais de interesse anonimizadas pertencentes ao titular dos dados na sua base de dados aplicacional 480. Consequentemente, o servidor do responsável de confiança do tratamento de dados 130, na ausência de qualquer informação pessoal identificável sobre o titular dos dados - nem nome, identificadores pessoais, número de telefone celular ou endereço de email - não tem nenhum endereço para entrar em contacto e estabelecer comunicação com a aplicação informática pessoal 100 no dispositivo de computação pessoal do titular dos dados 110 e devolver-lhe as suas informações de interesse obtidas periodicamente dos vários servidores dos prestadores de dados 120. O servidor do responsável de confiança do tratamento de dados 130 não tem meios re-identificar o titular dos dados e de entrar em contato com o dispositivo de computação pessoal 110 e isso impede que os dados pessoais identificados do titular dos dados sejam acedidos por qualquer computador por acidente, negligência ou ilegalidade. A divulgação apresentada no desenho seguinte descreve um sistema de computador configurado para aceder e processar os dados pessoais do titular dos dados de uma maneira que não viola os seus direitos de privacidade.
[0138] O Desenho 6 ilustra como os dados de interesse anonimizados são devolvidos à aplicação informática pessoal 100 no dispositivo de computação pessoal 110 do titular dos dados anónimo, depois da execução bem sucedida das etapas 500 a 580.
[0139] Na etapa 600, é a aplicação informática pessoal 100 no dispositivo de computação pessoal 110 que abre uma sessão de comunicação com a aplicação informática de transmissão de dados
51/66
135 do servidor do responsável de confiança do tratamento de dados 130, através da rede de comunicações. Isso é possível porque a aplicação informática pessoal 100 tem o endereço eletrónico do servidor do responsável de confiança do tratamento de dados 130 e está configurada para contactá-lo periodicamente.
[0140] Na etapa 610, a aplicação informática pessoal 100 transmite um pedido de transmissão de dados para a aplicação informática de transmissão de dados 135 do servidor do responsável de confiança do tratamento de dados 130, incluindo o identificador anónimo do titular dos dados, preferencialmente encriptado na forma de uma assinatura digital. A aplicação informática de transmissão de dados 135 regista os metadados da sessão de comunicações (identificador anónimo e carimbo de data e hora) no arquivo de log 490 no servidor do responsável de confiança do tratamento de dados 130.
[0141] Na etapa 620, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 lê o identificador anónimo e sua assinatura digital, se presente, e deve determinar se é uma mensagem válida.
[0142] Na etapa 630, a aplicação informática de transmissão de dados 135 pesquisa a base de dados de registo de utilizadores 470 localizada no servidor do responsável de confiança do tratamento de dados 130 e compara o identificador anónimo recebido com os identificadores anónimos armazenados no base de dados de registo de utilizadores 470. Se for um assinatura digital, o módulo criptográfico 401 verifica-a usando o identificador anónimo recebido como chave de desencriptação da assinatura digital.
[0143] Na etapa 635, se não houver uma correspondência entre o identificador anónimo recebido e qualquer identificador anónimo armazenado, o identificador anónimo recebido é inválido. No caso de a assinatura digital desencriptada não ser idêntica ao identificador anónimo recebido, a mensagem também é inválida. A aplicação informática de transmissão de dados 135 do servidor do
52/66 responsável de confiança do tratamento de dados 130 pára de comunicar com a aplicação informática pessoal 100.
[0144] Na etapa 640, se houver uma correspondência entre o identificador anónimo recebido e qualquer identificador anónimo armazenado, ou se a assinatura digital desencriptada corresponder ao identificador anónimo recebido, o identificador anónimo recebido e o pedido de transmissão de dados são válidos.
[0145] A aplicação informática de transmissão de dados 135 pesquisa na base de dados aplicacional informática 480 no servidor do responsável de confiança do tratamento de dados 130 dados de interesse anonimizados identificados pelo identificador anónimo validado e obtém os dados de interesse mais recentes do titular dos dados anónimo, consultando o arquivo de log 490 que contém a data da sessão de comunicação anterior entre a aplicação informática pessoal 100 do titular dos dados e a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130.
[0146] Na etapa 650, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 transmite as informações mais recentes de interesse para a aplicação informática pessoal 100 no dispositivo de computação pessoal 110.
[0147] Na etapa 660, a aplicação informática pessoal 100 recebe as informações de interesse, organiza e as armazena-as na base de dados de informações de interesse 280 no dispositivo de computação pessoal do titular dos dados 110.
[0148] Na etapa 670, o titular dos dados abre a aplicação informática pessoal 100 no seu dispositivo de computação pessoal 110 e consulta e usa as informações de interesse 280.
[0149] É de realizar que, no caso de informações de interesse contidas em ficheiros muito grandes, o que é o caso aquando da transmissão de imagens e fotografias, o tempo de transmissão pode ser longo. A fim de reduzir o tempo de transferência de um desses ficheiros, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento
53/66 de dados 130 pode transmitir um endereço de link que identifica o registo na base de dados aplicacional informática 480 do servidor do responsável de confiança do tratamento de dados 130, para a aplicação informática pessoal 100, em vez do ficheiro em si. Nesta modalidade, sempre que o titular dos dados deseje consultar e usar esses ficheiros grandes, selecionando o endereço de link na aplicação informática pessoal 100 aciona automaticamente o pedido de transmissão de dados e o processo de verificação de identificador anónimo descrito nas etapas 610 a 640 e o ficheiro completo é então efectivamente transmitido pela aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 para a base de dados de informações de interesse 280 , para ser exibido na aplicação informática pessoal 100. Numa modalidade semelhante, este processo que economiza largura de banda pode ser usado para todas as transmissões regulares de dados de interesse entre a aplicação informática pessoal 100 do titular dos dados e a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130.
[0150] Assim, o servidor do responsável de confiança do tratamento de dados 130 é capaz de obter dados de interesse anonimizados de vários servidores prestadores de dados 120 e transmiti-los à aplicação informática pessoal 100 do seu legítimo titular, ainda que anónimo. Tal representa um avanço na proteção dos direitos de privacidade dos titulares de dados quando dados pessoais são transmitidos.
[0151] Em adquirindo mais informações de interesse na sua base de dados aplicacional 480, a partir de um grande número de titulares dos dados que usam a aplicação informática pessoal 100 nos seus dispositivos de computação pessoal 110, e de todos os servidores de prestadores de dados 120 participantes, o servidor do responsável de confiança do tratamento de dados 130 vai construindo uma base de dados aplicacional 480 de grande dimensão e pode executar o processamento informático em larga escala de dados anonimizados, usando técnicas como processamento estatístico, processamento de Bíg Data, machíne-learníng e inteligência artificial para obter novas informações a partir /66 dos dados armazenados, usando a aplicação informática de ciência de dados 495. Isso será particularmente relevante no caso de dados e serviços de saúde, estabelecendo novas relações entre medicamentos, tratamentos e terapias e quantificando o seu impacto em cada indivíduo ou classe de indivíduos, permitindo medicina de precisão usando dados do mundo real e melhor saúde individual e pública. Tal será também útil na actividade comercial de identificar preferências do consumidor, padrões de compra ou interações sociais, a partir do processamento em larga escala de dados pessoais, mas sem saber o nome do titular dos dados. Esse processamento será somente possível se grandes quantidades de dados pessoais forem armazenados em computadores. A presente invenção permite uma acumulação grande de dados pessoais de uma maneira que impede que os computadores que os processam associem os dados a uma pessoa identificada e, portanto, resolve o problema da proteção dos direitos de privacidade das pessoas cujos dados pessoais são processados por esses computadores.
[0152] Embora modalidades especificas do sistema e método da presente invenção tenham sido ilustradas nos desenhos anexos e descritas na descrição detalhada anterior, será entendido que a invenção não se limita às modalidades divulgadas, nomeadamente no uso de mais ou menos meios criptográficos e múltiplas combinações dos mesmos, mas é suscetível de numerosas combinações, modificações e substituições sem se afastar do espirito da invenção.
55/66
Reivindi cações
1. Método para um titular de dados executar um processo de registo num servidor de um responsável de confiança do tratamento de dados (130), a partir de uma aplicação informática pessoal (100) instalada num dispositivo de computação pessoal (110), em que o titular se identifica exclusivamente por meio de um identificador anónimo encriptado, e para o servidor do responsável de confiança do tratamento de dados (130) devolver informações de interesse do titular para a sua aplicação informática pessoal (100), incluindo as etapas:
a. O titular dos dados descarrega e instala uma aplicação informática pessoal (100) e um módulo criptográfico (101) no seu dispositivo de computação pessoal (110) e insere pelo menos o nome, os identificadores pessoais da sua pessoa e um consentimento opcional,
b. O módulo criptográfico (101) no dispositivo de computação pessoal (110) gera um identificador anónimo e uma versão encriptada do identificador anónimo,
c. A aplicação informática pessoal (100) no dispositivo de computação pessoal (110) entra em contacto com uma aplicação informática de transmissão de dados (125) em um ou mais servidores dos prestadores de dados (120) que armazenam dados relacionados com o titular dos dados, estando ambas (100, 125) configuradas para comunicar dados com segurança, para a primeira (100) transmitir e para a segunda (125) receber o nome do titular dos dados, identificadores pessoais, o identificador anónimo encriptado e o consentimento opcional,
d. A aplicação informática de transmissão de dados (125) de um ou mais servidores dos prestadores de dados (120) recebe e regista o nome do titular dos dados, identificadores pessoais, identificador anónimo encriptado e consentimento opcional e pesquisa na base de dados aplicacional (370) do servidor do prestador de dados (120), dados relacionados com o titular dos dados, por meio de o nome e identificadores pessoais do titular,
56/66
e. Ao localizar os dados de interesse, a aplicação informática de transmissão de dados (125) do servidor de um ou mais prestadores de dados (120) cria uma mensagem à qual adiciona os dados de interesse, o identificador anónimo encriptado do titular dos dados, o consentimento opcional e remove o nome do titular e todos os identificadores pessoais para anonimizar os dados de interesse,
f. A aplicação informática de transmissão de dados (125) de um ou mais servidores dos prestadores de dados (120) transmite a mensaqem que contém os dados de interesse anonimizados identificados apenas pelo identificador anónimo encriptado do titular dos dados para o servidor do responsável de confiança do tratamento de dados (130), q. A aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130), estando confiqurada para comunicar dados com sequrança com a aplicação informática de transmissão de dados (125) de um ou mais servidores dos prestadores de dados (120), recebe a mensaqem e lê-a, desencripta o identificador anónimo encriptado para obter o identificador anónimo oriqinal, verifica se o identificador anónimo já está reqistado na base de dados de reqisto de utilizadores (470) localizada no servidor do responsável de confiança do tratamento de dados (130) e
i. Ao não encontrá-lo, reqista o identificador anónimo como um novo utilizador no base de dados de reqisto de utilizadores (470), reqista o identificador anónimo e os metadados da mensaqem num arquivo de log (490) e armazena pelo menos os dados de interesse anonimizados do titular, o identificador anónimo e o consentimento opcional na base de dados aplicacional (480), os dados de interesse anonimizados sendo identificados apenas pelo identificador anónimo do titular dos dados, ou ii. Ao encontrá-lo, reqista o identificador anónimo e os metadados da mensaqem num arquivo de log (490) e
57/66 armazena pelo menos os dados de interesse anonimizados do titular dos dados numa base de dados aplicacional (480), identificados apenas pelo identificador anónimo do titular dos dados,
h. A transmissão de dados de interesse anonimizados ocorre periodicamente entre as aplicações informáticas de comunicação de dados (125) de um ou mais servidores dos prestadores de dados (120) e a aplicação informática de transmissão de dados (135) do servidor do responsável de confiança do tratamento de dados (130), para que novos dados de interesse anonimizados relacionados com o mesmo titular dos dados sejam continuamente adicionados à base de dados aplicacional (480) no servidor do responsável de confiança do tratamento de dados (130),
i. A aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados e a aplicação informática de transmissão de dados (135) do servidor do responsável de confiança do tratamento de dados (130), sendo configuradas para comunicar com segurança entre si, estabelecem comunicação e a aplicação informática de transmissão de dados (135) do servidor do responsável de confiança do tratamento de dados (130) transmite os dados de interesse anonimizados para a aplicação informática pessoal (100) no dispositivo de computação pessoal (110), devolvendo, assim, os dados anonimizados ao titular dos dados anónimo,
Caracterizado pelo facto que a transmissão dos dados de interesse anonimizados entre o servidor do responsável de confiança do tratamento de dados (130) e o dispositivo de computação pessoal (110) do titular dos dados anónimo ocorre por meio de uma sessão de comunicação sempre iniciada pela aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados, para conectar-se ao endereço eletrónico conhecido do servidor do responsável de confiança do tratamento de dados (130) e a aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) aguarda que a sessão de comunicação seja iniciada pela aplicação
58/66 informática pessoal (100), impedindo o servidor do responsável de confiança do tratamento de dados (130) de iniciar uma sessão de comunicação, na ausência de informações sobre o nome do titular dos dados, identificadores pessoais ou endereço eletrónico do dispositivo de computação pessoal (110) .
2. Método, de acordo com a reivindicação 1, caracterizado pelo facto que a sessão de comunicação entre a aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados e a aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) é iniciada pela aplicação informática pessoal (100) que transmite um pedido de transmissão de dados identificada exclusivamente pelo identificador anónimo do titular dos dados ou por assinatura digital, a aplicação informática para transmissão de dados (135) recebendo o pedido de transmissão de dados e confirmando que um pedido válido foi recebido e que o identificador anónimo armazenado e o identificador anónimo recebido correspondem ao mesmo titular dos dados.
3. Método, de acordo com a reivindicação 1, caracterizado pelo facto que a aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados abre uma sessão de comunicação com a aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) em intervalos de tempo padrão configurados na aplicação informática pessoal (100) ou de preferência intervalos de tempo configurados pelo titular dos dados ou a qualquer momento sob o comando do titular dos dados.
4. Método, de acordo com a reivindicação 1, caracterizado pelo facto que a transmissão de mensagens contendo dados de interesse anonimizados de um ou mais servidores dos prestadores de dados (120) para o servidor do responsável de confiança do tratamento de dados (130) ou o registo de um novo titular de dados anónimo na base de dados de registo de utilizadores (470) do servidor do responsável de confiança do tratamento de dados (130), ou a comunicação de dados de interesse anonimizados do
59/66 servidor do responsável de confiança do tratamento de dados (130) para o dispositivo de computação pessoal (110) do titular dos dados ocorrem sem que o titular dos dados empregue um nome de utilizador convencional definido pelo utilizador e uma palavra-passe de sistema armazenados em qualquer um dos servidores (120, 130) e a verificação da identidade do titular dos dados pela aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) é obtida apenas por meio do identificador anónimo do titular dos dados.
60/66
Des. la
Des. lb
61/66
Des. 2
200
230
2/0
220
235
62/66
Des. 3
300
63/66
Des. 4
400
64/66
Des. 5
500. O titular descarrega apl. informática pessoal no dispositivo pessoal, introduz nome, identificadores pessoais e dados opcionais
65/66
Des. 6
600. Aplicação informática pessoal abre sessão de comunicação com servidor do responsável de confiança do tratamento de dados
66/66
Sistema de computador e método de operação para gerir dados pessoais anonimizados
Descrição
Campo da invenção
[0001] 0 presente pedido de invenção está no área de sistemas de computador e de criptografia e diz respeito a melhorias na proteção de identidade do utilizador e de privacidade através do uso de arquiteturas de sistema intrinsecamente seguras.
Antecedentes da invenção
[0002] Esta secção destina-se a fornecer um contexto à invenção que é descrita nas reivindicações e pode incluir conceitos que poderiam desenvolvidos e que são novos. A menos que se depreenda do contexto ou que seja explicitamente indicado como arte anterior, tais divulgações não devem de ser admitidas como técnica anterior à descrição e reivindicações do presente pedido de invenção.
[0003] A internet permitiu a criação de sistemas de computador que tratam dados pessoais de milhares de milhões de pessoas. Estes sistemas transportaram a era da informação da esfera empresarial e estatal para o nível do indivíduo. Criaram as condições para que as pessoas tivessem um acesso incomparável a informações úteis ao seu trabalho, a interações sociais e ao comércio, de um forma que lhes permite trabalhar, interagir e transacionar com facilidade, rapidez, conveniência e a custos muito baixos. As empresas cujo modelo de negócio assenta sobre a internet podem fornecer serviços aos seus clientes, muitas vezes sem nenhum custo, porque os dados que essas empresas derivam de clientes a partir das suas interações entre computadores conectados à internet têm valor económico. As preferências e escolhas dos consumidores obtidas durante essas interações e transações permitem que as empresas de internet criem perfis de consumidores que orientam com precisão ofertas comerciais aos consumidores incluídos nos perfis definidos, reduzindo assim os
2/66 custos de direcionamento, marketing e venda, possibilitando mesmo direcionar a oferta comercial diretamente ao consumidor individual. Tal resultou em mais opções de consumo, a preços mais baixos e maior volume de vendas e, portanto, é altamente benéfico para a economia e a sociedade, sendo alcançado pelo cidadão com ações que não custam nada - apenas dar acesso às empresas aos seus dados pessoais.
[0004] Essa facilidade de identificar as preferências do consumidor criou uma segunda fonte de valor para as empresas, que vai além das receitas obtidas com a venda de produtos e serviços convencionais e que inclui as receitas provenientes da venda de dados pessoais dos consumidores para terceiros, que usam esses dados para publicidade direcionada online, aumentando ainda mais as suas vendas de produtos e serviços convencionais.
[0005] A combinação dessa capacidade de atingir mercados de massa com alta precisão ficou ainda mais sofisticada com o processamento de dados pessoais do consumidor combinado com dados físicos do mundo. Recentemente, essa capacidade de combinar dados de várias fontes foi aprimorada ainda mais com tecnologias que permitem que o processador de dados determine padrões de comportamento e escolha e, a partir daí, preveja e, às vezes, influencie as ações dos cidadãos que são consideradas por convenção social e moral como soberanas, devendo ser livres de interferências de terceiros. Às vezes, os dados pessoais fornecidos pelo cidadão, de boa fé, a empresas de internet em troca de melhores serviços e benefícios económicos são usados para fins dissimulados que não têm nenhuma relação com o objetivo e a intenção originais para os quais os dados pessoais foram dados.
[0006] No entanto, em outras áreas, o próprio medo do uso indevido de dados pessoais levou a um retraimento no desenvolvimento de sistemas de computadores, com perda para o cidadão em termos de benefícios que se encontram ausentes da oferta. Tal é notório em certos tipos de dados pessoais sensíveis, como registos médicos e dados de saúde, armazenados em sistemas múltiplos, não conectados e não interoperáveis, nos
3/66 quais a atomização de dados tem sido o mecanismo involuntário para a proteção de dados pessoais. Os dados são distribuídos de forma redundante em tantas bases de dados, servidores e sistemas de computadores operados por uma multiplicidade de prestadores de serviços de saúde, que se torna muito difícil, se não impossível, de aceder à história clinica completa de um paciente. Obter dados pessoais de saúde e de cuidados de saúde e consolidá-los num sistema integrado teria um interesse público significativo.
[0007] Existe assim uma necessidade importante de melhorar a maneira como os sistemas de computador tratam os dados pessoais, prevenindo situações em que estes são abusados ou estudando outras onde se encontram subutilizados. Essa é a invenção que é apresentada aqui e que trata de um problema que está enraizado numa falha técnica caracteristica da internet, que é a incapacidade, até agora, de usar dados pessoais de forma segura e consentida, onde o cidadão tem o controle e seus direitos de privacidade são protegidos. A solução ideal desse problema de controle não alteraria o protocolo de comunicação da internet, o que não seria prático e, na verdade, não é necessário, mas estabelecendo um novo modelo de relacionamento entre seus vários participantes e colocando o indivíduo como o controlador nas suas interações de dados na internet, pelo simples meio do seu dispositivo pessoal de comunicações.
[0008] A solução descrita na presente invenção é baseada sobre a anonimização e criptografia de dados. A proteção de dados pessoais na internet, particularmente de dados confidenciais, tais como dados pessoais de saúde ou qualquer outro tipo de dados que o seu titular deseje permanecerem reservados, confidenciais ou secretos é importante e vários métodos para atingir esse objetivo foram desenvolvidos. Um desses métodos envolve o anonimato que oculta a identidade do titular e o anonimato irreversível, que torna impossível a sua reidentificação. Em aplicações informáticas em que é útil manter o titular de dados anónimo, mas manter a capacidade de agregar os seus dados sob um termo de identificação, pode ser usado um identificador anónimo que tenha uma relação direta com o
4/66 titular. Dessa maneira, os dados pertencentes à mesma pessoa podem ser armazenados, organizados e processados sob a chave identificadora anónima do titular dos dados.
[0009] Também deve-se tomar cuidado para prevenir que sistemas de computadores ou que aplicações informáticas tenham acesso a meios de re-identificação e uma forma técnica de o evitar é usar nesses computadores identificadores anónimos que não tenham relação com o nome da pessoa ou com dados de identificação pessoal, como a data de nascimento do titular, a morada ou números de identificação pessoal, por exemplo . Além disso, particularmente no caso de computadores conectados a redes de grande dimensão como a internet e com a possibilidade de acesso público, armazenar e comunicar os dados em texto em claro, ou seja, imediatamente legíveis e compreensíveis por qualquer leitor ou máquina, é um risco para a privacidade. Os métodos criptográficos são uma solução útil para o problema e podem ser usados para proteger informações de interesse, como registos de compras, registos médicos, registos financeiros, registos fiscais, registos de propriedades, preferências do consumidor, etc., que são processados nessas redes de sistemas de computador.
[0010] Usando essas técnicas, é necessário que, mesmo que os identificadores pessoais do titular dos dados sejam encriptados e as informações de interesse sejam anonimizadas, as informações de interesse em claro não contenham dados que permitiriam inferir a identidade do titular de dados, comparando esses dados em outras fontes de dados com dados idênticos em que a identidade do sujeito é conhecida. Portanto, uma maneira eficaz de proteger os direitos de privacidade do titular dos dados é simplesmente ocultar sua identidade. Para ocultá-la completamente, pode até ser útil eliminar o método convencional de verificação de identidade de nome de utilizador / palavrapasse, que para funcionar pode exigir que um computador saiba o nome de utilizador do titular dos dados e armazene a sua palavra-passe.
5/66
[0011] No entanto, existem várias aplicações em que é necessário reverter o anonimato dos dados pessoais do titular. Tais aplicações incluem cuidados médicos, onde é necessário reidentificar o titular, por exemplo, quando é desejável alterar o tratamento médico e, assim, identificar positivamente o paciente. Além dos cuidados de saúde, há outras situações em que o anonimato do titular precisa ser revertido, e isso inclui todas as situações em que o titular precisa ou deseja ser contactado pelo prestador de dados ou de serviço - tais como para provar a propriedade dos ativos, para receber informações de pagamento, alterações nos termos e condições, informações do produto, oferta de novos serviços, solicitação de consentimento etc.
[0012] O anonimato reversível é conhecido como pseudonimização, definido no Regulamento Geral da Proteção de Dados da União Europeia como um tratamento em que os dados pessoais não podem ser associados ao seu titular sem o uso de informações adicionais. Um exemplo prático de pseudonimização é dado por sistema de computador ser configurado para selecionar um ficheiro de dados contendo informações de interesse relacionadas com um titular dos dados, identificado com um código confidencial, onde o código também é armazenado noutro ficheiro no mesmo computador ou noutro computador, que contém também o nome do titular dos dados e identificadores pessoais. Comparando os dois ficheiros é possível re-identificar o titular. Assim, um ficheiro que contenha, por exemplo, registos de saúde pseudonimizados ou outras informações confidenciais de vários titulares de dados pode ser processado sem que suas identidades sejam conhecidas, mas caso surja a necessidade, cada registo de dados pode ser rastreado até a identidade do titular dos dados por meio de um segundo ficheiro que contenha a chave de reidentif icação .
[0013] Infelizmente, esta separação de dados, onde a verdadeira identidade do titular dos dados é mantida em separado num outro ficheiro de computador é uma fonte de vulnerabilidade, particularmente quando ambos os ficheiros estão sob o controle do mesmo servidor do responsável do tratamento de dados, um
6/66 sistema operado por uma entidade que trata dados que pertencem a um titular e que têm origem no servidor de computador operado por uma entidade que, entre outras atividades, utiliza seus sistemas de computador para processar dados pertencentes a um titular de dados e originários do computador do titular de dados. A menos que o abuso intencional ou a re-identificação acidental sejam absolutamente prevenidos pela configuração adequada de todos os computadores envolvidos, sempre há o risco de que uma violação de dados possa ocorrer e os dados pessoais sejam comprometidos e usados para fins que o titular dos dados não consentiu originalmente, explicitamente ou implicitamente. Por esse motivo, é necessário que os servidores do responsável de confiança do tratamento de dados sejam configurados para impedir que operadores internos, por acidente ou intenção, ou operadores externos mal-intencionados revertam um identificador pseudónimo, mas essa configuração não deve impedir que o servidor de computador do responsável do tratamento de dados seja capaz de estabelecer comunicação com o computador do titular dos dados para transmitir e trocar dados com o seu titular.
[0014] O presente pedido de patente apresenta uma solução para esse paradoxo e descreve um sistema e método de computador seguro em que o computador do titular dos dados está configurado para gerar um identificador anónimo que oculta a identidade do nome do titular e os seus identificadores pessoais, impedindo, assim, que tais dados de identificação sejam transmitidos ao servidor do responsável pelo tratamento de dados e, portanto, torná-los insensíveis à divulgação acidental ou violação maliciosa. O computador do titular dos dados é ainda configurado para permitir que o titular dos dados indique o seu consentimento quanto à transferência dos seus dados pessoais, para quem, para qual uso e por quanto tempo, e para poder estabelecer comunicação com o servidor do responsável de confiança do tratamento de dados, de uma maneira que o servidor do responsável do tratamento de dados possa verificar a identidade do computador do titular dos dados.
7/66
[0015] Existem várias referências na literatura a modelos de anonimização variáveis que permitem que os dados pessoais sejam parcial ou totalmente conhecidos ou descobertos.
[0016] O pedido de patente WO/2018/201009 descreve sistemas e métodos que têm um propósito similar ao do presente pedido de patente, através da utilização de um identificador dinâmico para cada utilizador. A identificação dinâmica é muito eficiente em termos de tornar anónimos os utilizadores, mas levanta a questão da responsabilidade legal sobre qual a entidade responsável para atribuir o identificador a um utilizador, para administrar a mudança dinâmica do identificador e para garantir que o identificador dinâmico se refere sempre à mesma pessoa. Identificadores estáticos e rigorosamente protegidos e métodos de minimização de dados podem oferecer um melhor compromisso entre segurança, operacionalidade e garantias legais .
[0017] A publicação de pedido de patente dos EUA 2015/ 0149208 descreve um sistema de recolha e anonimização de saúde de vários prestadores de cuidados de saúde onde o foco está em melhorar a confiança de que o identificador anónimo refere-se sempre à mesma pessoa.
[0018] A publicação de pedido de patente dos EUA 2002 / 0091650 descreve um sistema que dá aos comerciantes informações confidenciais sobre as escolhas do consumidores, sob forma de grupos e de subgrupos geográficos, de estilos de vida, de hábitos de compra, protegendo ao mesmo tempo sua privacidade e identidade. No entanto, a solução apresentada deixa de ser capaz de identificar indivíduos específicos.
[0019] A patente dos EUA 8.234.698 descreve um sistema onde um titular de dados pode aceder a serviços web de uma forma que ainda permite que o prestador de serviços de internet possa identificar positivamente o cliente, por exemplo, para pagamento seguro para uma transação, ao mesmo tempo que impede o acesso aos identificadores pessoais do cliente. Isso é feito por meio de uma autoridade de certificação anónima de terceiros, bem como da autenticação presencial por uma organização de confiança,
8/66 como um banco ou uma empresa de valores mobiliários. Este é um procedimento complexo e caro.
[0020] A patente dos EUA 7.840.813 e publicação de pedido de patente dos EUA 2010 / 0131765 ambas incluem algumas das caracteristicas do caso anterior, mas especificamente permitem a revogação do anonimato ou a sua reversão, o que é contrário ao objectivo do presente pedido onde o anonimato é desejavelmente irreversível e onde a reversibilidade, quando é possível, está fora do controle do responsável pelo tratamento de dados.
[0021] A publicação de pedido de patente dos 2014 / 0372149 procura reconciliar a necessidade de anonimização dos dados pessoais do paciente com o acesso a dados de saúde do paciente, sem erros, por meio o armazenamento de registos médicos na cloud, com campos de identificação anonimizados para acesso seguro por vários médicos. Esses registos do paciente, principalmente imagens, são acedidos no écran principal do computador do médico atribuído ao paciente. Este computador contém dados predefinidos sobre os pacientes cujos dados devem de ser visualizados pelo médico e apenas os registos dos pacientes correspondentes aos dados predefinidos são exibidos. No entanto, o responsável pelo tratamento de dados e os servidores dos processadores contêm os registos do paciente e os dados de identificação do paciente e, portanto, podem ser programados para associar os dados médicos aos nomes dos titulares, e, portanto, a identificar novamente o paciente.
[0022] A patente dos EUA 8.635.464 detalha um método abrangente para encriptar um sistema de computador, mas aquele em que uma autoridade de certificação e revogação e o titular dos dados são entidades separadas. Aqui, o titular dos dados não está no controle da gestão dos seus códigos de encriptação e não pode controlar de forma exclusiva o acesso aos seus dados pessoais.
[0023] A patente dos EUA 5.369.702 descreve um sistema de criptografia multimédia de vários níveis em que o objeto encriptado é rotulado com um código que determina se o destinatário da mensagem encriptada está autorizado a desencriptá-lo. Este sistema emprega criptografia aninhada para
9/66 que a mesma mensagem possa ser transmitida do originador para um destinatário e deste para novo destinatário numa cadeia de transmissão, mas o acesso será seletivo dependendo se o destinatário é um leitor autorizado, conforme especificado pelo rótulo. A invenção destina-se à distribuição de informações para um grande número de pessoas, onde é necessário conceder acesso seletivamente com base nos níveis de acesso dos destinatários.
[0024] A patente dos EUA 9.910.902 descreve um processo para anonimizar informação identificável, mas que não oculta completamente a identidade do titular dos dados, pois retém as tabelas de mapeamento de anonimização, permitindo a reidentif icação do titular dos dados.
[0025] O pedido de patente dos EUA US2016/147945 Al descreve um método e sistema para a pesquisa e obtenção de dados de saúde pessoais de um titular de dados, a partir de um ou mais servidores de computador. Os identificadores pessoais do paciente não são revelados durante a transmissão de dados de um servidor do fornecedor de dados para um servidor de um responsável de tratamento de dados da confiança do titular. Esses dados de interesse estão associados a identificadores pessoais do respectivo titular, armazenados no servidor do responsável do tratamento de dados de confiança, e portanto não são tratados ou armazenados na forma anonimizada pelo servidor do responsável de tratamento de dados de confiança.
[0026] O pedido de patente dos EUA US2007/192139 Al descreve sistemas e métodos de pesquisa, obtenção e reidentificação de dados de saúde de um titular de dados. Um identificador anónimo encriptado é utilizado para obter um identificador anónimo associado aos dados de interesse do titular. Dados de interesse relativos a um titular são transmitidos do servidor de um fornecedor de dados para um servidor de um responsável de tratamento de dados da confiança do titular, na forma anonimizada. No entanto, o titular de dados não controla a transmissão dos respectivos dados de interesse ao servidor do responsável de tratamento de dados da confiança do titular e esses dados não são devolvidos ao titular.
/66
[0027] O pedido de patente dos EUA US2017/372096 AI descreve sistemas e métodos de transmissão de dados de interesse de um titular de dados a partir de um primeiro servidor numa primeira região para um segundo servidor numa segunda região, numa forma anonimizada. Os dados de interesse estão armazenados no primeiro servidor, e conjunto com identificadores pessoais que identificam os titulares. Os identificadores pessoais são retirados dos dados de interesse, que são transmitidos em conjunto com um identificador anónimo, para fins de processamento de análise de dados no primeiro servidor. Os resultados da análise são transmitidos pelo segundo servidor ao primeiro servidor e são re-identifiçados com os identificadores pessoais associados ao identificador anónimo armazenado no primeiro servidor. No entanto, o titular de dados não controla a transmissão dos respectivos dados de interesse ao servidor do responsável de tratamento de dados da confiança do titular.
[0028] Existem, portanto, vários casos da técnica anterior onde são empregues sistemas de verificação, de encriptação e de gestão de direitos de acesso para proteger os dados pessoais. No entanto, nenhum deles coloca o titular dos dados no centro do modelo de proteção, com o poder total e único de conceder e revogar o acesso aos seus dados pessoais, sob anonimato e com a possibilidade de manter uma comunicação encriptada com a entidade que trata e gere os dados pessoais anonimizados desse titular.
[0029] Desenvolvemos agora um sistema de computador inovador e um método para utilizá-lo que permite o processamento e a comunicação segura de dados, proporcionando em simultâneo meios de acesso e de proibição de acesso, de uma maneira que é controlada automaticamente pelo titular dos dados através de seu computador, usando programas que lhe são disponibilizados e sem a necessidade de conhecimentos especiais.
[0030] A invenção é útil em qualquer campo onde os dados pessoais são armazenados em computadores e onde há uma necessidade de proteger a privacidade do titular dos dados. Uma lista de possíveis categorias de dados onde esta aplicação se
11/66 pode aplicar inclui: estudos científicos ou não científicos, pesquisas e extração de dados, onde as informações de interesse podem incluir sexo, orientação sexual, raça, dados médicos e de tratamento, dados genéticos, registos criminais, dados biométricos, comportamento e estilos de vida, dados de desempenho, religião, crenças, opções políticas, filiação partidária, filiação sindical, decisão política, pesquisas de opinião e sondagens, respostas a publicidade, grupos de foco, recrutamento de recursos humanos, gestão de negócios, gostos e decisões de compra, registos de compras e de propriedade, registos fiscais, investimentos e decisões de investir ou de aforrar, gostos e desgostos, relações sociais etc. De facto, áreas tão sensíveis que algumas jurisdições proíbem o seu processamento na generalidade dos casos, permitindo-as apenas sob excepções justificadas. A presente invenção permite que essas categorias sensíveis de dados sejam pesquisadas no mais estrito respeito dos direitos de privacidade dos indivíduos e a proteção é reivindicada para todos as áreas relevantes.
Resumo da invenção
[0031] Entidades e conceitos. São agora descritos os vários participantes, entidades, funções e conceitos uteis à compreensão deste sistema de computador seguro para a transmissão e processamento de dados pessoais.
[0032] A presente invenção identifica três categorias de participantes e os seus respectivos sistemas de computador. Na primeira categoria, os titulares ou titulares de dados são as pessoas ou entidades que usam computadores para processar dados, incluindo dados pessoais. São cidadãos, consumidores, profissionais, recrutadores, gestores, contribuintes, pacientes, empresas, organizações, organizações sem fins lucrativos, organizações não-governamentais, estados, serviços de informações, militares, denunciantes, crentes, eleitores, viajantes, escritores, fotógrafos, artistas, amigos, investidores, aforradores, etc., pessoas ou entidades em qualquer função em que dados pessoais são gerados como resultado /66 da actividade humana. Os dados produzidos por máquinas, como sensores de monitorização, também estão incluídos neste âmbito e o titular dos dados será a pessoa que originou os dados. A propriedade legal pode variar de acordo com a jurisdição, mas, para os fins do presente pedido de patente, titular dos dados refere-se à pessoa ou entidade que originalmente gerou os dados do computador ou em nome de quem foram gerados. Uma caracteristica valiosa desses dados é que, quando processados em escalas muito grandes, é possível extrair novas informações e analisar correlações, causas e efeitos e padrões de desempenho, comportamento ou escolhas. 0 uso de computadores é necessário para todas essas operações, mas, em geral, estes não estão preparados para oferecer aos titulares de dados a proteção adequada para os seus direitos de privacidade.
[0033] Na segunda categoria, os responsáveis pelo tratamento de dados são pessoas ou entidades que usam sistemas de computador e são legalmente responsáveis pelas operações de processamento de dados, mesmo que as subcontratem a processadores de dados especializados. Alguns responsáveis pelo tratamento de dados obtêm benefícios económicos do acesso às informações dos titulares de dados, como objetivo principal ou estratégico dos negócios. Actualmente, esses responsáveis pelo tratamento de dados incluem: a) plataformas de motores de busca na internet, que registam os interesses dos titulares de dados; b) plataformas de negócios e comércio na internet, que armazenam dados e podem criar mercados para consumidores e fornecedores de bens e serviços; e c) redes sociais da internet, que registam e ajudam a gerir a interação social e a comunicação entre as pessoas. Estes três grupos registam as informações dos titulares de dados em pesquisas, compras e interações sociais para obter um perfil preciso de consumo de cada indivíduo e podem usar essas informações e dados do perfil para vender serviços de publicidade, informações e meios precisos de segmentação do consumidor. Nesse caso, os titulares dos dados ficam beneficiados ao receber serviços gratuitos de alto valor e conveniência, enquanto os responsáveis pelo tratamento de dados /66 transformam os dados gratuitos dos titulares num negócio vantajoso.
[0034] 0 presente pedido de patente cria um novo tipo de servidor de computador do responsável pelo tratamento de dados, que acede, recupera e consolida dados de indivíduos de qualquer fonte em que possam estar localizados e que os utiliza de maneira consistente com a proteção dos direitos de privacidade do cidadão e da sua autodeterminação. Esse responsável pelo tratamento de dados será selecionado pelo titular dos dados para realizar, em seu nome, toda a extração, consolidação, armazenamento e processamento de dados, ao mesmo tempo que assegura os direitos de privacidade. Na presente invenção, essa entidade é o responsável de confiança do tratamento de dados e opera o servidor de computador do responsável de confiança do tratamento de dados. O servidor de computador do responsável de confiança do tratamento de dados é configurado, como parte do sistema de computador descrito na presente invenção, para processar dados pessoais de uma maneira que proteja os direitos de privacidade dos titulares de dados.
[0035] A terceira categoria de participante é o prestador de dados. Existem muitas entidades empresariais em que o principal negócio é prestar serviços ou vender mercadorias, mas que no processo de condução de sua atividade principal adquirem ou geram quantidades muito grandes de dados pessoais valiosos por meio do uso de sistemas de computador. Os exemplos incluem os prestadores de dados mencionados acima, bancos, companhias de seguros, contabilistas, consultores fiscais, empresas financeiras, empresas de marketing, empresas de sondagens, empresas farmacêuticas, empresas de serviços de investigação, organizações não-governamentais, serviços nacionais de saúde, organizações de recenseamento, hospitais, consultórios médicos, empresas de serviços de testes clínicos, etc. De facto, é cada vez mais ténue a linha que separa as empresas em que os dados são o principal negócio e as empresas de serviços e produtos em que a importância dos dados está a aumentar, por vezes acima da importância do negócio original. O que caracteriza esse último grupo é que seus sistemas de computador mantêm grandes conjuntos /66 de dados de informações pessoais e podem ter interesse em explorá-los economicamente contratando um responsável pelo tratamento de dados especializado. A configuração dos servidores dos prestadores de dados para operar de uma maneira que garanta a proteção dos direitos de privacidade dos titulares de dados faz parte desta invenção.
[0036] Certos tipos de prestador de dados são particularmente importantes na presente invenção. O prestador de cuidados de saúde é um desses tipos de prestadores e inclui médicos, farmacêuticos, enfermeiros e qualquer pessoa autorizada a consultar os registos clínicos do paciente para fins de tratamento e, ao mesmo tempo, adicionar novas informações sobre tratamento e saúde. Aqui, é necessário que o servidor do prestador de cuidados de saúde seja capaz de identificar positivamente o titular dos dados como paciente, para garantir que os registos médicos subjacentes realmente pertençam ao paciente que está sendo observado e tratado, mas esse acesso não deve comprometer a privacidade das informações do titular dos dados.
[0037] Uma quarta categoria opcional de participante é o prestador de verificação de identidade, onde um servidor verifica a identidade da pessoa em causa de modo a que a identidade da pessoa possa ser confirmada. Numa modalidade Online, o prestador de verificação de identidade é um servidor configurado para aceder e conectar-se a servidores que gerem bases de dados muito grandes armazenando informações do cidadão e nomeadamente dados de identificação pessoal, como o nome, identificadores pessoais e, de importância para o presente pedido de patente, um endereço eletrónico, um endereço de e-mail ou o número associado ao smartphone ou tablet do titular dos dados ou a qualquer outro dispositivo de computação pessoal com capacidade de comunicação. Exemplos desses sistemas são bases de dados do estado, organismos de emissão de cartas de condução, autoridades tributárias, bem como bases de dados de operadoras de telecomunicações e outros.
/66
[0038] Identificadores pessoais são elementos de informação que podem ser usados para identificar o titular dos dados e incluem o nome da pessoa, sexo, data de nascimento, endereço, qualquer número de identificação pessoal (cartão de cidadão, número de contribuinte, número de segurança social, número nacional de saúde, número de apólice de seguro, número de conta bancária, número de telefone, número de telemóvel, etc.) ou endereços pessoais (endereço de residência, endereço do empregador, nome de utilizador, nome da rede social, endereço de e-mail, endereço do site, nome do computador e endereço eletrónico, etc.), todos conhecidos coletivamente como identificadores pessoais. Na medida em que os membros da família também podem ajudar a identificar uma pessoa, os identificadores pessoais dos membros da família também são incluídos no perímetro dos identificadores pessoais de uma pessoa.
[0039] As modalidades de realização da presente invenção usam tecnologias de criptografia. A criptografia é um mecanismo de manipulação de dados usado por um computador de um titular ou por um servidor de um responsável pelo tratamento de dados para encriptar uma mensagem para que, durante a transmissão, um computador de terceiros não possa entendê-la. Quando a mensagem é recebida pelo seu destinatário autorizado, segue-se a operação de um segundo mecanismo associado ao primeiro que permite ao destinatário reverter o processo de manipulação da mensagem, desencriptá-la e obter acesso de leitura ao seu conteúdo. Os métodos de criptografia também incluem a capacidade de confirmar as identidades do titular e do destinatário dos dados e a capacidade de identificar qualquer alteração nos dados encriptados e garantir a integridade do seu conteúdo.
[0040] A criptografia requer chaves criptográficas de computador. Uma chave é uma sequência de letras, números ou bytes de informações que é manipulada por um algoritmo de codificação no lado do computador do remetente para transformar texto ou dados legíveis em séries de sinais ou caracteres ininteligíveis. A chave é então usada pelo computador destinatário do texto codificado para desencriptar a mensagem de volta para texto em claro.
/66
[0041] Quatro tipos de sistemas de computador de criptografia são importantes na presente invenção.
[0042] No primeiro tipo, o computador remetente e o computador destinatário usam a mesma chave criptográfica e o mesmo algoritmo de codificação. Isso é conhecido como criptografia de chave simétrica e é um sistema de encriptação relativamente rápido em termos de recursos do computador. Uma dificuldade aqui é gerir o acesso a essa chave exclusiva e isso torna-a mais apropriada para cifrar as comunicações entre apenas dois computadores - uma chave simétrica para cada par de computadores que enviam e recebem.
[0043] A criptografia de chave simétrica por computador usa uma única chave k para encriptar e desencriptar. Existem muitos tipos diferentes de criptografia de chave simétrica por computador. Um exemplo é o Advanced Encryption Standard (AES). Em geral, a criptografia de chave simétrica por computador emprega uma série de operações deterministicas para encriptação que podem ser invertidas para desencriptação. Para a criptografia de chave simétrica por computador, a chave de criptografia é geralmente mantida em segredo pelos dois computadores que comunicam entre si, pois o acesso à chave permite a desencriptação.
[0044] No segundo tipo de sistema criptográfico por computador, conhecido como criptografia de chave assimétrica, o computador remetente e o computador destinatário usam um par de chaves criptográficas diferentes, uma chave pública e uma chave privada. A criptografia de chave pública / chave privada por computador é amplamente usada em transações comerciais e protocolos de comunicações. Um sistema criptográfico de chave pública / chave privada é conhecido como técnica criptográfica RSA , em que a RSA inclui as primeiras letras dos apelidos dos inventores do método: Rivest, Shamir e Adleman. Neste sistema criptográfico por computador, são gerados pares de chaves criptográficas. Em geral, a chave criptográfica pública é distribuída publicamente e é referida como chave pública, enquanto que a chave de criptografia privada é mantida em /66 segredo pelo computador que recebe a mensagem encriptada e é chamada de chave privada ou chave secreta. Em uso normal, o computador de envio da mensagem codifica-a usando a chave pública do computador destinatário, que geralmente é conhecida, e será desencriptada pelo computador destinatário, usando sua chave privada, que é confidencial.
[0045] Os métodos criptográficos de chave assimétrica também podem ser usados para assinar digitalmente uma mensagem para fornecer autenticação de mensagem entre computadores. Num exemplo, a mensagem a ser assinada consiste na chave pública do remetente. O computador remetente encriptará a mensagem usando a chave privada do remetente e enviará a mensagem encriptada para o computador destinatário. O computador destinatário desencriptará a mensagem usando a chave pública conhecida do computador remetente. Se o conteúdo da mensagem desencriptada for igual à chave pública do computador remetente, a assinatura digital foi verificada com êxito. Para assinar digitalmente mensagens mais longas, é útil aplicar uma função hash à totalidade da mensagem primeiro, encriptá-la com a chave privada do remetente e depois transmitir a mensagem ao computador destinatário para desencriptação e verificação. Vários métodos estão disponíveis, o método preferido aqui é o algoritmo de assinatura digital de curva elíptica (ECDSA), uma variante do RSA.
[0046] Um terceiro tipo de criptografia de computador útil é blockchain. Este é um sistema seguro para registar transações distribuídas por um grande número de nós de processamento, tão grande que não é viável derrotar a criptografia. Cada objeto de informação que é encriptado usando blockchain normalmente contém um hash criptográfico do bloco anterior, um carimbo de data e hora e dados de transação. Por conceção, uma blockchain é inerentemente resistente à modificação dos dados. É um livro de registo aberto e distribuído que pode registar transações entre dois computadores de maneira eficiente, permanente e verificável. No caso de ser usada como um livro de registo distribuído, uma blockchain é normalmente gerida por uma rede não-hierárquica de computadores que aderem coletivamente a um /66 protocolo para comunicação inter-nodal e de validação de novos blocos. Uma vez gravados, os dados de um determinado bloco não podem ser alterados retroativamente sem a alteração de todos os blocos subsequentes, o que requer o conluio da maioria dos participantes da rede.
[0047] No presente pedido de patente, o blockchain pode ser útil para registar transações de informações entre os computadores dos titulares dos dados, verificadores de identidade, prestadores de dados e do responsável de confiança do tratamento de dados, além de dar ao titular dos dados a possibilidade de personalizar o consentimento e de visualizar direitos para os seus dados pessoais através do uso de contratos inteligentes, um recurso do blockchain. Os contratos inteligentes permitem que o titular dos dados especifique, por meio de seu computador, quem e que computadores podem ver os seus dados pessoais e os seus dados de interesse, quais as categorias de dados que podem ser vistas e por quem, quais podem ser escritas e por quem, quais as ações que podem ser autorizadas dependendo dos dados de interesse subjacentes, e ainda conceder ou retirar, global ou seletivamente, direitos de consentimento e de acesso ao computador.
[0048] Um quarto método criptográfico é o Secure Hash Algorithm, como SHA-256, SHA-512 ou qualquer um dos seus sucessores. Essa é uma função matemática amplamente usada que encripta uma expressão transformando-a noutra com um nível de segurança ainda mais alto do que as chaves assimétricas. No estado da arte actual, os ataques de força bruta para reverter um número de hash levam muito mais tempo que aquele necessário para reverter um número encriptado com uma chave pública. Na presente descrição, a função hash pode ser usada para transformar o identificador anónimo do titular dos dados.
[0049] Estes quatro sistemas de criptografia, chave simétrica, chave assimétrica, blockchain e função hash, podem ser utilmente combinados na presente invenção. Outros recursos de criptografia, como chaves de sessão, porta-chaves, chaves /66 temporárias e tokens, bem como qualquer outro sistema de criptografia, também podem ser usados.
[0050] Útil na compreensão de modalidades da invenção é o conceito de consentimento. Consentimento é a autorização explicita, especifica e informada do titular dos dados para identificar as partes autorizadas a aceder aos dados pessoais e aos dados de interesse do titular; para autorizar os fins para os quais os dados são utilizados e que podem sobreviver à revogação do consentimento; para identificar as várias categorias de dados que podem ser acedidas e processadas, dependendo da natureza e consequente nível de autorização das várias partes destinatárias; e determinar por quanto tempo os dados podem ser armazenados e processados pelo computador destinatário. O direito ao consentimento inclui o direito de retirar ou revogar o consentimento, com a consequência de que todos os dados pessoais e todos os dados de interesse oriundos do titular dos dados devem ser apagados por todos os computadores destinatários na ordem de revogação do consentimento. Modalidades de sistemas de computador inventivos aqui descritos empregam esse conceito de consentimento e permitem procedimentos para alterar o consentimento.
[0051] Um formulário de consentimento inclui um pedido de transferência de dados, conforme definido no Regulamento Geral de Proteção de Dados da UE, que permite que um titular de dados solicite que seus dados pessoais armazenados no servidor de um responsável pelo tratamento de dados sejam transferidos ou copiados para o computador de outro responsável pelo tratamento de dados. No presente pedido, é o responsável de confiança do tratamento de dados e o seu servidor que são os destinatários dos dados transferidos ao abrigo de um pedido de transferência de dados emitido pelo titular dos dados.
[0052] Os relatórios são documentos produzidos pelo responsável de confiança do tratamento de dados usando dados pessoais de interesse armazenados no seu servidor e na sua base de dados aplicacional, mas onde não constam ou se encontram ocultados o nome ou qualquer identificador pessoal do titular dos dados. Os /66 relatórios usam estatística, ciência de dados e métodos de Big Data. Os relatórios extraem novos conhecimentos valiosos calculando e inferindo relações entre os elementos obtidos nos dados pessoais de interesse. Aplicações úteis são publicidade, marketing e venda de bens e serviços, finanças, seguros e medicamentos, entre outros. Na medicina e na saúde, as aplicações úteis são diagnóstico, prescrição inteligente, classificação de medicamentos e tratamentos em termos de efectividade, eficácia e segurança, identificação de efeitos secundários, reações adversas e interações medicamentosas, relação custo / beneficio dos medicamentos, dispositivos e tratamentos médicos, tudo em termos de atributos do paciente, como idade, sexo, características genéticas, gravidade da doença, presença ou ausência de várias doenças, administração de vários medicamentos, adesão a medicamentos, dependências, vícios, intolerâncias, alergias, vacinas, microbioma e estilo de vida. Os relatórios também são úteis para identificar coortes de pacientes que partilham características desejavelmente homogéneas ou heterogéneas como candidatos para ensaios clínicos.
[0053] Os relatórios usam todas as informações disponíveis num determinado momento na base de dados aplicacional do responsável de confiança do tratamento de dados, contendo informações de interesse de toda a população de titulares de dados. Quando os dados pessoais e as informações de interesse do titular dos dados são obtidos sob consentimento, futuras revogações de consentimento não afetam os relatórios, pois sobrevivem à revogação do consentimento sob os termos do consentimento original. Aqui se conclui a descrição das entidades e funções úteis na presente divulgação.
[0054] Descrição da invenção. A presente descrição resolve os problemas de privacidade inerentes às comunicações na internet em larga escala, substituindo o nome e os identificadores pessoais do titular dos dados nas comunicações de dados entre computadores por um identificador anónimo, mas permitindo que o servidor do responsável de confiança do tratamento de dados confirme absolutamente a identidade do titular dos dados anónimo
21/66 e que transmita corretamente os dados de interesse anonimizados para o dispositivo de computação pessoal do titular dos dados. Tal permite que dados pessoais confidenciais sejam pesquisados, obtidos, armazenados e processados sem que o servidor do responsável de confiança do tratamento de dados armazene a identidade do nome do titular dos dados e assim seja anulado o risco de abuso e violação da privacidade, tão característicos de muitas comunicações e sistemas de computador na internet. Na área dos cuidados de saúde, a presente invenção permite o desenvolvimento de sistemas de registos eletrónicos de saúde (RES) que são intrinsecamente privados.
[0055] O sistema e o método descrito requerem que um titular de dados com um dispositivo de computação pessoal executando uma aplicação informática pessoal, um ou mais prestadores de dados executando cada um deles aplicações informáticas de comunicação de dados nos seus servidores e um responsável de confiança do tratamento de dados executando uma aplicação informática de transmissão de dados no seu servidor. Todos os computadores dos três participantes incluem um módulo criptográfico capaz de criar chaves criptográficas e de encriptar e desencriptar mensagens. Cada uma dos três aplicações informáticas está configurada para comunicar com segurança e transmitir dados com as outras duas aplicações informáticas. Por comunicação segura, entende-se que meios criptográficos de computador são empregados para garantir que apenas as comunicações autorizadas possam ocorrer da maneira descrita na presente divulgação. Vantajosamente, o identificador anónimo do titular dos dados será usado como uma chave criptográfica ou como elemento de um sistema de criptografia nesta divulgação.
[0056] Numa modalidade de realização da presente invenção - a modalidade geral - quaisquer meios criptográficos empregues pelo módulo criptográfico correndo nos sistemas de computador de todos os participantes, são úteis para encriptar com segurança o identificador anónimo e os dados transmitidos, de modo a que só possam ser desencriptados pelos destinatários legítimos.
/66
[0057] Noutra modalidade - a modalidade de chave assimétrica os meios criptográficos usam um sistema criptográfico assimétrico de chave pública / chave privada empregado pelo módulo criptográfico executado nos sistemas de computador de todos os participantes. Esses meios podem encriptar com segurança o identificador anónimo e os dados transmitidos, de modo que só possam ser desencriptados pelo sistema de computador destinatário que disponha das chaves apropriadas. Para autenticar as comunicações entre o dispositivo de computação pessoal e o servidor do prestador de dados ou o servidor do responsável de confiança do tratamento de dados, o identificador anónimo pode ser usado num procedimento de assinatura digital. Uma assinatura digital garante que cada computador que recebe dados tenha a certeza da identidade do computador remetente, que não possa afirmar que o computador remetente não originou os dados e que a transmissão de dados é confidencial. Portanto, o identificador anónimo, usado como chave pública num sistema de criptografia de chave assimétrica, também é uma chave de autenticação e uma chave de criptográfica. A implementação e o uso desses métodos são conhecidos na comunidade da criptografia e apenas aspectos inventivos salientes serão descritos na presente divulgação.
[0058] Para tornar as comunicações e o processamento ainda mais seguros, uma terceira modalidade adiciona um a função de hash à segunda modalidade, de modo que funções de hash e chaves assimétricas são usadas para encriptar o identificador anónimo e os dados transmitidos do titular dos dados .
[0059] O dispositivo de computação pessoal do titular dos dados pode ser, por exemplo, um smartphone ou um tablet. Um computador pessoal ou uma conta pessoal num computador servidor também podem ser usados, mas, sendo dispositivos menos pessoais, são menos adequados para estas tarefas. Nomeadamente, uma conta pessoal num sistema de servidor pode exigir um nome de utilizador de login definido pelo utilizador e uma palavra-passe de sistema, que podem ser dados conhecidos pelo responsável pelo tratamento de dados e, portanto, podem permitir que os dados pessoais do titular dos dados sejam associados a um /66 identificador pessoal. Em certos sistemas de computador, uma palavra-passe pode ser redefinida por um administrador do sistema, permitindo acesso imediato a dados pessoais e identificáveis pelo administrador. A invenção, no entanto, não se restringe a smartphones ou tablets, e qualquer dispositivo a ser desenvolvido no futuro que possua poder de computação suficiente e esteja ao alcance e sob o controle do titular dos dados, é adequado.
[0060] Impedir o acesso por um responsável de tratamento de dados ou por um administrador de sistema às credenciais convencionais de registo e acesso do utilizador titular de dados (login e palavra-passe), pelo facto de não existirem, é uma importante vantagem de proteção de dados pessoais e de segurança da presente invenção. Executar o processo de registo do utilizador titular de dados num servidor central por meio de um identificador anónimo ou de um identificador anónimo encriptado, a partir de uma aplicação informática pessoal executada no dispositivo de computação pessoal do utilizador titular de dados, aumenta essa proteção e essa segurança.
[0061] O dispositivo de computação pessoal do titular dos dados pode ser configurado para executar as etapas descritas nesta descrição por meio de uma aplicação informática pessoal descarregada no dispositivo de computação pessoal, a partir de um site ou de um serviço de distribuição de aplicações informáticas, como Appstore ou Google Play. Em todos os casos, a aplicação informática pessoal é fornecida pelo responsável de confiança do tratamento de dados. Um objetivo desta aplicação informática pessoal é reunir num único dispositivo de computação pessoal informações pessoais pertencentes ao titular dos dados, que geralmente são distribuídas por um número muito grande de servidores de prestadores de dados.
[0062] Os sistemas de servidor descritos neste documento incluem servidores operados pelos prestadores de dados e pelo responsável de confiança do tratamento de dados e geralmente serão sistemas de servidor com considerável capacidade de computação, armazenamento e comunicação. Os dados são /66 processados pelo prestador de dados por meio da sua aplicação informática de transmissão de dados armazenada em um ou mais servidores dos prestadores de dados. Os dados são processados pelo responsável de confiança do tratamento de dados por meio da sua aplicação informática de transmissão de dados armazenada no servidor do responsável de confiança do tratamento de dados.
[0063] Todos os sistemas de computador da presente invenção possuem um processador, uma memória capaz de armazenar instruções de programas, subsistemas de comunicação, meios de armazenamento, dispositivos de introdução de dados como teclado, rato, ponteiro, écran tátil, microfone ou camara e dispositivos de saída como um écran e um alto-falante. Os sistemas de computador são capazes de comunicar usando redes de telecomunicações públicas ou privadas, mas a rede pública é preferida e o meio preferido é a internet.
[0064] As operações de computador na presente divulgação incluem etapas manuais e automáticas. As operações manuais são aquelas em que os dados são inseridos por um titular dos dados que configura a aplicação informática pessoal no seu dispositivo de computação pessoal. Durante a instalação da aplicação informática pessoal, o titular dos dados insere os seus dados de identificação pelos quais o servidor do prestador de dados será capaz de identificar os dados de interesse do titular. Pode ser o nome ou identificadores pessoais, ou ambos. Opcionalmente, o titular dos dados também insere uma declaração de consentimento e uma solicitação de transferência de dados, bem como quaisquer outras indicações necessárias para estabelecer preferências do utilizador ou dados necessários para a operação subsequente do programa e que variarão dependendo dos requisitos funcionais específicos das aplicações informáticas. Outras tarefas manuais do titular dos dados incluem a seleção de opções de menu na aplicação informática pessoal durante o uso.
[0065] Todas as outras tarefas descritas neste documento são tarefas automáticas e ocorrem automaticamente sob controle de programas de computador para gerir todo o processamento de dados no dispositivo de computação pessoal do titular dos dados e nos /66 servidores de um ou mais prestadores de dados e do responsável de confiança do tratamento de dados e as comunicações e transmissões de dados entre eles.
[0066] A presente invenção visa permitir uma sequência de pedidos, recuperação, armazenamento, processamento e transmissão de dados sob o controle de programas de computador executados sobre os dados pessoais do titular dos dados no seu dispositivo de computação pessoal, num ou mais servidores dos prestadores de dados que pesquisam, anonimizam e transmitem dados de interesse anonimizados relativos ao titular dos dados, e no servidor do responsável de confiança do tratamento de dados que recebe, armazena e acumula os dados de interesse anonimizados e os devolve ao dispositivo de computação pessoal do titular dos dados anónimo.
[0067] O servidor do responsável de confiança do tratamento de dados não armazena nenhuma informação relativa ao nome ou identificadores pessoais do titular dos dados, nem informações de endereço eletrónico, como número de telefone celular, endereço eletrónico ou endereço na internet do dispositivo de computação pessoal do titular de dados. Não armazenar esses dados é uma maneira eficiente de impedir que, de forma acidental, negligente ou maliciosa, computadores possam violar os dados pessoais do titular dos dados e os direitos de privacidade associados. Portanto, dados que identificam o titular dos dados, como nome ou identificadores pessoais não devem ser comunicados ao servidor do responsável de confiança do tratamento de dados, nem devem ser fornecidos ao servidor do responsável de confiança do tratamento de dados que lhe permita identificar o titular dos dados por nome, identificadores pessoais, nome de login ou de utilizador ou palavras-passe do sistema. Consequentemente, os computadores na presente invenção não estão configurados para identificar os titulares de dados usando um nome de utilizador de login convencional e palavraspasse de sistema. Uma palavra-passe de sistema é um código confidencial geralmente escolhido pelo titular dos dados que é armazenado no sistema do computador de qualquer responsável pelo /66 tratamento de dados que gere a conta de utilizador do computador do titular dos dados.
[0068] Em vez disso, a aplicação informática pessoal no dispositivo de computação pessoal usa um número exclusivo para identificar o titular dos dados - o identificador anónimo. O número é de tal dimensão que a probabilidade de pelo menos dois seres humanos partilharem o mesmo identificador anónimo e de computadores diferentes que armazenam e usam o mesmo identificador anónimo para identificar mais de um ser humano é considerada próxima de zero. O identificador anónimo é, portanto, também uma chave de identificação do titular dos dados.
[0069] Há pelo menos duas maneiras pelas quais um sistema de computador pode gerar o identificador anónimo, ambas empregando o módulo criptográfico correndo no dispositivo de computação pessoal. A primeira é a geração de um número único aleatório complexo e será utilizado nas comunicações criptográficas entre todos os sistemas de computador. Estes usarão o identificador anónimo do titular dos dados também como chave criptográfica num sistema criptográfico de chave simétrica. A segunda maneira é usar sistemas criptográficos de chave de criptografia assimétrica. Numa primeira etapa, o módulo criptográfico gera um número aleatório, que será a chave criptográfica privada do titular dos dados. A partir da chave privada, o módulo criptográfico deriva matematicamente a chave criptográfica pública, usando, por exemplo, o método publicado do algoritmo de assinatura digital da curva elíptica. Tal pode ser usado para comunicações encriptadas entre os sistemas de computador do titular dos dados, de um ou mais prestadores de dados e do responsável de confiança do tratamento de dados.
[0070] A chave criptográfica pública do titular dos dados será também o seu identificador anónimo, mas seu uso será diferente do que é convencional, pois permanecerá confidencial e conhecida apenas pelos computadores do titular dos dados e pelo responsável de confiança do tratamento de dados. Como o identificador anónimo pode ser uma chave de identificação, uma /66 chave de autenticação e uma chave criptográfica, este deve ser rigorosamente protegido.
[0071] Para maior segurança, o identificador anónimo original do titular dos dados pode ser transformado por uma função hash por meio do módulo criptográfico no dispositivo de computação pessoal do titular, para que possa ser transmitido aos servidores dos prestadores de dados de uma maneira que oculte o identificador anónimo original. Nesta modalidade, quando o titular dos dados instala a aplicação informática pessoal no dispositivo de computação pessoal, o processo de instalação é configurado para enviar o identificador anónimo original ao servidor do responsável de confiança do tratamento de dados. Ao recebê-lo, o servidor do responsável de confiança do tratamento de dados aplica o algoritmo de hash ao identificador anónimo original e obtém o identificador anónimo hash, que armazena no registo do titular dos dados na base de dados de registo de utilizadores. Nas transmissões subsequentes de informações de interesse pertencentes ao titular dos dados, entre o servidor do prestador de dados e o servidor do responsável de confiança do tratamento de dados, os dados do titular são identificados pelo primeiro pelo identificador anónimo de hash do titular. Ao recebê-lo, o servidor do responsável de confiança do tratamento de dados procura na sua base de dados de registo de dados esse mesmo identificador anónimo hash, e ao encontrar um igual, lê o identificador anónimo original da pessoa em causa nesse mesmo registo e armazena os dados de interesse recebidos sob a identidade desse identificador anónimo.
[0072] Em todas as modalidades criptográficas, é desejável que o identificador anónimo encriptado seja desencriptado apenas pelo servidor do responsável de confiança do tratamento de dados. Assim, o identificador anónimo encriptado e as chaves criptográficas necessárias para desencriptá-lo serão conhecidos apenas pelos módulos criptográficos correndo no dispositivo de computação pessoal do titular dos dados e no servidor do responsável de confiança do tratamento de dados e serão secretos para todos os outros computadores, tais como os servidores dos prestadores de dados.
/66
[0073] Dada a existência de numerosos métodos de criptografia e de transformação de dados e para simplificar a presente divulgação, as expressões encriptar, hash, identificador anónimo encriptado , dados encriptados, assinado digitalmente (e suas contrapartes desencriptar, identificador anónimo desencriptado , dados desencriptados , assinatura digital verificada ) serão agora usadas sem referência contínua ao método de criptografia ou transformação de dados utilizado, usando apenas as palavras encriptado e desencriptado, excepto quando o contexto o exigir. No entanto, uma pessoa com capacidade razoável em criptografia será capaz de identificar o método mais apropriado para cada uso.
[0074] A presente divulgação descreverá agora a operação do presente sistema e método para gerir dados pessoais anonimizados. Este sistema e método são utilizados para pesquisar e obter dados pessoais identificados relacionados com a pessoa em causa, e incluem o download e instalação de uma aplicação informática pessoal num dispositivo de computação pessoal, devendo o titular dos dados introduzir pelo menos o nome, identificadores pessoais ou ambos, um consentimento opcional, o pedido de acesso aos dados e a sua transferência e as preferências do utilizador. O módulo criptográfico gera um identificador anónimo para o titular dos dados bem como uma versão encriptada. A aplicação informática pessoal envia os dados e o identificador anónimo encriptado a um ou mais servidores dos prestadores de dados, que pesquisam e obtêm as informações de interesse do titular dos dados armazenadas numa ou mais bases de dados da aplicação, removem todos os identificadores pessoais para desidentificar e anonimizar as informações e o titular dos dados, transmitem as informações anonimizadas e o identificador anónimo encriptado, para um servidor do responsável de confiança do tratamento de dados, que desencripta a valida o identificador anónimo do titular dos dados e grava, processa e subsequentemente devolve os dados anonimizados para o dispositivo de computação pessoal do titular dos dados anonimizado.
/66
[0075] Em mais detalhe, a aplicação informática pessoal no dispositivo de computação pessoal entra em contacto com todos os servidores dos prestadores de dados participantes que possivelmente possuem dados pessoais relacionados com o titular dos dados. Os servidores dos prestadores de dados executam uma aplicação informática de transmissão de dados configurado para comunicarem com segurança com a aplicação informática pessoal. Um servidor do prestador de dados recebe os dados da aplicação informática pessoal, incluindo pelo menos o nome ou identificadores pessoais ou ambos, o consentimento opcional, pedido de acesso aos dados e de transferência, preferências do utilizador e identificador anónimo encriptado e, por meio dos identificadores pessoais, pesquisa na sua bases de dados da aplicação, dados pessoais de interesse pertencentes ao titular dos dados e obtém os dados identificados. Ao encontrá-los, a aplicação informática de transmissão de dados remove todo e qualquer identificador pessoal dos dados de interesse identificados: nome, data de nascimento completa, endereço, números de identificação pessoal, número de telefone celular, endereço de e-mail, endereço na internet e similares, para desidentificar e anonimizar os dados de interesse do titular. Essas ações são realizadas por todos os servidores dos prestadores de dados contactados pela aplicação informática pessoal do titular dos dados.
[0076] A aplicação informática de transmissão de dados em cada servidor do prestador de dados adiciona aos dados de interesse anonimizados o identificador anónimo encriptado do titular dos dados e as informações opcionais e transmite-os à aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados.
[0077] O servidor do responsável de confiança do tratamento de dados recebe a transmissão de dados e verifica se esta se refere a um titular de dados novo ou a um existente. Tal é feito pelo módulo criptográfico desencriptando o identificador anónimo encriptado do titular dos dados e pesquisando o identificador anónimo desencriptado do titular dos dados na base de dados de /66 registo de utilizadores do servidor do responsável de confiança do tratamento de dados.
[0078] Se não o encontrar, o titular dos dados é novo e a aplicação informática para a transmissão de dados abre um novo registo para o titular, registando o seu identificador anónimo, consentimento opcional, pedido de acesso aos dados e transferência e preferências na base de dados de registo de utilizadores e os metadados de transmissão (por exemplo, registo de data e hora da comunicação, identidade e endereço do prestador de dados de origem, etc.) no arquivo de log de transmissões do servidor do responsável de confiança do tratamento de dados. Se o encontrar, o titular dos dados é, portanto, um utilizador existente, e a aplicação informática de transmissão de dados regista os metadados de transmissão no arquivo de log de transmissões no servidor do responsável de confiança do tratamento de dados. Posteriormente e em ambos os casos, a aplicação informática de transmissão de dados regista o identificador anónimo e os dados de interesse anonimizados na base de dados aplicacional do servidor do responsável de confiança do tratamento de dados.
[0079] A transmissão de dados anonimizados do servidor do prestador de dados para o servidor do responsável de confiança do tratamento de dados irá ocorrer periodicamente, sempre que novos dados pessoais relativos à pessoa em causa são inseridos na base de dados aplicacional de um ou mais servidores de prestadores de dados participantes. A aplicação informática de transmissão de dados no servidor do prestador de dados será configurada para identificar os novos dados para transmissão subsequente ao servidor do responsável de confiança do tratamento de dados. Essa transmissão periódica ocorrerá enquanto o titular dos dados não revogar o seu consentimento para o acesso e processamento dos seus dados pessoais, por meio da sua aplicação informática pessoal, uma revogação que será disseminada a todos os servidores que participam no presente sistema de computador e transmissão de dados. Com o tempo, o servidor do prestador de dados continuará transmitindo novos dados e o servidor do responsável de confiança do tratamento de
31/66 dados acumulará uma quantidade substancial de dados de interesse anonimizados, identificados apenas pelo identificador anónimo do titular dos dados.
[0080] O método pelo qual o servidor do responsável de confiança do tratamento de dados devolve dados de interesse anonimizados para a aplicação informática pessoal de um titular de dados anónimo será agora descrito. A aplicação informática pessoal no dispositivo de computação pessoal e a aplicação informática de transmissão de dados do servidor do responsável de confiança do tratamento de dados estabelecem comunicação pela rede de comunicações e a aplicação informática de transmissão de dados transmite os dados de interesse anonimizados para a aplicação informática pessoal, devolvendo assim os dados pessoais e informações de interesse para o dispositivo de computação pessoal do titular anónimo.
[0081] Tal é conseguido por meio de uma sessão de comunicação que é sempre iniciada pela aplicação informática pessoal no dispositivo de computação pessoal do titular dos dados, conectando-se ao endereço eletrónico conhecido do servidor do responsável de confiança do tratamento de dados. A aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados deve aguardar o início da sessão de comunicações pela aplicação informática pessoal, já que este não tem nenhum elemento, número ou endereço de contacto do titular.
[0082] As comunicações seguras entre o dispositivo de computação pessoal do titular dos dados e o servidor do responsável de confiança do tratamento de dados são estabelecidas pela aplicação informática pessoal que envia um pedido de transmissão de dados ao servidor do responsável de confiança do tratamento de dados, que pode ser validado de duas maneiras diferentes. A aplicação informática pessoal e o módulo criptográfico podem enviar o pedido e o identificador anónimo do titular dos dados num formato de assinatura digital, que será esse identificador anónimo encriptado com a chave privada do módulo criptográfico, expressão à qual se junta a chave pública do titular dos dados, /66 que é igual ao identificador anónimo. 0 módulo criptográfico no servidor do responsável de confiança do tratamento de dados recebe e decifra a mensagem usando a chave pública que foi anexada à mensagem. Se o conteúdo da mensagem desencriptada for o mesmo que a chave pública usada para desencriptar, a assinatura digital e a mensagem serão validadas.
[0083] Descrevendo um segundo método, um pedido identificado exclusivamente pelo identificador anónimo do titular dos dados pode ser validado pela aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados, que o recebe e o compara com registos iguais na base de dados de registo de utilizadores no servidor do responsável de confiança do tratamento de dados. Se uma correspondência for encontrada, é uma confirmação de que um pedido válido foi recebido e de que o identificador anónimo armazenado e o identificador anónimo recebido correspondem ao mesmo titular dos dados anonimizado.
[0084] Seguindo um desses dois métodos de verificação, a aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados asseguradamente devolverá os dados de interesse anonimizados para o dispositivo de computação pessoal do seu legítimo titular. Este método e sistema fornecem aos computadores da presente invenção um nível de segurança operacional no que diz respeito aos direitos de privacidade que não se encontravam até agora devidamente contemplados nas comunicações e sistemas de computadores na internet.
[0085] Selecionando o sistema criptográfico de chave assimétrica para gerar o identificador anónimo e fornecer pares de chaves criptográficas assimétricas a todos os computadores na presente invenção - do titular dos dados, dos prestadores de dados e do responsável de confiança do tratamento de dados - e adicionalmente usando uma função hash para transformar os identificadores anónimos originais resolve com mais eficiência e segurança, as deficiências presentes nos sistemas de /66 computadores existentes em relação ao risco de abuso de privacidade relativamente a dados pessoais.
[0086] Dessa maneira, quando a aplicação informática pessoal entra em contacto com um ou mais servidores dos prestadores de dados e transmite os dados do titular introduzidos durante a instalação da aplicação informática pessoal no dispositivo de computação pessoal do titular, o identificador anónimo original do participante pode ser encriptado ou transformado com uma função hash, continuando assim a servir de identificador único para o titular dos dados, mas sem revelar o identificador anónimo original. Consequentemente, o servidor do prestador de dados não pode associar o nome e os identificadores pessoais do titular dos dados, que são armazenados e conhecidos por esse mesmo servidor, com o identificador anónimo original do titular dos dados. Tal garante a confidencialidade da chave pública do titular dos dados , que também é seu identificador anónimo. Quando o servidor do prestador de dados transmite os dados de interesse anonimizados e o identificador anónimo encriptado para o servidor do responsável de confiança do tratamento de dados, o servidor do responsável de confiança do tratamento de dados usa a sua chave criptográfica privada para desencriptar e obter o identificador anónimo original do titular dos dados. Dessa forma, será impossível para qualquer entidade operando um computador, ou para qualquer computador excepto o titular dos dados e o responsável de confiança do tratamento de dados e seus respectivos computadores, de conhecer o identificador anónimo do titular dos dados e usá-lo para obter acidental ou ilegalmente os dados de interesse do titular dos dados a partir do servidor do responsável de confiança do tratamento de dados e, em seguida, usar esses dados em violação dos direitos de privacidade do titular. Mesmo que o computador interceptador seja capaz de obter uma quantidade considerável de informações de interesse, na ausência do nome ou de identificadores pessoais do titular dos dados, estas não são identificáveis ou relacionáveis com uma pessoa conhecida.
[0087] Quando a aplicação informática pessoal no dispositivo de computação pessoal e a aplicação informática de transmissão de /66 dados no servidor do responsável de confiança do tratamento de dados comunicam e transmitem dados, na maioria dos casos a sessão de comunicações é iniciada automaticamente, de acordo com as preferências padrão existentes na aplicação informática pessoal, que poderão ser diariamente, semanalmente ou mensalmente ou períodos ainda mais longos. Essa frequência depende da natureza dos dados. No caso de cuidados médicos, um valor padrão adequado é mensal, mas se uma pessoa se encontra hospitalizada, um intervalo mais apropriado é uma actualização diária. Por esse motivo, o titular dos dados pode alterar a frequência de actualização na sua aplicação informática pessoal para um intervalo desejado ou até selecionar um botão de opção de actualização imediata na aplicação informática pessoal.
[0088] Para actualizações programadas, a frequência será comunicada pela aplicação informática pessoal à aplicação informática de transmissão de dados num ou mais servidores dos prestadores de dados. Para uma actualização imediata, o pedido irá diretamente para a aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados, para transmissão de dados de interesse recebidos recentemente.
[0089] Em todas as modalidades, seja durante a comunicação de mensagens que contêm dados de interesse anonimizados, a partir de um ou mais servidores dos prestadores de dados para o servidor do responsável de confiança do tratamento de dados, seja durante o registo de um novo titular dos dados anónimo na base de dados de registo de utilizadores no servidor do responsável de confiança do tratamento de dado, seja aquando da comunicação de dados de interesse anonimizados a partir do servidor do responsável de confiança do tratamento de dados para o dispositivo de computação pessoal do titular dos dados anónimo, o titular dos dados nunca usa e nunca lhe é exigido pela aplicação informática pessoal o uso de um nome de utilizador convencional definido pelo utilizador (um login) e uma palavra-passe do sistema, que identificaria indesejadamente o titular dos dados. O acesso à aplicação informática pessoal pode ser protegido pelo uso de uma palavra-passe de bloqueio de /66 écran local, armazenada exclusivamente no dispositivo de computação pessoal, ou por meios biométricos, como impressão digital ou reconhecimento facial localmente presentes em dispositivos de computação pessoal. A verificação de identidade do titular é sempre por meio do identificador anónimo.
[0090] Existem várias aplicações informáticas para obter dados pessoais de um titular de dados e esse é o caso em aplicações informáticas de assistência médica e de registo eletrónico de saúde. No entanto, essas aplicações informáticas estão normalmente associadas a um prestador de serviços de saúde ou a uma companhia de seguros e não cobrem todos os prestadores de dados nos quais os registos de um titular de dados possam estar armazenados. O presente pedido de patente divulga um método e um sistema em que os dados pessoais podem ser obtidos universalmente, de onde quer que estejam armazenados numa multiplicidade de servidores participantes e são depois encaminhados de forma anónima e devolvidos de maneira organizada e fácil de entender para o dispositivo de computação pessoal do titular dos dados.
[0091] A devolução das informações de interesse do titular dos dados durante uma sessão de comunicação sempre iniciada pela aplicação informática pessoal do titular dos dados que é identificado pelo seu identificador anónimo resolve o paradoxo da reversibilidade / irreversibilidade do anonimato e permite que o servidor do responsável de confiança do tratamento de dados comunique com segurança com o dispositivo de computação pessoal do titular e lhe transmita informações pessoais valiosas e conhecimento científico derivado do processamento em larga escala de dados pessoais, sem saber o nome do titular, o número de telefone celular, o endereço de e-mail ou o endereço do dispositivo de computação pessoal.
[0092] Numa modalidade da invenção, uma mãe ou um pai podem armazenar as informações de interesse de uma criança no seus dispositivos de computação pessoal e, mesmo, uma vez atingida determinada idade legal, permitir que as informações da criança /66 sejam removidas do dispositivo dos pais e transferidas para o dispositivo da criança agora adulta.
[0093] Noutra modalidade da invenção aplicável aos cuidados de saúde, o titular dos dados pode, por meio da aplicação informática pessoal, designar um profissional de saúde que estará autorizado a receber os registos médicos do titular dos dados. Para isso, o titular dos dados faz com que a aplicação informática pessoal envie o identificador anónimo do titular dos dados e o nome do profissional de saúde para a aplicação informática de transmissão de dados no servidor do responsável de confiança do tratamento de dados. O profissional de saúde executará uma aplicação informática no seu computador conectado por uma rede de comunicações à mesma aplicação informática de transmissão de dados. Esse aplicação informática no servidor do responsável de confiança do tratamento de dados receberá o pedido do titular dos dados, o seu identificador anónimo e o nome do profissional de saúde. Essa aplicação informática de transmissão de dados recuperará os registos médicos do titular dos dados da base de dados aplicacional informática e enviá-losá para o computador conectado cuja identidade de utilizador corresponde ao nome do profissional de saúde designado pelo titular dos dados. Portanto, os registos de dados de saúde podem ser partilhados pelo titular dos dados com o profissional de saúde escolhido e a partilha de dados ocorre sem que o servidor do responsável de confiança do tratamento de dados saiba o nome do titular dos dados.
[0094] Noutra modalidade, a aplicação informática pessoal está configurada para detetar a presença da mesma aplicação instalada noutros dispositivos de computação pessoal de outros titulares de dados, que se encontram próximos, e, por wifi ou bluetooth, as duas aplicações informáticas pessoais enviam, recebem e armazenam os identificadores anónimos encriptados do outro titular. Esta modalidade é particularmente útil em situações epidémicas, onde existe a necessidade de saber a identificação, neste caso anónima, de todas as pessoas que estiveram na proximidade de uma pessoa infectada, e de contactar todos os /66 intervenientes para lhes enviar conselhos relevantes para as suas aplicações informáticas pessoais.
[0095] Outra modalidade envolve a aplicação informática pessoal a qual, durante sua instalação, contacta primeiro um servidor de verificação de identidade conhecido, com o objetivo de garantir absolutamente que o titular dos dados seja realmente a pessoa indicada pelo seu nome, e não outra pessoa tentando usar uma identidade que não é a sua, para obter ilegalmente as informações pessoais de outrem. Somente após a verificação de identidade , como descrito, por exemplo, no pedido de patente PT 115.304, a aplicação informática pessoal poderá concluir com êxito a sua instalação no dispositivo de computação pessoal , por uma mensagem do servidor de verificação de identidade que a autorize. O servidor de verificação de identidade também podem armazenar uma lista de servidores de prestadores de dados participantes susceptiveis de armazenar informações de interesse da pessoa em causa. Nesse caso, o servidor de verificação de identidade pode ser programado para garantir a distribuição dos dados de registo de utilizadores do titular dos dados a todos os servidores dos prestadores de dados. Tal evita que o dispositivo de computação pessoal seja vinculado a um processo de registo do titular dos dados que pode ser demorado. Esta possível função para o servidor de verificação de identidade não altera substancialmente a presente divulgação, pois após verificar a identidade do titular dos dados, esse servidor transmite dados para os servidores dos prestadores de dados exatamente da mesma maneira descrita aqui em relação às transmissões de dados entre o dispositivo de computação pessoal e um ou mais servidores dos prestadores de dados. Os meios para controlar a transmissão segura de dados nesta modalidade podem incluir chaves de criptografia assimétricas, assinaturas digitais, funções hash e blockchain.
[0096] Outra modalidade envolve a possibilidade de recuperar as informações de interesse de um titular de dados, no caso de perda, destruição, roubo, reinstalação ou actualização do dispositivo de computação pessoal do titular de dados. Aqui, um novo dispositivo de computação pessoal pode ser usado, a /66 aplicação informática pessoal descarregada e instalada novamente, um novo identificador anónimo sendo gerado e a conta de utilizador do computador do titular dos dados recuperada, reiniciando o processo de fluxo de dados através de um ou mais computadores prestadores de dados servidores e permitir que as informações de interesse anteriormente existentes armazenadas no servidor do responsável de confiança do tratamento de dados sejam associadas novamente ao novo identificador anónimo do titular dos dados, sem transmitir ou revelar a identidade do nome ou identificadores pessoais dos dados do titular ao servidor do responsável de confiança do tratamento de dados. Os meios para essa recuperação incluem um computador que previamente detenha pelo menos o nome do titular dos dados, identificadores pessoais e o identificador anónimo encriptado original . Portanto servidores dos prestadores de dados e servidores de verificação de identidade podem ser úteis nesta recuperação, bem como na re-identificação de pessoas no caso de interesse vital ou de emergência de saúde pública.
Descrição sumária dos desenhos
[0097] O Desenho la é um diagrama de blocos de uma arquitetura de sistema usada para descarregar e instalar uma aplicação informática pessoal e um módulo criptográfico num dispositivo de computação pessoal, de acordo com um exemplo de modalidade da presente divulgação.
[0098] O Desenho 1b é um diagrama de blocos de uma arquitetura de sistema de computador usada para conectar um dispositivo de computação pessoal, um servidor de prestador de dados, um servidor de responsável de confiança do tratamento de dados e estabelecer comunicações entre todos eles, de acordo com um exemplo de modalidade da presente divulgação.
[0099] O Desenho 2 é um diagrama de blocos de um dispositivo de computação pessoal, de acordo com um exemplo de uma modalidade da presente divulgação.
/66
[0100] O Desenho 3 é um diagrama de blocos de um servidor de um prestador de dados, de acordo com um exemplo de uma modalidade da presente divulgação.
[0101] 0 Desenho 4 é um diagrama de blocos de um servidor de um responsável de confiança do tratamento de dados, de acordo com um exemplo de modalidade da presente divulgação.
[0102] O Desenho 5 é um fluxograma de programa começando com a instalação da aplicação informática pessoal no dispositivo de computação pessoal e terminando com a transferência das informações de interesse para o servidor do responsável de confiança do tratamento de dados, de acordo com um exemplo de modalidade da presente divulgação.
[0103] O Desenho 6 é um fluxograma de programa começando com a transmissão do pedido de transmissão de dados pela aplicação informática pessoal e terminando com o titular dos dados acedendo e utilizando as informações pessoais de interesse no seu dispositivo de computação pessoal, de acordo com um exemplo de modalidade da presente divulgação.
[0104] Nos desenhos, números semelhantes referem-se a elementos e características semelhantes na descrição.
Descrição detalhada dos desenhos
[0105] No Desenho la, o titular dos dados conecta o seu dispositivo de computação pessoal à rede pública de comunicações digitais móveis, como o sistema GSM, por exemplo, a internet ou qualquer outra rede de comunicações - coletivamente a rede de comunicações. De seguida, o titular dos dados descarrega e instala uma aplicação informática pessoal 100 e um módulo criptográfico 101 no seu dispositivo de computação pessoal 110. A aplicação informática pessoal 100 e o módulo criptográfico 101 são descarregados a partir de um sistema de distribuição de software apropriado 105, como AppStore ou Google Play, ou um site da internet, ao qual o titular dos dados conecta-se usando seu dispositivo de computação pessoal 110. O titular dos dados conhece a aplicação informática pessoal 100 através de /66 conhecimento público, redes sociais ou um anúncio convencional, que a identifica como uma aplicação informática pessoal publicada por um responsável de confiança do tratamento de dados para obter com segurança dados pessoais pertencentes ao titular dos dados.
[0106] No Desenho 1b, após o download, ocorre a instalação da aplicação informática pessoal 100 e o titular dos dados introduz pelo menos o seu nome e pode inserir outros identificadores pessoais e termos de consentimento. O módulo criptográfico 101 gera um identificador anónimo, bem como sua versão encriptada, usando a chave pública conhecida do responsável de confiança do tratamento de dados .
[0107] A aplicação informática pessoal 100 do dispositivo de computação pessoal 110 envia a mensagem de dados - dados inseridos pelo titular dos dados e identificador anónimo encriptado - para um ou mais servidores de prestadores de dados 120, conhecidos pela aplicação informática pessoal, que possam conter dados pessoais relativos ao titular dos dados. Em um ou mais servidores dos prestadores de dados 120 encontra-se instalada uma aplicação informática de transmissão de dados 125, configurada para comunicar dados com segurança com a aplicação informática pessoal 100.
[0108] A aplicação informática de transmissão de dados 125 pesquisa as bases de dados da aplicação do servidor do prestador de dados 120 e extrai as informações de interesse relacionadas com o titular dos dados. A aplicação informática de transmissão de dados 125 anonimiza as informações de interesse removendo o nome e os identificadores pessoais e substituindo-os pelo identificador anónimo encriptado do titular dos dados e transmite-os para o servidor do responsável de confiança do tratamento de dados 130. Este servidor 130 também tem instalada uma aplicação informática de transmissão de dados 135 configurada para comunicar dados com segurança com a aplicação informática de transmissão de dados 125 em um ou mais servidores dos prestadores de dados 120. Essa extração, anonimização e transmissão de dados ocorre periodicamente sob o controle da
41/66 aplicação informática de transmissão de dados 125 correndo em um ou mais servidores dos prestadores de dados 120.
[0109] A aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 recebe a mensagem de dados da aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120, incluindo as informações de interesse anonimizadas e o identificador anónimo encriptado.
[0110] Programação contida no servidor do responsável de confiança do tratamento de dados 130 decifra ou valida o identificador anónimo do titular dos dados e armazena as informações de interesse anonimizadas. Em intervalos regulares, a aplicação informática de transmissão de dados 135 do servidor do responsável de confiança do tratamento de dados 130 transmite a informação recém-recebida de interesse à aplicação informática pessoal 100 no dispositivo de computação pessoal 110 do titular dos dados, que é identificada pelo mesmo identificador anónimo que a informação de interesse anonimizada.
[0111] No Desenho 2, o dispositivo de computação pessoal 110 é ilustrado em termos dos seus componentes essenciais de hardware e software. O dispositivo de computação pessoal 110 possui um processador principal 200, um subsistema de comunicações 210 configurado para comunicar através da rede de comunicações com todos os servidores dos prestadores de dados 120 e com o servidor do responsável de confiança do tratamento de dados 130, um dispositivo de introdução de dados 220, um monitor ou écran 230 e um subsistema de armazenamento de dados 235, que armazena dados e programas. O processador 200 interage com a memória 240 contendo programas de computador e dados recebidos do subsistema de armazenamento de dados 235. A memória 240 inclui as instruções do programa 250, a aplicação informática pessoal 100, o módulo criptográfico 101 e dados dos ficheiros e bases de dados da aplicação 280 que armazenam a informação de interesse recebidas do servidor do responsável de confiança do tratamento de dados 130.
/66
[0112] O Desenho 3 ilustra os componentes essenciais de hardware e software de um ou mais servidores dos prestadores de dados.
[0113] Um ou mais servidores dos prestadores de dados 120 possuem um processador principal 300, um subsistema de comunicações 310 configurado para comunicar através da rede de comunicações com todos os dispositivos de computação pessoal dos titulares dos dados 110 e com o servidor do responsável de confiança do tratamento de dados 130, um dispositivo de introdução de dados 320 , um monitor ou écran 330 e um subsistema de armazenamento de dados 335, que armazena dados e programas. 0 processador 300 interage com a memória 340 contendo programas de computador e dados recebidos do subsistema de armazenamento de dados 335. A memória 340 inclui as instruções do programa 350, a aplicação informática de transmissão de dados 125, o módulo criptográfico 301, a base de dados de registo de utilizadores 370, a base de dados aplicacional 380 contendo os dados pessoais identificados do titular dos dados e os arquivos de log de transações 390 contendo os metadados das comunicações de todas as sessões de transmissão de dados que incluem pelo menos a identidade do computador de origem e o registo de data e hora do evento de transmissão de dados.
[0114] O Desenho 4 ilustra os componentes essenciais de hardware e software do servidor do responsável de confiança do tratamento de dados.
[0115] O servidor do responsável de confiança do tratamento de dados 130 possui um processador principal 400, um subsistema de comunicações 410 configurado para comunicar através da rede de comunicações com o dispositivo de computação pessoal do titular dos dados 110 e com os servidores dos prestadores de dados 120, um dispositivo de introdução de dados 420, um monitor 430 e um subsistema de armazenamento 435 armazenando programas e dados de computador. O processador 400 interage com a memória 440 contendo programas de computador e dados recebidos do subsistema de armazenamento 435. A memória 440 inclui as instruções de programa 450, a aplicação informática de transmissão de dados 135, o módulo criptográfico 401, a base de dados de registo de /66 utilizadores 470, a base de dados aplicacional 480 contendo as informações de interesse anonimizadas do titular dos dados, os arquivos de log de transações 490 contendo os metadados das comunicações de todas as sessões de transmissão de dados, incluindo pelo menos a identidade do computador de origem e o carimbo de data e hora do evento de transmissão de dados, e a aplicação informática de ciência de dados 495. Em uso, é esta aplicação informática de ciência de dados que processará as informações de interesse anonimizadas armazenadas em larga escala na base de dados aplicacional 480 para produzir os relatórios descritos anteriormente a partir dos quais novas informações e novos conhecimentos serão derivados. Esses relatórios terão um valor económico significativo e, em certas áreas como cuidados médicos, um interesse público considerável.
[0116] A operação dos sistemas de computador nos Desenhos la, 1b, 2, 3 e 4 será agora explicada em detalhe através dos fluxogramas dos Desenhos 5 e 6. As etapas do programa são numeradas por números pertencentes às séries 500 e 600, mas também é feita referência aos elementos dos desenhos anteriores.
[0117] O Desenho 5 ilustra o processo pelo qual um titular de dados se regista no sistema de computadores da presente divulgação, e como os dados de interesse são obtidos por um ou mais servidores dos prestadores de dados 120 e são transmitidos para o servidor do responsável de confiança do tratamento de dados 130. Na etapa 500, o titular dos dados descarrega a aplicação informática pessoal 100 e o módulo criptográfico associado 101 de um serviço de distribuição de aplicações informáticas adequado ou de um site 105, para o seu dispositivo de computação pessoal 110. Durante o processo de instalação, o titular dos dados insere dados de identificação pessoal na aplicação informática pessoal 100 por meio de um dispositivo de introdução de dados 220, tais como nome, sexo, data de nascimento, endereço, código postal e identificadores pessoais, como o número do cartão de identificação do cidadão, número da carta de condução, número de segurança social ou número de contribuinte - o maior número possível , e isso ajudará na /66 pesquisa subsequente de dados pessoais nos servidores dos prestadores de dados 120.
[0118] No caso de leis de proteção de dados pessoais assim o exigirem, o titular dos dados indica, por meio do dispositivo de introdução de dados 220 na aplicação informática pessoal 100, o seu consentimento para o processamento dos seus dados pessoais, em qualquer servidor de prestador de dados 120 onde possam estar armazenados, e para autorizar o seu processamento e transferência para o servidor do responsável de confiança do tratamento de dados 130. Normalmente, a aplicação informática pessoal 100 terá sido desenvolvida e é distribuída por um responsável de confiança do tratamento de dados específico e será configurada para exibir o nome desse responsável de confiança no écran 230 do dispositivo de computação pessoal 110, de modo que seja claro para o titular dos dados qual o sistema de computador em que seus dados pessoais anónimos serão transferidos ou copiados. O titular dos dados também pode inserir quaisquer dados de preferências ou opções solicitados pela aplicação informática pessoal 100 usando o dispositivo de introdução de dados 220.
[0119] Uma vez concluída a etapa de introdução de dados, na etapa 510, um módulo criptográfico 101 no dispositivo de computação pessoal 110 gera um identificador anónimo e uma versão encriptada desse mesmo identificador. O identificador anónimo pode ser gerado usando um sistema de chaves simétricas ou um sistema de chaves assimétricas, dependendo da modalidade e do nível de segurança desejado, mas independentemente do sistema adotado para gerá-lo, o identificador anónimo e o identificador anónimo encriptado estarão sempre associados ao titular dos dados que os originou e identificarão como chave de identificação todos os dados pessoais obtidos posteriormente em um ou mais servidores dos prestadores de dados 120 e transmitidos ao servidor do responsável de confiança do tratamento de dados 130.
[0120] Na modalidade geral, ao usar uma chave criptográfica simétrica, o identificador anónimo pode ser gerado para cumprir /66 a função de uma chave de criptografia, usando o Advanced Encryption Standard incluído no módulo criptográfico 101 do dispositivo de computação pessoal 110 .
[0121] Na modalidade de chave assimétrica, chaves criptográficas assimétricas são geradas usando o sistema preferido do algoritmo de assinatura digital de curva elíptica. A chave privada será gerada aleatoriamente pelo módulo criptográfico 101 no dispositivo de computação pessoal 110 e a partir dessa chave privada o módulo criptográfico 101 derivará matematicamente uma chave criptográfica pública. Essa chave pública também será o identificador anónimo do titular dos dados. O módulo criptográfico 101, em seguida, seleciona a chave pública gerada / identificador anónimo e produz uma versão encriptada usando a chave criptográfica pública conhecida do servidor do responsável de confiança do tratamento de dados 130, ou usando qualquer um dos outros métodos criptográficos ou de transformação descritos na presente divulgação. A chave pública do servidor do responsável de confiança do tratamento de dados 130 é conhecida publicamente e é armazenada no módulo criptográfico 101 no dispositivo de computação pessoal 110. Isso significa que, se a chave pública encriptada do titular dos dados for transmitida ou interceptada por outros computadores que não possuem os meios para desencriptá-la estes nunca conhecerão a chave pública original / identificador anónimo do titular dos dados. Assim, quando transmitidos a um ou mais servidores dos prestadores de dados 120 como parte do processo de registo inicial descrito neste Desenho 5, os servidores dos prestadores de dado 120 são impedidos de conhecer o identificador anónimo em claro do titular dos dados e, portanto, serão incapazes de usar a sua funcionalidade como chave de identificação, chave de autenticação e chave criptográfica.
[0122] Na etapa 520, a aplicação informática pessoal 100 no dispositivo de computação pessoal 110 entra em contacto com todos os servidores de prestadores de dados participantes 120 que armazenam dados de interesse do titular dos dados, como registos de saúde, registos fiscais, registos de transações, registos financeiros, registos de preferências - qualquer /66 informação que por natureza possa ser privada ou sensível - e esses registos são armazenados nas bases de dados da aplicação 380. Esse contacto será realizado usando a rede de comunicações. Os endereços eletrónicos dos servidores dos prestadores de dados 120 podem ser gravados numa lista armazenada no dispositivo de computação pessoal 110 que é acedida pela aplicação informática pessoal 100, ou a aplicação informática pessoal 100 pode entrar em contacto com um servidor de internet de confiança (não ilustrado) a partir do qual pode recuperar a lista mais actualizada de endereços eletrónicos dos servidores dos prestadores de dados participantes.
[0123] A aplicação informática pessoal 100 e a aplicação informática de transmissão de dados 125 em um ou mais servidores dos prestadores de dados 120 são configurados para transmitir dados com segurança entre si. A aplicação informática de transmissão de dados 125 terá sido desenvolvida pelo responsável de confiança do tratamento de dados. É a primeira vez que a aplicação informática pessoal 100 entra em contacto com o servidor do prestador de dados 120.
[0124] Uma vez a conexão estabelecida, a aplicação informática pessoal 100 transmite o nome do titular dos dados, dados de identificação pessoal, identificadores pessoais, termos de consentimento opcional, pedido de acesso a dados opcional, preferências pessoais opcionais e o identificador anónimo encriptado, para a aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120.
[0125] Na etapa 530, a aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120 recebe os dados de identificação transmitidos pelo titular dos dados e armazenaos na sua base de dados de registo de utilizadores 370. A base de dados de registo de utilizadores 370 registará, portanto, o nome do titular dos dados, todos os identificadores pessoais, termos opcionais de consentimento, pedido opcional de transferência de dados, preferências opcionais do utilizador e o identificador anónimo encriptado.
/66
[0126] Uma vez este processo concluído, a aplicação informática de transmissão de dados 125 transmite uma mensagem para a aplicação informática pessoal 100 de que o processo de registo se encontra concluído nesse servidor do prestador de dados 120.
[0127] A aplicação informática pessoal 100 então seleciona o próximo servidor do prestador de dados na lista de servidores de prestadores de dados e reinicia o processo de registo do utilizador em todos os servidores dos prestadores de dados 120 até que o titular dos dados tenha sido registado como um novo utilizador em todos os servidores dos prestadores de dados 120 da lista.
[0128] A aplicação informática de transmissão de dados 125 pesquisa as bases de dados da aplicação 380 em um ou mais servidores dos prestadores de dados 120 e, usando o nome do titular dos dados e os seus identificadores pessoais, localiza e obtém todos os dados pessoais de interesse associados ao titular identificado.
[0129] Na etapa 540, ao localizar os dados de interesse e colocá-los na memória do servidor do prestador de dados 340, a aplicação informática de transmissão de dados 125 apaga o nome do titular dos dados e todo e qualquer identificador pessoal e substitui-os pelo identificador anónimo encriptado. Os dados de interesse do titular são, assim, despojados de quaisquer elementos de identificação pessoal e, portanto, são anonimizados e desidentifiçados.
[0130] Na etapa 550, a aplicação informática de transmissão de dados 125 em um ou mais servidores dos prestadores de dados 120 entra em contacto com a aplicação informática de transmissão de dados 135 localizada no servidor do responsável de confiança do tratamento de dados 130 por meio da rede de comunicações. Uma vez estabelecido o contacto, a aplicação informática de transmissão de dados 125 no servidor do prestador de dados 120 transmite as informações de interesse anonimizadas, desidentifiçadas do titular dos dados, os termos opcionais de consentimento, o pedido opcional de acesso e transferência de dados, as preferências opcionais do utilizador e o identificador /66 anónimo encriptado , para a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130. As aplicações informáticas de transmissão de dados 125 registam os metadados de transmissão (pelo menos a identidade dos computadores em comunicação e o carimbo de data e hora da transmissão de dados) no arquivo de log 390 em um ou mais servidores dos prestadores de dados 120.
[0131] É de notar que o nome e os identificadores pessoais do titular dos dados não são transmitidos ao servidor do responsável de confiança do tratamento de dados 130. A transmissão de dados de interesse anonimizados ocorre periodicamente, sempre que novos dados de interesse - novos registos médicos, novos registos fiscais, novos registos financeiros, etc. - são adquiridos pelas bases de dados da aplicação informática 380 a partir do um ou mais servidores dos prestadores de dados 120, desde que o consentimento do titular dos dados não tenha sido revogado na aplicação informática pessoal 100 e comunicado à aplicação informática de transmissão de dados 125. A aplicação informática de transmissão de dados 125 está configurada para realizar esta pesquisa periódica, anonimizando e transmitindo os dados de interesse para o servidor do responsável de confiança do tratamento de dados 130. De forma a transmitir apenas a informação de interesse recente, a aplicação informática de transmissão de dados 125 referir-se-á aos metadados da transmissão anterior contida no arquivo de log 390 e apenas transmitirá informações interesse adquirido desde esse evento.
[0132] Na etapa 560, o servidor do responsável de confiança do tratamento de dados 130 recebe os dados transmitidos do um ou mais servidores dos prestadores de dados 120. A aplicação informática de transmissão de dados 135 regista os metadados de transmissão (pelo menos a identidade dos computadores comunicantes e o carimbo de data e hora da transmissão de dados) no ficheiro de log 490 no servidor do responsável de confiança do tratamento de dados 130.
/66
[0133] Ao receber a mensagem de dados de um ou mais servidores dos prestadores de dados 120, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 deve primeiro ler o identificador anónimo encriptado. Na modalidade geral, o identificador anónimo será desencriptado pelo módulo criptográfico 401 usando o método correspondente ao método usado para encriptá-lo originalmente. Na modalidade de chave assimétrica, o módulo criptográfico 401 lê o identificador anónimo encriptado do titular dos dados e desencripta-o usando a chave privada do servidor do responsável de confiança do tratamento de dados 130, obtendo assim o identificador anónimo original bem como a chave pública do titular dos dados .
[0134] Na etapa 570, o servidor do responsável de confiança do tratamento de dados 130 usa o identificador anónimo recebido para determinar se o titular dos dados é novo ou não. A aplicação informática de transmissão de dados 135 pesquisa a base de dados de registo de utilizadores 470 localizada no servidor do responsável de confiança do tratamento de dados 130 e compara o identificador anónimo recebido com os identificadores anónimos armazenados na base de dados de registo de utilizadores 470.
[0135] Na etapa 575, se uma correspondência não for encontrada, uma novo registo é introduzido na base de dados de registo de utilizadores 470 do servidor do responsável de confiança do tratamento de dados 130, incluindo o identificador anónimo do titular dos dados, termos de consentimento opcionais, pedido de transferência de dados opcional, as preferências opcionais do utilizador e os metadados da transmissão são registados no arquivo de log 490 localizado no servidor do responsável de confiança do tratamento de dados 130. O fluxo do programa de computador continua na etapa 580.
[0136] Se for encontrada uma correspondência ou se o fluxo do programa continuar depois da etapa 575, de seguida, na etapa 580 a pessoa em causa já está registada na base de dados de registo de utilizadores 470 do servidor do responsável de confiança do /66 tratamento de dados 130 e a aplicação informática de transmissão de dados 135 regista os dados de interesse anonimizados do titular dos dados na base de dados aplicacional 480 do servidor do responsável de confiança do tratamento de dados 130, identificados apenas pelo identificador anónimo do titular dos dados.
[0137] Após vários eventos de transmissão de dados, o servidor do responsável de confiança do tratamento de dados 130 armazenará uma quantidade significativa de informações pessoais de interesse anonimizadas pertencentes ao titular dos dados na sua base de dados aplicacional 480. Consequentemente, o servidor do responsável de confiança do tratamento de dados 130, na ausência de qualquer informação pessoal identificável sobre o titular dos dados - nem nome, identificadores pessoais, número de telefone celular ou endereço de email - não tem nenhum endereço para entrar em contacto e estabelecer comunicação com a aplicação informática pessoal 100 no dispositivo de computação pessoal do titular dos dados 110 e devolver-lhe as suas informações de interesse obtidas periodicamente dos vários servidores dos prestadores de dados 120. O servidor do responsável de confiança do tratamento de dados 130 não tem meios re-identificar o titular dos dados e de entrar em contato com o dispositivo de computação pessoal 110 e isso impede que os dados pessoais identificados do titular dos dados sejam acedidos por qualquer computador por acidente, negligência ou ilegalidade. A divulgação apresentada no desenho seguinte descreve um sistema de computador configurado para aceder e processar os dados pessoais do titular dos dados de uma maneira que não viola os seus direitos de privacidade.
[0138] O Desenho 6 ilustra como os dados de interesse anonimizados são devolvidos à aplicação informática pessoal 100 no dispositivo de computação pessoal 110 do titular dos dados anónimo, depois da execução bem sucedida das etapas 500 a 580.
[0139] Na etapa 600, é a aplicação informática pessoal 100 no dispositivo de computação pessoal 110 que abre uma sessão de comunicação com a aplicação informática de transmissão de dados
51/66
135 do servidor do responsável de confiança do tratamento de dados 130, através da rede de comunicações. Isso é possível porque a aplicação informática pessoal 100 tem o endereço eletrónico do servidor do responsável de confiança do tratamento de dados 130 e está configurada para contactá-lo periodicamente.
[0140] Na etapa 610, a aplicação informática pessoal 100 transmite um pedido de transmissão de dados para a aplicação informática de transmissão de dados 135 do servidor do responsável de confiança do tratamento de dados 130, incluindo o identificador anónimo do titular dos dados, preferencialmente encriptado na forma de uma assinatura digital. A aplicação informática de transmissão de dados 135 regista os metadados da sessão de comunicações (identificador anónimo e carimbo de data e hora) no arquivo de log 490 no servidor do responsável de confiança do tratamento de dados 130.
[0141] Na etapa 620, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 lê o identificador anónimo e sua assinatura digital, se presente, e deve determinar se é uma mensagem válida.
[0142] Na etapa 630, a aplicação informática de transmissão de dados 135 pesquisa a base de dados de registo de utilizadores 470 localizada no servidor do responsável de confiança do tratamento de dados 130 e compara o identificador anónimo recebido com os identificadores anónimos armazenados no base de dados de registo de utilizadores 470. Se for um assinatura digital, o módulo criptográfico 401 verifica-a usando o identificador anónimo recebido como chave de desencriptação da assinatura digital.
[0143] Na etapa 635, se não houver uma correspondência entre o identificador anónimo recebido e qualquer identificador anónimo armazenado, o identificador anónimo recebido é inválido. No caso de a assinatura digital desencriptada não ser idêntica ao identificador anónimo recebido, a mensagem também é inválida. A aplicação informática de transmissão de dados 135 do servidor do /66 responsável de confiança do tratamento de dados 130 pára de comunicar com a aplicação informática pessoal 100.
[0144] Na etapa 640, se houver uma correspondência entre o identificador anónimo recebido e qualquer identificador anónimo armazenado, ou se a assinatura digital desencriptada corresponder ao identificador anónimo recebido, o identificador anónimo recebido e o pedido de transmissão de dados são válidos.
[0145] A aplicação informática de transmissão de dados 135 pesquisa na base de dados aplicacional informática 480 no servidor do responsável de confiança do tratamento de dados 130 dados de interesse anonimizados identificados pelo identificador anónimo validado e obtém os dados de interesse mais recentes do titular dos dados anónimo, consultando o arquivo de log 490 que contém a data da sessão de comunicação anterior entre a aplicação informática pessoal 100 do titular dos dados e a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130.
[0146] Na etapa 650, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 transmite as informações mais recentes de interesse para a aplicação informática pessoal 100 no dispositivo de computação pessoal 110.
[0147] Na etapa 660, a aplicação informática pessoal 100 recebe as informações de interesse, organiza e as armazena-as na base de dados de informações de interesse 280 no dispositivo de computação pessoal do titular dos dados 110.
[0148] Na etapa 670, o titular dos dados abre a aplicação informática pessoal 100 no seu dispositivo de computação pessoal 110 e consulta e usa as informações de interesse 280.
[0149] É de realizar que, no caso de informações de interesse contidas em ficheiros muito grandes, o que é o caso aquando da transmissão de imagens e fotografias, o tempo de transmissão pode ser longo. A fim de reduzir o tempo de transferência de um desses ficheiros, a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento /66 de dados 130 pode transmitir um endereço de link que identifica o registo na base de dados aplicacional informática 480 do servidor do responsável de confiança do tratamento de dados 130, para a aplicação informática pessoal 100, em vez do ficheiro em si. Nesta modalidade, sempre que o titular dos dados deseje consultar e usar esses ficheiros grandes, selecionando o endereço de link na aplicação informática pessoal 100 aciona automaticamente o pedido de transmissão de dados e o processo de verificação de identificador anónimo descrito nas etapas 610 a 640 e o ficheiro completo é então efectivamente transmitido pela aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130 para a base de dados de informações de interesse 280 , para ser exibido na aplicação informática pessoal 100. Numa modalidade semelhante, este processo que economiza largura de banda pode ser usado para todas as transmissões regulares de dados de interesse entre a aplicação informática pessoal 100 do titular dos dados e a aplicação informática de transmissão de dados 135 no servidor do responsável de confiança do tratamento de dados 130.
[0150] Assim, o servidor do responsável de confiança do tratamento de dados 130 é capaz de obter dados de interesse anonimizados de vários servidores prestadores de dados 120 e transmiti-los à aplicação informática pessoal 100 do seu legitimo titular, ainda que anónimo. Tal representa um avanço na proteção dos direitos de privacidade dos titulares de dados quando dados pessoais são transmitidos.
[0151] Em adquirindo mais informações de interesse na sua base de dados aplicacional 480, a partir de um grande número de titulares dos dados que usam a aplicação informática pessoal 100 nos seus dispositivos de computação pessoal 110, e de todos os servidores de prestadores de dados 120 participantes, o servidor do responsável de confiança do tratamento de dados 130 vai construindo uma base de dados aplicacional 480 de grande dimensão e pode executar o processamento informático em larga escala de dados anonimizados, usando técnicas como processamento estatístico, processamento de Big Data, machine-learning e inteligência artificial para obter novas informações a partir /66 dos dados armazenados, usando a aplicação informática de ciência de dados 495. Isso será particularmente relevante no caso de dados e serviços de saúde, estabelecendo novas relações entre medicamentos, tratamentos e terapias e quantificando o seu impacto em cada indivíduo ou classe de indivíduos, permitindo medicina de precisão usando dados do mundo real e melhor saúde individual e pública. Tal será também útil na actividade comercial de identificar preferências do consumidor, padrões de compra ou interações sociais, a partir do processamento em larga escala de dados pessoais, mas sem saber o nome do titular dos dados. Esse processamento será somente possível se grandes quantidades de dados pessoais forem armazenados em computadores. A presente invenção permite uma acumulação grande de dados pessoais de uma maneira que impede que os computadores que os processam associem os dados a uma pessoa identificada e, portanto, resolve o problema da proteção dos direitos de privacidade das pessoas cujos dados pessoais são processados por esses computadores.
[0152] Embora modalidades específicas do sistema e método da presente invenção tenham sido ilustradas nos desenhos anexos e descritas na descrição detalhada anterior, será entendido que a invenção não se limita às modalidades divulgadas, nomeadamente no uso de mais ou menos meios criptográficos e múltiplas combinações dos mesmos, mas é suscetível de numerosas combinações, modificações e substituições sem se afastar do espírito da invenção.

Claims (4)

  1. Reivindicações
    1. Método para um titular de dados executar um processo de registo num servidor de um responsável de confiança do tratamento de dados (130), a partir de uma aplicação informática pessoal (100) instalada num dispositivo de computação pessoal (110), em que o titular se identifica exclusivamente por meio de um identificador anónimo encriptado, e para o servidor do responsável de confiança do tratamento de dados (130) devolver informações de interesse do titular para a sua aplicação informática pessoal (100), incluindo as etapas:
    a. 0 titular dos dados descarrega e instala uma aplicação informática pessoal (100) e um módulo criptográfico (101) no seu dispositivo de computação pessoal (110) e insere pelo menos o nome, os identificadores pessoais da sua pessoa e um consentimento opcional,
    b. 0 módulo criptográfico (101) no dispositivo de computação pessoal (110) gera um identificador anónimo e uma versão encriptada do identificador anónimo,
    c. A aplicação informática pessoal (100) no dispositivo de computação pessoal (110) entra em contacto com uma aplicação informática de transmissão de dados (125) em um ou mais servidores dos prestadores de dados (120) que armazenam dados relacionados com o titular dos dados, estando ambas (100, 125) configuradas para comunicar dados com segurança, para a primeira (100) transmitir e para a segunda (125) receber o nome do titular dos dados, identificadores pessoais, o identificador anónimo encriptado e o consentimento opcional,
    d. A aplicação informática de transmissão de dados (125) de um ou mais servidores dos prestadores de dados (120) recebe e regista o nome do titular dos dados, identificadores pessoais, identificador anónimo encriptado e consentimento opcional e pesquisa na base de dados aplicacional (370) do servidor do prestador de dados (120), dados relacionados com o titular dos dados, por meio de o nome e identificadores pessoais do titular,
    56/66
    e. Ao localizar os dados de interesse, a aplicação informática de transmissão de dados (125) do servidor de um ou mais prestadores de dados (120) cria uma mensagem à qual adiciona os dados de interesse, o identificador anónimo encriptado do titular dos dados, o consentimento opcional e remove o nome do titular e todos os identificadores pessoais para anonimizar os dados de interesse,
    f. A aplicação informática de transmissão de dados (125) de um ou mais servidores dos prestadores de dados (120) transmite a mensagem que contém os dados de interesse anonimizados identificados apenas pelo identificador anónimo encriptado do titular dos dados para o servidor do responsável de confiança do tratamento de dados (130), g. A aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130), estando configurada para comunicar dados com segurança com a aplicação informática de transmissão de dados (125) de um ou mais servidores dos prestadores de dados (120), recebe a mensagem e lê-a, desencripta o identificador anónimo encriptado para obter o identificador anónimo original, verifica se o identificador anónimo já está registado na base de dados de registo de utilizadores (470) localizada no servidor do responsável de confiança do tratamento de dados (130) e
    i. Ao não encontrá-lo, regista o identificador anónimo como um novo utilizador no base de dados de registo de utilizadores (470), regista o identificador anónimo e os metadados da mensagem num arquivo de log (490) e armazena pelo menos os dados de interesse anonimizados do titular, o identificador anónimo e o consentimento opcional na base de dados aplicacional (480) , os dados de interesse anonimizados sendo identificados apenas pelo identificador anónimo do titular dos dados, ou ii. Ao encontrá-lo, regista o identificador anónimo e os metadados da mensagem num arquivo de log (490) e
    57/66 armazena pelo menos os dados de interesse anonimizados do titular dos dados numa base de dados aplicacional (480), identificados apenas pelo identificador anónimo do titular dos dados,
    h. A transmissão de dados de interesse anonimizados ocorre periodicamente entre as aplicações informáticas de comunicação de dados (125) de um ou mais servidores dos prestadores de dados (120) e a aplicação informática de transmissão de dados (135) do servidor do responsável de confiança do tratamento de dados (130), para que novos dados de interesse anonimizados relacionados com o mesmo titular dos dados sejam continuamente adicionados à base de dados aplicacional (480) no servidor do responsável de confiança do tratamento de dados (130),
    i. A aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados e a aplicação informática de transmissão de dados (135) do servidor do responsável de confiança do tratamento de dados (130), sendo configuradas para comunicar com segurança entre si, estabelecem comunicação e a aplicação informática de transmissão de dados (135) do servidor do responsável de confiança do tratamento de dados (130) transmite os dados de interesse anonimizados para a aplicação informática pessoal (100) no dispositivo de computação pessoal (110), devolvendo, assim, os dados anonimizados ao titular dos dados anónimo, Caracterizado pelo facto que a transmissão dos dados de interesse anonimizados entre o servidor do responsável de confiança do tratamento de dados (130) e o dispositivo de computação pessoal (110) do titular dos dados anónimo ocorre por meio de uma sessão de comunicação sempre iniciada pela aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados, para conectar-se ao endereço eletrónico conhecido do servidor do responsável de confiança do tratamento de dados (130) e a aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) aguarda que a sessão de comunicação seja iniciada pela aplicação
    58/66 informática pessoal (100), impedindo o servidor do responsável de confiança do tratamento de dados (130) de iniciar uma sessão de comunicação, na ausência de informações sobre o nome do titular dos dados, identificadores pessoais ou endereço eletrónico do dispositivo de computação pessoal (110) .
  2. 2. Método, de acordo com a reivindicação 1, caracterizado pelo facto que a sessão de comunicação entre a aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados e a aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) é iniciada pela aplicação informática pessoal (100) que transmite um pedido de transmissão de dados identificada exclusivamente pelo identificador anónimo do titular dos dados ou por assinatura digital, a aplicação informática para transmissão de dados (135) recebendo o pedido de transmissão de dados e confirmando que um pedido válido foi recebido e que o identificador anónimo armazenado e o identificador anónimo recebido correspondem ao mesmo titular dos dados.
  3. 3. Método, de acordo com a reivindicação 1, caracterizado pelo facto que a aplicação informática pessoal (100) no dispositivo de computação pessoal (110) do titular dos dados abre uma sessão de comunicação com a aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) em intervalos de tempo padrão configurados na aplicação informática pessoal (100) ou de preferência intervalos de tempo configurados pelo titular dos dados ou a qualquer momento sob o comando do titular dos dados.
  4. 4. Método, de acordo com a reivindicação 1, caracterizado pelo facto que a transmissão de mensagens contendo dados de interesse anonimizados de um ou mais servidores dos prestadores de dados (120) para o servidor do responsável de confiança do tratamento de dados (130) ou o registo de um novo titular de dados anónimo na base de dados de registo de utilizadores (470) do servidor do responsável de confiança do tratamento de dados (130), ou a comunicação de dados de interesse anonimizados do
    59/66 servidor do responsável de confiança do tratamento de dados (130) para o dispositivo de computação pessoal (110) do titular dos dados ocorrem sem que o titular dos dados empregue um nome de utilizador convencional definido pelo utilizador e uma palavra-passe de sistema armazenados em qualquer um dos servidores (120, 130) e a verificação da identidade do titular dos dados pela aplicação informática de transmissão de dados (135) no servidor do responsável de confiança do tratamento de dados (130) é obtida apenas por meio do identificador anónimo do titular dos dados.
PT115479A 2019-04-29 2019-04-29 Sistema de computador e método de operação para gerir dados pessoais anonimizados PT115479B (pt)

Priority Applications (8)

Application Number Priority Date Filing Date Title
PT115479A PT115479B (pt) 2019-04-29 2019-04-29 Sistema de computador e método de operação para gerir dados pessoais anonimizados
PCT/EP2020/061821 WO2020221778A1 (en) 2019-04-29 2020-04-29 A computer system and method of operating same for handling anonymous data
BR112021021858A BR112021021858A2 (pt) 2019-04-29 2020-04-29 Um sistema de computador e método de operação do mesmo para manusear dados anônimos
CN202080047899.6A CN114026823A (zh) 2019-04-29 2020-04-29 用于处理匿名数据的计算机系统及其操作方法
EP20724757.8A EP3844934B1 (en) 2019-04-29 2020-04-29 A computer system and method of operating same for handling anonymous data
JP2021564459A JP2022530535A (ja) 2019-04-29 2020-04-29 コンピュータシステム及び匿名データを処理するためのコンピュータシステムの操作方法
US17/607,202 US11983298B2 (en) 2019-04-29 2020-04-29 Computer system and method of operating same for handling anonymous data
IL287691A IL287691A (en) 2019-04-29 2021-10-28 Computer system and method for operating it for handling anonymous data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PT115479A PT115479B (pt) 2019-04-29 2019-04-29 Sistema de computador e método de operação para gerir dados pessoais anonimizados

Publications (2)

Publication Number Publication Date
PT115479A PT115479A (pt) 2020-10-29
PT115479B true PT115479B (pt) 2021-09-15

Family

ID=70617072

Family Applications (1)

Application Number Title Priority Date Filing Date
PT115479A PT115479B (pt) 2019-04-29 2019-04-29 Sistema de computador e método de operação para gerir dados pessoais anonimizados

Country Status (7)

Country Link
EP (1) EP3844934B1 (pt)
JP (1) JP2022530535A (pt)
CN (1) CN114026823A (pt)
BR (1) BR112021021858A2 (pt)
IL (1) IL287691A (pt)
PT (1) PT115479B (pt)
WO (1) WO2020221778A1 (pt)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7399838B2 (ja) 2020-11-06 2023-12-18 株式会社東芝 情報処理方法、情報処理システム及びコンピュータプログラム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5369702A (en) 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US20020091650A1 (en) 2001-01-09 2002-07-11 Ellis Charles V. Methods of anonymizing private information
FR2847401A1 (fr) 2002-11-14 2004-05-21 France Telecom Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
US20070192139A1 (en) * 2003-04-22 2007-08-16 Ammon Cookson Systems and methods for patient re-identification
US9621341B2 (en) 2008-11-26 2017-04-11 Microsoft Technology Licensing, Llc Anonymous verifiable public key certificates
KR20100066169A (ko) 2008-12-09 2010-06-17 한국전자통신연구원 익명 인증을 이용한 개인 정보 관리 시스템 및 방법
US8635464B2 (en) 2010-12-03 2014-01-21 Yacov Yacobi Attribute-based access-controlled data-storage system
DE102012202701A1 (de) 2012-02-22 2013-08-22 Siemens Aktiengesellschaft Verfahren zur Bearbeitung von patientenbezogenen Datensätzen
US9910902B1 (en) 2013-02-22 2018-03-06 Facebook, Inc. Anonymizing user identifiable information
US10607726B2 (en) 2013-11-27 2020-03-31 Accenture Global Services Limited System for anonymizing and aggregating protected health information
US20160147945A1 (en) * 2014-11-26 2016-05-26 Ims Health Incorporated System and Method for Providing Secure Check of Patient Records
EP3475859A1 (en) * 2016-06-28 2019-05-01 HeartFlow, Inc. Systems and methods for anonymization of health data and transmission of health data for analysis across geographic regions
CN115589332A (zh) 2017-04-28 2023-01-10 数据翼股份有限公司 在去中心化系统中实施集中式隐私控制的系统和方法

Also Published As

Publication number Publication date
PT115479A (pt) 2020-10-29
BR112021021858A2 (pt) 2022-01-18
EP3844934B1 (en) 2024-01-03
IL287691A (en) 2021-12-01
CN114026823A (zh) 2022-02-08
JP2022530535A (ja) 2022-06-29
EP3844934A1 (en) 2021-07-07
WO2020221778A1 (en) 2020-11-05
EP3844934C0 (en) 2024-01-03
US20220222373A1 (en) 2022-07-14

Similar Documents

Publication Publication Date Title
Chen et al. Blockchain-based medical records secure storage and medical service framework
Shi et al. Applications of blockchain in ensuring the security and privacy of electronic health record systems: A survey
US11790117B2 (en) Systems and methods for enforcing privacy-respectful, trusted communications
Zhuang et al. A patient-centric health information exchange framework using blockchain technology
US20220050921A1 (en) Systems and methods for functionally separating heterogeneous data for analytics, artificial intelligence, and machine learning in global data ecosystems
CA3061638C (en) Systems and methods for enforcing centralized privacy controls in de-centralized systems
US10572684B2 (en) Systems and methods for enforcing centralized privacy controls in de-centralized systems
US20230054446A1 (en) Systems and methods for functionally separating geospatial information for lawful and trustworthy analytics, artificial intelligence and machine learning
US20130318361A1 (en) Encrypting and storing biometric information on a storage device
KR101528785B1 (ko) 개인정보 소유자의 동의를 기반으로 하는 개인정보 보호시스템 및 그 방법
JP2017022697A (ja) リレーショナル暗号化を利用する同等性確認方法、コンピュータプログラム及び記憶媒体
CA3104119C (en) Systems and methods for enforcing privacy-respectful, trusted communications
Panwar et al. A blockchain framework to secure personal health record (PHR) in IBM cloud-based data lake
Anitha Kumari et al. Securing Internet of Medical Things (IoMT) using private blockchain network
Mahore et al. Secure and privacy focused electronic health record management system using permissioned blockchain
Dedeturk et al. Blockchain for genomics and healthcare: a literature review, current status, classification and open issues
Yasnoff A secure and efficiently searchable health information architecture
Zhuang et al. Self-sovereign identity empowered non-fungible patient tokenization for health information exchange using blockchain technology
EP3844934B1 (en) A computer system and method of operating same for handling anonymous data
Wang et al. Health data security sharing method based on hybrid blockchain
US11983298B2 (en) Computer system and method of operating same for handling anonymous data
Lynda et al. Data security and privacy in e-health cloud: Comparative study
Malla et al. An Analysis of the Blockchain Based E-Healthcare Systems using a Bibliometric Study
Chhabra et al. Blockchain, AI, and Data Protection in Healthcare: A Comparative Analysis of Two Blockchain Data Marketplaces in Relation to Fair Data Processing and the ‘Data Double-Spending’Problem
Saif et al. Secure Electronic Health Record Storage and Retrieval Using Blockchain and Encryption for Healthcare Application

Legal Events

Date Code Title Description
BB1A Laying open of patent application

Effective date: 20200630

FG3A Patent granted, date of granting

Effective date: 20210910