Publicado originalmente em: New York Times
Via: Gazeta do Povo
Soubemos na terça-feira (3) que três bilhões de contas de e-mail do Yahoo foram afetadas por ciberataques em 2013. No início de setembro, foram os 143 milhões de fichas de crédito do Equifax, nos Estados Unidos. Poucos meses antes, em junho, descobrimos que os registros de 198 milhões de eleitores norte-americanos vazaram na rede.
Com essa onda constante de violações, fica meio difícil entender o que vem acontecendo com a nossa intimidade ao longo do tempo. Mas duas datas, uma recente, outra mais antiga, talvez ajudem a explicar o fenômeno: 15 de dezembro de 1890 e 23 de maio de 2017 são os dias mais importantes na história da privacidade. A primeira representa sua criação enquanto conceito legal e a segunda, embora tenha tido pouca repercussão, simboliza algo que se assemelha ao seu fim.
Há 127 anos, o futuro juiz da Suprema Corte, William Brandeis, e o advogado Samuel Warren, publicaram um artigo na Harvard Law Review, “The Right to Privacy” (“O Direito à Privacidade”), que pedia o reconhecimento de um novo direito legal de, em suas próprias palavras, “ser deixado em paz”. O motivo do texto foi o surgimento de uma nova tecnologia: a fotografia instantânea, que permitia que qualquer pessoa na rua fosse retratada e encontrasse sua imagem no jornal no dia seguinte.
Esse argumento forma a base da forma com que abordamos nossa prerrogativa à privacidade hoje em dia. O direito proposto de “ser deixado em paz” fez uma distinção fundamental entre ser observado, que pode acompanhar qualquer ato feito em público, e ser identificado, que é uma circunstância isoladora e mais intrusiva. Nós nos permitimos ser observados constantemente, mas raramente consentimos na identificação.
Hoje, porém, essa diferença praticamente desapareceu graças ao rápido avanço das tecnologias digitais e da ascensão, igualmente ligeira, de um campo comumente chamado de ciência dos dados. O que considerávamos privacidade está morrendo, se é que já não morreu há tempos.
Em 2012, por exemplo, a Suprema Corte norte-americana, no caso EUA contra Jones, avaliou a constitucionalidade da colocação, por parte dos investigadores de polícia, de um GPS no carro de um traficante para monitorar seus movimentos sem precisar de mandado. A justiça determinou que esse tipo de rastreamento passava dos limites de simples observação pública para identificação privada e, portanto, violava a expectativa de privacidade do réu. Alegou que o acompanhamento contínuo, ainda que público, excedia os limites da simples observação e que, consequentemente, a vigilância policial era inconstitucional.
Cinco anos depois, o mesmo argumento faz muito menos sentido, afinal, o tal “acompanhamento contínuo” faz parte de nossa vida digital diária — e é por isso que o que aconteceu em 23 de maio de 2017 é tão importante.
Nesse dia, o Google anunciou que começaria a relacionar bilhões de transações com cartão de crédito ao comportamento online de seus usuários, que já rastreia com dados de seus próprios aplicativos, como YouTube, Gmail, Google Maps e outros. Com isso, pode provar aos anunciantes que seus anúncios na internet levam os usuários a fazer compras nas lojas físicas. Esse novo programa já é objeto de um processo, movido pelo Centro de Informações Eletrônicas Privadas, que tramita na Comissão Federal de Comércio.
O Google pode ser até o primeiro a fazer essa conexão formalmente, mas não é o único: entre as empresas de tecnologia, a sanha é de criar perfis do usuário online da forma mais abrangente possível — e a pressa é motivada pela necessidade de lucrar com os serviços online oferecidos gratuitamente.
Na prática, isso quer dizer que não podemos mais esperar uma diferença significativa entre observabilidade e identificabilidade, ou seja, se podemos ser observados, podemos ser identificados. Em um estudo recente, por exemplo, um grupo de pesquisadores mostrou que os dados de localização de celular agregados — ou seja, os registros gerados por nossos celulares ao interagirem anonimamente com as torres próximas — conseguem identificar o indivíduo com uma precisão que varia entre 73% e 91%.
E mesmo sem esses métodos avançados, descobrir quem somos, do que gostamos e o que fazemos nunca foi tão fácil. Em junho, as fichas de registro de 198 milhões de leitores norte-americanos vazaram na rede, dando ao público uma visão do que as grandes corporações já sabem há algum tempo. Graças aos rastros gerados por nossas atividades online incessantes, é praticamente impossível se manter anônimo na era digital.
Mas então, o que fazer?
É essencial regulamentar o que as organizações e governos podem efetivamente fazer com nossos dados. Basicamente, o futuro da nossa privacidade está na forma como nossos dados são usados, e não em como ou quando podem ser coletados. Com exceção daqueles que optam por ficar totalmente fora do mundo digital, o controle da coleta de dados é causa perdida.
Essa é parte da iniciativa tomada pelas agências reguladoras europeias. Um dos fundamentos da nova estrutura regulatória de dados da UE, conhecida como Regulamentação Geral para Proteção de Dados, ou GDPR (na sigla em inglês), é o conceito de restrições baseadas em propósito. Assim, para que uma organização ou autoridade pública use dados pessoais de cidadãos dentro do bloco, ela primeiro precisa especificar para que serão utilizados.
A GDPR estabelece seis categorias mais amplas de objetivos aceitáveis, incluindo o consentimento explícito para uso específico de seus dados e situações em que eles são necessários para o interesse público. Se não houver um propósito ou autorização, a ação é passível de processo legal. A lei está longe de ser perfeita, mas pelo menos tem intenção de ser abrangente.
O método é um contraste gritante com o que acontece nos EUA, que pode ser caracterizado como “vamos coletar os dados antes e fazer perguntas depois”. Sim, as empresas de tecnologia norte-americanas estipulam sua política de privacidade em uma declaração, mas quase sempre esses termos de serviço são comicamente ambíguos e geralmente equivocados.
Sem dúvida, muitos defensores da privacidade acham difícil aceitar que o formato que usamos para a proteção de dados está totalmente obsoleto. Porém, se quisermos manter a capacidade de controle sobre os dados que geramos, devemos também admitir que o conceito antigo do “ser deixado em paz” já não faz mais sentido.
* Andrew Burt é CPO e engenheiro legal da Immuta. Dan Geer é CISO da In-Q-Tel.
