Há umas semanas, depois da investigação feita aos eventos com dimensão internacional na Câmara Municipal de Lisboa, a Comissão Nacional de Proteção de Dados decidiu acusar a instituição de violar o RGPD ao comunicar os dados pessoais dos promotores de manifestações a entidades terceiras (Israel, China e Venezuela).

 «A CNPD considerou que a proliferação de envios dos dados pessoais dos promotores de eventos, por várias entidades nacionais e estrangeiras, potencia a criação de perfis de pessoas em torno das suas ideias, opiniões ou convicções, de modo ilegal e cuja utilização posterior escapa completamente ao controlo do responsável pelo tratamento.» lê-se no comunicado.

A um nível mais acima, há alguns Governos que vigiam todos os movimentos dos seus críticos. Utilizaram software de vigilância de smartphones, destinado a combater criminosos e terroristas para espionar jornalistas, ativistas dos direitos humanos, figuras políticas e outros.

Esta semana, um consórcio de agências noticiosas internacionais (Guardian, do Washington Post e de 15 outras organizações) publicaram as suas conclusões de uma investigação sobre a utilização da Pegasus, o produto de spyware da empresa israelita de vigilância secreta NSO Group, no valor de mil milhões de dólares.

Os relatórios baseiam-se numa fuga de dezenas de milhares de números de telefone visados pelo software em que jornalistas e ativistas de muitos países foram atacados e, em alguns casos, pirateados com sucesso.

O Grupo NSO afirma que o seu spyware foi concebido para atingir criminosos e terroristas, mas as suas aplicações reais são muito mais amplas. 

Também no início desta semana foram denunciados ciberataques ligados a uma agência de espionagem chinesa que conduziram um grande ataque de ransomware a empresas americanas.
Quem desejar aprofundar o tema, poderá consultar a notícia dada pelos americanos e a perspetiva dos chineses no relato dos acontecimentos, difere e é curiosa.

A proteção de dados e a privacidade do utilizador na China não significa que ninguém possa aceder aos seus dados ou que não possa ser rastreado; significa que o governo tem o monopólio dos seus dados e a capacidade de o rastrear. 

Ler também artigos deste blog
Empreendedorismo e os negócios da China
Democracia em chamas: Proteção de dados, Antitrust e extorsão digital em 2021.

Mas o último destaque da semana, com foco em spyware, é ao alto funcionário da hierarquia americana da Igreja Católica Romana que se demitiu após um site de notícias ter publicado que o utilizador tinha conta no aplicativo de encontros L.G.B.T.Q. Grindr e frequentava regularmente bares gay. 

Os jornalistas tiveram acesso a dados sobre os movimentos e rastos digitais do seu telemóvel durante três anos e puderam rastrear para onde se deslocou.

É aceitável usar quaisquer meios para determinar quando uma figura pública está a quebrar as suas promessas, incluindo quando é um padre que pode ter quebrado o seu voto de celibato?

A falha estrutural dos dados em tempo real

Há falha estrutural que permite que dados em tempo real sobre os movimentos das pessoas existam em primeiro lugar e sejam utilizados sem o nosso conhecimento ou verdadeiro consentimento. 

Este caso mostra as consequências tangíveis das práticas das vastas e largamente desregulamentadas indústrias de recolha de dados.

Parecem não existir restrições legais suficientes para impedir as empresas de compilar os locais exatos onde vagueamos e vender essa informação a qualquer pessoa. 

Estes dados estão nas mãos de empresas com as quais lidamos diariamente, como a Facebook e a Google, e também com intermediários com os quais nunca interagimos diretamente.

Estes dados são frequentemente embalados a granel e são anónimos em teoria, mas podem, muitas vezes, ser rastreados até aos indivíduos, como mostra a recente notícia do oficial católico. 

A existência destes dados em tão grande volume sobre praticamente todas as pessoas cria as condições para uma utilização indevida que pode afetar tanto os perversos como os virtuosos.

Nos EUA, o Internal Revenue Service comprou dados de localização comercialmente disponíveis a partir de telemóveis de pessoas para caçar (aparentemente ineficazmente) criminosos financeiros. 

As empresas norte-americanas de defesa e agências militares obtiveram dados de localização a partir de aplicações que as pessoas utilizam para rezar.

Os perseguidores encontraram alvos ao obterem informações sobre a localização de pessoas a partir de empresas de telemóveis. Quando os americanos vão a comícios ou protestos, as campanhas políticas compram informações sobre os participantes para os visar com mensagens.

Claramente, são precisas mais leis que restrinjam a recolha ou utilização de dados de localização. 

Muito pouco software é escrito completamente do zero. 

A NSO, empresa israelita de vigilância secreta, desenvolveu uma ferramenta, Pegasus, que, como toda a tecnologia, é inerentemente amoral; pode ser usada para o bem ou para o mal, depende de quem a usa. 

Ao mesmo tempo, porém, a Pegasus, como todo o software, é infinitamente replicável; isto é bom para o modelo de negócio do grupo NSO, uma vez que podem investir quantidades substanciais de dinheiro na descoberta e exploração de bugs em smartphones, e depois ganhar dinheiro através da venda do software, mas também garante efetivamente como uma questão de probabilidade que esta ferramenta amoral acabará nas mãos de algum número de maus atores.

Muito pouco software é escrito completamente do zero. De facto, esta é uma das maiores vantagens da indústria tecnológica em relação ao mundo analógico: a partir do momento em que algo é criado, pode ser duplicado infinitamente, o que significa que é quase sempre uma melhor utilização de recursos para criar algo novo do que para reinventar a roda. 

O problema, porém, é o seguinte: e se a roda tiver falhas ou talvez esteja obsoleta? 

Neste caso, parece provável que a NSO explorou um bug no código da Apple onde foram detetados os ataques de spyware.

Este é o enigma para as empresas no desenvolvimento de software «novas funcionalidades» vs. «reescrita de segurança» (porque os bugs já estão identificados). 

Levanta também outro enigma filosófico endémico à tecnologia: que diferença existe entre um ato de exploração, ou seja um ato de omissão,  não corrigindo um bug que se sabe existir e a denúncia de um bug 

Mais uma vez, os bugs estão em todo o lado – qualquer pessoa que trabalhe em software tem muito mais simpatia por aqueles que não corrigem bugs do que por aqueles que os exploram -, mas o que precisamos de ter em mente é que o Grupo NSO, com todas as suas falhas, é pelo menos uma organização que conhecemos que opera sob algum pretexto do Estado de direito. 

O exemplo da Apple e a privacidade chinesa:

De acordo com o Financial Times, houve uma tentativa coordenada das empresas tecnológicas chinesas de contornar as políticas de privacidade da Apple, uma vitória significativa para o fabricante de iPhones no que foi visto como uma ameaça ao seu impulso global de privacidade.

Grupos tecnológicos liderados por Baidu, Tencent e TikTok ByteDance trabalharam com dois grupos afiliados à Beijing-affiliated para criar uma nova forma de localizar iPhones para publicidade, chamada CAID, que lhes permitiria identificar os utilizadores mesmo que se recusassem a deixar as aplicações utilizarem a identificação oficial da Apple, chamada IDFA.

O CAID foi desenvolvido no ano passado e foi testado abertamente durante meses antes de um lançamento planeado em finais de março. 

A Apple deixou clara a sua posição pouco depois ao bloquear atualizações a várias aplicações chinesas que apanhou a alistar o sistema de publicidade CAID nas suas atualizações de software da sua App Store. 

Várias pessoas na China e em Hong Kong disseram que, na sequência da retaliação da Apple, a CAID perdeu o apoio e o projeto não conseguiu ganhar tração. 

A abordagem aparentemente coordenada por empresas chinesas teve, possivelmente, o apoio do governo da China, mas o controlo da App Store, pela Apple, prevaleceu.

O que está certo é que a Apple trata o mercado chinês de forma diferente.

  • De acordo com o The New York Times, a Apple cedeu em grande parte o controlo dos dados ao governo chinês. Os funcionários do estado chinês gerem fisicamente os computadores. 
  • A Apple abandonou a tecnologia de encriptação que utilizava noutros locais depois da China não o permitir. 
  • E as chaves digitais que desbloqueiam a informação nesses computadores são armazenadas nos centros de dados que devem proteger.

43 anos após Deng Xiaoping ter anunciado a Política de Portas Abertas, lançando a China no caminho das reformas de mercado e da capacitação das empresas privadas, é inequivocamente claro que o controlo e a interferência do governo chinês, motivado não pelos resultados das empresas, mas pelo reforço do controlo e eliminação de bases de poder rivais, não é simplesmente um fator de risco a considerar pelos investidores, mas uma realidade inevitável.

Os nossos telemóveis relatam as nossas localizações:

A maioria das pessoas compreende que os nossos telemóveis estão a seguir os nossos movimentos, mesmo que não conheçamos necessariamente todos os detalhes. 

Perder o controlo dos nossos dados revela-se o fracasso ao longo dos anos da era digital, onde a inovação veio primeiro e a legislação não acompanha o ritmo.

Ao usarmos inúmeros serviços, supostamente gratuitos, como o Gmail, Google Maps, entre centenas de outros, concordámos coletiva e tacitamente em entregar estes dados voluntariamente.

Obtemos benefícios deste sistema de colheita de localização, incluindo de aplicações de tráfego em tempo real e lojas próximas que nos enviam cupões. 

Mas não deveríamos ter de aceitar em troca a vigilância perpétua e cada vez mais invasiva dos nossos movimentos.

Leitura recomendada:
Quer mais privacidade na Internet? Compre-a jornalpublico.pt