ConSQL: Consentimentos em SQL para o Processamento de Consultas Orientado a Propósitos
Resumo
Em vista da crescente necessidade de garantir a proteção de dados pessoais e a privacidade dos indivíduos em um mundo cada vez mais informatizado é crucial que os SGBDs deem suporte a técnicas que facilitem a aplicação dessas garantias quando envolvem dados sob sua gestão, como o direito ao consentimento, onde o indivíduo define os propósitos de acesso e de processamento dos seus dados. Neste trabalho, apresentamos uma extensão da gramática SQL, chamada ConSQL, que permite a definição e a manutenção de propósitos de acesso a relações, tuplas e atributos de um banco de dados relacional. ConSQL, completamente integrada ao processo de reconhecimento de SQL no PostgreSQL, gera estruturas de dados associadas ao esquema de um banco de dados para posterior utilização na verificação de propósitos em tempo de execução de consultas. O artigo também descreve, por meio de exemplos expressos em ConSQL, consentimentos de usuários e mostra a utilidade deles no processamento de consultas que assegura a aplicação de propósitos.
Referências
Brasil (2018). Lei nº 13.709 - lei geral de proteção de dados pessoais (lgpd). http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em: 01-07-2021.
Byun, J. and Li, N. (2008). Purpose based access control for privacy protection in relational database systems. VLDB J., 17(4):603–619
California (2018). California consumer privacy act (ccpa). https://www.caprivacy.org/. Acessado em: 01-07-2021.
Elmasri, R. and Navathe, S. B. (2000). Fundamentals of Database Systems, 3rd Edition. Addison-Wesley-Longman.
General Data Protection Regulation (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46. Official Journal of the European Union, 59:1–88.
Kraska, T., Stonebraker, M., Brodie, M. L., Servan-Schreiber, S., and Weitzner, D. J. (2019). SchengenDB: A data protection database proposal. In Heterogeneous Data Management, Polystores, and Analytics for Healthcare - VLDB 2019 Workshops, Poly and DMAH, Los Angeles, CA, USA, August 30, 2019, volume 11721 of Lecture Notes in Computer Science, pages 24–38. Springer.
Machado, J. C. and Amora, P. R. P. (2020). How can db systems be ready for privacy regulations. In SBBD. SBC.
Pappachan, P., Yus, R., Mehrotra, S., and Freytag, J. (2020). Sieve: A middleware approach to scalable access control for database management systems. Proc. VLDB Endow., 13(11):2424–2437.
Pun, S. (2010). Prisql: a privacy preserving sql language.
Rizvi, S., Mendelzon, A. O., Sudarshan, S., and Roy, P. (2004). Extending query rewriting techniques for fine-grained access control. In SIGMOD Conference, pages 551–562. ACM.
Shastri, S., Banakar, V., Wasserman, M., Kumar, A., and Chidambaram, V. (2020). Understanding and benchmarking the impact of GDPR on database systems. Proc. VLDB Endow., 13(7):1064–1077
Solove, D. J. and Citron, D. K. (2017). Risk and anxiety: A theory of data-breach harms. Tex. L. Rev., 96:737.
Wang, L., Near, J. P., Somani, N., Gao, P., Low, A., Dao, D., and Song, D. (2019). Data capsule: A new paradigm for automatic compliance with data privacy regulations. CoRR, abs/1909.00077
