Integre a privacidade ao seu processo de desenvolvimento

Olá! Meu nome é Joey Tyson. Sou privacy engineer na Apple. Quando você cria apps que dependem dos dados das pessoas, o poder desses dados exige a integração da privacidade ao processo de desenvolvimento. Na Apple, acreditamos que privacidade é mais que uma palavra. Todos merecem que seus dados sejam tratados com cuidado e respeito. Neste vídeo, quero rever as principais fases na criação de um app e compartilhar formas práticas de agregar privacidade em cada etapa. Antes, porém, vamos ver o que quer dizer "privacidade". Em uma conferência em 2010, Steve Jobs descreveu privacidade como as pessoas saberem com o que estão consentindo, em linguagem clara e de forma reiterada. Em outras palavras, as pessoas poderem entender e confiar em como você lida com os dados delas. Há um alinhamento entre o que elas esperam ou pretendem e o que você faz na prática. Steve também expressou seu otimismo de que as pessoas tomarão as decisões certas em relação aos seus dados, se essa compreensão for construída.

Ele observou que algumas pessoas querem compartilhar mais dados que outras. Cada um traz seu contexto particular para essas escolhas, e não cabe a ninguém responder em seu nome. Na verdade, uma das melhores formas de manter-se em sintonia com o que as pessoas pretendem é simplesmente perguntar a elas. Não importa como você defina privacidade, três conceitos principais sempre aparecerão. Primeiro, privacidade se refere às pessoas, como interagem com a tecnologia e como isso as impacta. Mais especificamente, envolve o impacto do tratamento de dados sobre as pessoas: o que você faz com o que sabe sobre as pessoas que usam seu app. Por fim, ao decidir o que fazer, é preciso levar em conta o contexto da informação, em especial as expectativas e preferências das pessoas a quem se refere. Privacidade é mostrar respeito por esse contexto quando lhe são confiados os dados de alguém. Saber informações sobre as pessoas pode permitir a criação de experiências emocionantes e personalizadas para elas. No entanto, se essas informações forem usadas de modo fortuito ou compartilhadas em novos contextos, elas podem ter impacto real e significativo em suas vidas. Como as pessoas usam seu app para atingir objetivos, ele deve funcionar do modo que elas esperam ou escolhem, o que inclui o uso dos dados. Tim Cook compartilhou que a abordagem de privacidade da Apple envolve coletar o mínimo possível de dados, e tratá-los com atenção e respeito quando estiverem sob nossos cuidados. Ele enfatizou que questionemos não o que podemos fazer, mas o que devemos fazer no melhor interesse de nossos usuários? Essa perspectiva mostra os pilares de privacidade da Apple: minimização de dados, processamento no aparelho, transparência e controle e proteções de segurança. Agora, de modo mais prático, vamos aplicar uma mentalidade de privacidade no contexto do desenvolvimento do app. Todas as plataformas da Apple incluem tecnologias para ajudar a implementar a privacidade no seu app. Vou compartilhar apenas algumas ferramentas neste vídeo sobre a integração da privacidade no processo de desenvolvimento.

Não importa qual modelo você siga no ciclo de desenvolvimento do software, ele provavelmente cobrirá estas cinco fases simplificadas: planejamento, projeto, desenvolvimento, testes e implantação. Vou abordar essas etapas e mostrar oportunidades para configurar a privacidade em cada uma delas. Também compartilharei ferramentas disponíveis nas plataformas da Apple para apoiar suas metas de privacidade, bem como alguns requisitos.

Primeiro, vamos falar de planejamento. É aqui que você começa a escrever a história de privacidade do app. Para oferecer a melhor privacidade no app, o maior alinhamento com a intenção de alguém ao lidar com seus dados pessoais, a privacidade deve fazer parte do desenvolvimento desde o início. Tal como a segurança ou localização, é muito mais difícil adaptar a privacidade mais tarde. Na Apple, iniciamos o planejamento definindo garantias de privacidade, declarações de alto nível do que queremos que as pessoas esperem dos produtos em relação à privacidade.

Essas descrições de produtos não apenas informam os requisitos de engenharia específicos para implementar as metas de privacidade, mas também podem ajudar a comunicá-las a quem usa o app. Na Apple, usamos os pilares de privacidade que mencionei para orientar as garantias de privacidade que criamos. Para ilustrar esse processo, suponha que estou construindo um app chamado Pal About para encontrar pontos de interesse próximos e compartilhar fotos deles com amigos.

Minimizar dados significa usar apenas os dados necessários para maximizar o alinhamento com as expectativas das pessoas. Isso gera eficiência e confiança. Em particular, ao coletar dados para análise, pense atentamente nos problemas que está tentando resolver ou nas perguntas que está tentando responder e certifique-se de que a coleta de dados seja proporcional. No meu app, definirei a garantia de que "retemos apenas dados agregados de uso". A minimização de dados também reflete uma abordagem de padrões fortes, criando experiências que começam com o menor número de suposições sobre as escolhas de privacidade das pessoas. No meu app, posso decidir assegurar aos usuários que, "ao pesquisar lugares próximos, sua localização atual não é armazenada por padrão". Como eu disse, a privacidade envolve o contexto das informações de alguém. O processamento no aparelho é crucial para respeitar esse contexto. Sempre que os dados cruzarem um limite de um contexto para outro, como do dispositivo para um servidor ou entre dois apps diferentes, reflita se esse fluxo é necessário e como ele afeta a privacidade dos usuários. Voltando ao app Pal About, eu poderia escrever: "Os pontos de encontro sugeridos só são gerados localmente usando dados no dispositivo." Após planejar padrões fortes e manter o contexto, defina expectativas sobre o uso dos dados e forneça opções para personalizar a experiência. Ao dar opções para compartilhar dados além dos padrões, garanta que essas opções forneçam um valor claro em troca. Em particular, ao criar recursos com IA, informe às pessoas quando a IA for usada e permita que elas decidam sobre fluxos de dados relevantes, como o uso de dados para modelos de treinamento. Para garantir a privacidade no app, posso decidir que "fotos das quais fizer upload só são usadas para treinar modelos generativos se você optar por melhorar recursos de inteligência". Proteções de segurança podem manter limites nos fluxos de dados para evitar danos. Assim, sempre que possível, a privacidade deve ser apoiada por controles técnicos. Ou seja, sistemas que mantêm a privacidade de forma nativa, mesmo que outras partes não funcionem como esperado. No meu app, eu poderia dizer: "Não podemos ler mensagens para seus amigos em trânsito entre dispositivos" e dar suporte a esse objetivo com criptografia de ponta a ponta. Agora, vamos falar de design, discutindo como os usuários realmente interagirão com o produto. Um bom design permite que você se comunique com quem usa o app sem que isso pareça difícil. Se as pessoas confiarem no modo como o app usa os dados, é mais provável que elas se envolvam e compartilhem esses dados. Vou compartilhar alguns princípios de design para construir essa confiança. Primeiro, defina expectativas de forma proativa. As pessoas não devem ficar perplexas com os dados que um app coleta ou com o modo como ele os usa. Por exemplo, em apps da Apple, mostramos um breve resumo dos aspectos de privacidade no lançamento, junto com um link para mais detalhes. Você também pode usar os fluxos de integração no app para ajudar as pessoas a entender o uso dos dados.

Além de informar as pessoas com antecedência, esclareça as mudanças. Ou seja, garanta que elas consigam entender de imediato as alterações nos fluxos de dados que possam afetar sua privacidade ou mudar seu comportamento. Como exemplo, mostramos uma animação no iOS para indicar quando a Siri é chamada, junto com o indicador do sistema, na parte superior da tela, que aparece quando o microfone está ativado.

Por fim, as escolhas sobre os dados devem ser significativas e contextuais. Cada opção deve fazer uma diferença concreta no comportamento do app ou incluir uma explicação clara do impacto. Programe as escolhas para aparecer quando forem mais relevantes e estude qual nível de granularidade fornece o equilíbrio certo para seu público. Por exemplo, se o Pal About no macOS incluísse um recurso para conexão com dispositivos de streaming, eu não tentaria nenhuma conexão de rede local até que alguém decidisse acessar esse recurso. Isso explica por que tais conexões precisam acontecer e por que o sistema mostra um prompt para habilitá-las.

Para ter mais informações para projetar com privacidade, consulte "Human Interface Guidelines" na documentação Apple Developer. Depois do projeto e design para privacidade, é hora de escrever o código. Podemos usar muitas ferramentas e tecnologias para implementar as metas de privacidade. Nesta seção, vou destacar alguns exemplos sobre o uso dessas ferramentas ao criar seu app.

Começarei com formas de simplificar as opções de privacidade na interface do app. Acessar recursos do dispositivo, como calendário ou localização atual, significa compartilhar dados confidenciais em diferentes contextos. As plataformas da Apple são projetadas para compartilhar esses dados apenas quando estão alinhados com a intenção do usuário. Acesso amplo tem maior impacto sobre a privacidade, portanto, solicitá-lo geralmente aciona um prompt de permissão, como esse da biblioteca de fotos. Se alguém quiser compartilhar apenas algumas fotos, permitir o acesso à biblioteca toda pode revelar mais informações que o desejado. É por isso que "Limitar acesso" permite a escolha de apenas certas fotos. Mas você pode criar uma experiência mais fluida usando ferramentas para solicitar apenas os dados necessários. Como as pessoas escolhem o que compartilhar por meio desses fluxos, suas interações indicam a intenção e elas não recebem solicitações adicionais. No meu app, quero permitir que as pessoas façam upload de fotos, mas não precisarei acessar toda a biblioteca delas. Em vez disso, posso usar um PhotosPicker para evitar o prompt da biblioteca de fotos. Como o sistema processa o seletor fora do processo, o app recebe apenas as fotos que a pessoa seleciona e nenhum prompt de permissão é exibido. Você pode incorporar o seletor na interface do app e personalizar a aparência, além de permitir que os usuários selecionem suas fotos ocultas. As versões do seletor também estão disponíveis em outras plataformas, incluindo macOS e visionOS. Confira o vídeo "Incorporar o Seletor de Fotos no app", da WWDC23, para ter mais informações. A Apple oferece outros elementos seguros da interface que simplificam o acesso aos dados. Voltando ao meu app, suponhamos que eu queira permitir que as pessoas pesquisem lugares próximos. Com a adição de um botão de localização, elas podem compartilhar a localização com apenas um toque. O sistema valida que o botão foi acionado por uma interação do usuário, ajudando a garantir que o compartilhamento de localização esteja alinhado com a intenção. Você pode personalizar a aparência do botão para combinar melhor com a interface do app.

Na primeira vez que alguém tocar em um botão de localização no app, receberá um prompt confirmando a intenção e uma explicação sobre o botão. O indicador de localização também será mostrado na parte superior da tela, assim como quando a localização for compartilhada por outras APIs. Após selecionar "OK", contudo, os toques futuros não acionarão um prompt, e a localização atual será compartilhada imediatamente. Confira o vídeo "Conhecer o botão Localização", da WWDC21, para saber mais detalhes.

Vimos dois exemplos de ferramentas para reduzir a carga cognitiva da interface de privacidade. Outros incluem: um seletor fora do processo para contatos, o botão UIPasteControl e fluxos simples para configurar acessórios de hardware. Verifique as opções para acessar apenas os dados necessários antes de usar uma API mais ampla. Claro que, em alguns casos, prompts de permissão podem ser necessários. Para torná-los significativos e contextuais, execute ações que os acionem quando o usuário esperaria que a pergunta aparecesse. Evite apresentar essas opções na primeira vez que elas abrirem o app e escreva strings que expliquem claramente porque esse prompt está aparecendo. Agora, vamos ver algumas tecnologias de privacidade que podem funcionar nos bastidores como parte das interações cliente-servidor. Em particular, vamos ver algumas maneiras de usar recursos do lado do servidor sem expor dados confidenciais ao servidor e, depois, como reduzir a necessidade de dados identificáveis em cenários comuns de coleta de dados. Nas plataformas da Apple, a Proteção Avançada de Dados é um recurso que permite habilitar a criptografia de ponta a ponta para a maioria dos dados armazenados no iCloud. Ao adotar o CloudKit, você pode habilitar a criptografia de ponta a ponta dos dados armazenados pelo app no CloudKit sempre que alguém ativar a Proteção Avançada de Dados. Isso é possível sem alterações de infraestrutura ou gerenciamento adicional de chaves de criptografia. Primeiro, use tipos de dados criptografados para todos os campos no seu esquema do CloudKit. Isso inclui campos CKAsset por padrão e, na maioria dos tipos de dados no CloudKit, há uma variante criptografada, como EncryptedString.

Então você pode usar a API encryptedValues para recuperar ou armazenar dados nos registros do CloudKit. Todas as operações de criptografia e descriptografia são abstraídas por essa API. O CloudKit não oferece suporte a índices em campos criptografados, então não os inclua nos seus descritores de predicado ou classificação ao buscar registros com CKQuery e CKQueryOperation. Confira o vídeo "Novidades do iCloudKit?", da WWDC21, para ter mais informações. Outra técnica de criptografia que usamos na Apple é a criptografia homomórfica. Em vez de processar dados brutos, ela permite que você processe cargas criptografadas e obtenha a mesma saída ao descriptografar o resultado. Em momento algum do processamento os dados são descriptografados. Ao combinar operações simples, como adição, a criptografia homomórfica pode habilitar tecnologias mais avançadas, como a Recuperação de Informações Privadas. Usando o PIR, você pode pesquisar dados de um servidor sem que a consulta ou o resultado fiquem disponíveis no servidor em um formato descriptografado. Com o PIR, o dispositivo envia uma carga criptografada da consulta para o servidor, e o servidor usa criptografia homomórfica para processar um resultado criptografado. Lembre-se, o processamento em si é criptografado, de modo que o resultado não está disponível para o servidor em texto não criptografado em momento algum durante a solicitação. Por fim, o servidor envia o resultado criptografado de volta ao dispositivo para que ele descriptografe e processe localmente. No app Pal About, eu poderia usar o PIR para ter informações atuais sobre pontos de encontro de um servidor sem que ele pudesse rastrear o histórico de pesquisa de alguém. Para alguns usuários, saber quais locais eles exploram no app pode afetar a segurança, então a escolha de engenharia de usar ou não o PIR se torna uma decisão de privacidade importante. O PIR já é usado em recursos tanto em plataformas da Apple quanto em apps populares de desenvolvedores como você. Para saber mais detalhes sobre a implementação do PIR, consulte a biblioteca referente à criptografia homomórfica Swift e apps no GitHub. Dois cenários comuns que, a princípio, podem exigir coleta de dados identificáveis são a redução de fraudes e a atribuição de anúncios. Vou compartilhar alguns dos recursos que a Apple criou para você atingir seus objetivos nessas áreas, reduzindo a necessidade de coletar dados em um ID de usuário ou endereço IP. Para combater fraudes, os Tokens de Acesso Privado podem ajudar a garantir que as solicitações venham de dispositivos legítimos, sem identificar as pessoas que os utilizam. Os dispositivos recebem tokens anônimos após serem validados, e você pode verificá-los sem precisar de outras informações de identidade. Confira o vídeo "Substituir CAPTCHAs por Tokens de Acesso Privado", da WWDC22, para saber mais detalhes. Talvez seja necessário evitar ações fraudulentas específicas do app, como tentar resgatar uma promoção várias vezes. DeviceCheck é uma API que permite associar até dois bits de informação a determinado dispositivo sem precisar rastrear identificadores. Esses estados são mantidos pela Apple e persistem em reinstalações ou transferências de dispositivo. Confira o vídeo "Mitigar fraude com App Attest and DeviceCheck", da WWDC21, para saber como configurá-los e recuperá-los. Em relação a anúncios, o AdAttributionKit é uma ferramenta poderosa para medir o sucesso de campanhas, mantendo a privacidade. Ele permite atribuir instalações e reengajamentos de app a uma campanha por meio de um sinal de postback assinado do dispositivo do usuário. O AdAttributionKit também pode ajudar na redução de prompts. Chamar as APIs do AdAttributionKit não requer mostrar Transparência no Rastreamento do App. No caso de apps de editores, as principais etapas de implementação são adicionar identificadores ao Info.plist a partir de redes de anúncios registradas e exibir os anúncios que essas redes assinaram. Para saber como o AdAttributionKit e os sinais de postback funcionam, confira o vídeo "Conhecer o AdAttributionKit", da WWDC24. Para apps anunciados, será necessário registrar eventos de conversão dentro do app, junto com os reengajamentos relevantes. Pode-se, ainda, especificar um endpoint para obter uma cópia dos sinais de postback. Todas as APIs relevantes para essas atualizações estão na seção AdAttributionKit da documentação Apple Developer, e o vídeo "Novidade do AdAttributionKit" detalha os novos recursos do iOS 26. Por fim, algumas dicas para manter a privacidade ao gerenciar recursos locais, como modelos de IA no dispositivo, frameworks agrupados e processos do app.

Primeiro, destaco o poder do Core ML para executar e até treinar ou ajustar modelos de aprendizado de máquina totalmente no dispositivo. Isso funciona para vários modelos de código aberto e modelos criados sob medida com o Create ML. Com técnicas de otimização e compactação, você pode executar grandes modelos de linguagem populares sem nunca chamar um servidor. Confira "Implantar modelos de aprendizado de máquina e IA no dispositivo com o Core ML" ou "Trazer os modelos de aprendizado de máquina e IA no Apple Silicon", WWDC24, para começar a usar o Core ML. Os contêineres de grupo de app não só permitem compartilhar dados entre diferentes apps como ajudam a protegê-los. No macOS, outros apps não podem acessar dados no contêiner de grupo de app sem permissão do usuário. Para usar esses contêineres, comece registrando um identificador de grupo de app no Portal do Desenvolvedor em Certificados, Identificadores e Perfis. Então você deverá adotar o direito correspondente no app e fazer com que ele solicite o diretório de contêiner quando precisar armazenar dados do usuário.

Para ter mais informações, confira o vídeo "Novidades em privacidade", da WWDC24, ou consulte "Configurar grupos de apps" na documentação Apple Developer. Também no macOS, observe que todos os processos de app devem ser encerrados quando alguém decidir sair do app. Se carregar processos usando fork, exec ou POSIX spawn, limpe esses processos ao sair. O macOS Tahoe detectará heuristicamente se esses processos continuarem em execução e mostrará ao usuário um prompt para confirmar se isso está de acordo com sua intenção. Os usuários terão a opção de encerrar os processos. Por fim, lembre que você é responsável por todo o código incluído nos apps, incluindo SDKs de terceiros. Antes do envio à App Store, os SDKs podem exigir um arquivo de manifesto de privacidade descrevendo os dados coletados e os motivos para usar as APIs. Consulte "Arquivos de manifesto de privacidade" na documentação do Apple Developer para saber mais sobre a validade desse requisito. Você também pode saber mais no vídeo "Introdução aos manifestos de privacidade", da WWDC23. Essas tecnologias são alguns exemplos de como a privacidade faz parte do desenvolvimento. Agora, vou passar para a próxima fase, que são os testes. E sim, a privacidade faz parte dessa etapa. Assim como você deseja executar testes para evitar erros ou detectar regressões de desempenho, criar testes para confirmar que você cumpre as garantias de privacidade do app é uma prática recomendada. Na Apple, pensamos em testes em um modelo de pirâmide, onde testes menores formam a base para outros mais amplos, que refletem os objetivos práticos das pessoas que usam um app. Os testes de unidade ajudam a verificar partes únicas de código, geralmente funções individuais. Quanto à privacidade, podem validar a lógica do app que dá suporte aos controles de privacidade. Os testes de integração visam subsistemas discretos ou clusters de classes para que diferentes componentes funcionem corretamente juntos. No contexto de privacidade, garantem que os fluxos de dados entre os sistemas funcionem conforme o esperado. Por fim, os testes de interface observam os comportamentos voltados para o usuário no app, garantindo que ele faça o que você espera. Isso inclui cenários comuns de integração ou alteração de configurações de privacidade. Com o app Pal About, havia a garantia de privacidade de que o treinamento em fotos só ocorreria se as pessoas optassem por melhorar os recursos de inteligência. Então, eu faria um teste de interface para confirmar que alterar essa configuração atualizaria os fluxos de dados. A Apple oferece ferramentas para permitir testes mais eficientes de recursos de privacidade. Por exemplo, a partir do iOS 15.2, pode-se ativar o Relatório de Privacidade do App em Ajustes para revisar rapidamente o acesso a dados, o acesso a sensores e a atividade de rede do app para garantir que eles sejam consistentes com o que as pessoas esperariam encontrar. Por fim, vamos falar da implantação, o processo de realmente colocar seu app no mundo. Neste ponto, você já trabalhou muito para garantir a privacidade nos recursos que criou. É hora de compartilhar sua história de privacidade. À medida que você cria conteúdo para promover o app, as garantias de privacidade podem ser um recurso para aumentar o interesse e diferenciá-lo.

A implantação na App Store também inclui algumas etapas que ajudam as pessoas a saber o que esperar do seu app. Em particular, as etiquetas de privacidade são primordiais para a App Store ajudar as pessoas a entender as práticas de privacidade dos apps. Elas fornecem informações concisas sobre os tipos de dados que o app transmite fora do dispositivo e como eles são usados. Configure a etiqueta na seção Privacidade do App do App Store Connect. Consulte "Informações sobre privacidade em apps da App Store" na documentação do Apple Developer para obter definições de tipos de dado e termos como "rastreamento". Ao arquivar uma compilação no Xcode, selecione "Gerar relatório de privacidade" no menu de contexto do arquivo para obter um relatório agregado do uso de dados em arquivos de manifesto de privacidade. As etiquetas devem documentar todos os usos possíveis dos dados, mesmo que as pessoas optem pela coleta desses dados como parte da experiência do app. Verifique a documentação do Apple Developer sobre exceções, como alguns fluxos de comentários e relatórios. Você pode atualizar as etiquetas a qualquer momento, mesmo sem atualizar o app. Confira o vídeo "Criar rótulos de privacidade", da WWDC22, para ter mais informações.

Além do rótulo, certifique-se de que outros requisitos de privacidade para implantação foram atendidos. Seu app deve ter uma política de privacidade clara. Manifestos de privacidade para seu app e todos os SDKs de terceiros devem ser incluídos no Xcode. Strings de finalidade são necessárias para toda solicitação de permissão para acesse recursos do dispositivo. Você também pode incluir um link de opções de privacidade na App Store para que as pessoas saibam mais sobre o gerenciamento de dados no seu app, como um portal para acessar, excluir ou atualizar esses dados. Planejamento, projeto, desenvolvimento, testes e implantação. Em cada etapa do processo, a integração da privacidade pode ajudar a oferecer a melhor experiência para quem usa o seu app. Chegou a hora de aplicar essas ideias ao seu processo. Comece definindo garantias claras de privacidade para o app. Use, então, princípios de design para informar as pessoas sobre usos e escolhas de dados. Implemente as metas de privacidade com bases técnicas sólidas. Garanta o cumprimento das garantias de privacidade com os testes. E, por fim, prepare etiquetas relevantes ao compartilhar sua história de privacidade com o mundo. Mencionei a minimização de dados várias vezes neste vídeo, mas jamais vou minimizar meus agradecimentos a você por investir em privacidade. Obrigado.