A sua privacidade está à venda: A NSA espia os americanos comprando informações a corretores de dados.

Os corretores de dados estão a ganhar milhões com a venda dos seus dados a serviços secretos e agências de aplicação da lei. O capitalismo de vigilância está aqui.

The NSA is spying by buying your personal information.

Os seus dados estão a ser vendidos por corretores de dados à melhor oferta. Revelações surpreendentes revelaram que os maiores licitadores são a NSA e o FBI. O governo dos Estados Unidos está a comprar ativamente a sua informação para o espiar e para instaurar processos criminais contra si, tudo isto sem um mandado. O capitalismo de vigilância tornou-se a norma nos Estados Unidos da América. #espiarcomprando


A distopia é agora

O Senador Ron Wyden divulgou uma carta e documentos desclassificados do Diretor da NSA, o General Paul Nakasone (Exército dos EUA) e o conteúdo é contundente. A NSA admite abertamente que recolhe dados de cidadãos americanos comprando-os a empresas de corretagem de dados obscuras. Isto significa que o dinheiro dos seus impostos, ganho com muito esforço, está a ser gasto pelos serviços secretos e pelas agências de aplicação da lei para recolher os seus dados em linha de fontes que não os deveriam ter. A indústria de corretagem de dados é composta por empresas obscuras que vendem os seus segredos a quem paga mais, uma prática comercial viscosa, na melhor das hipóteses, mas o facto de o governo dos EUA ser um cliente muito procurado é repugnante e inaceitável. Wyden vai ao ponto de considerar esta prática ilegal na sequência de processos judiciais recentes contra as principais empresas de corretagem de dados.

Cada aplicação que se abre, cada sítio Web que se visita, cada mensagem que se envia ou cada chamada que se faz está a ser registada, recolhida e organizada num produto elegante e vendida como um colchão barato. A sua identidade e o seu historial em linha foram mercantilizados e são um produto à venda para agências de publicidade, para além do olhar atento do Tio Sam. O capitalismo de vigilância tornou-se uma realidade nos Estados Unidos, não apenas nas empresas privadas, mas também no sector público.

Isto não é normal e não é correto.

Uncle Sam's watchful eye is following you by gathering your metadata. Uncle Sam's watchful eye is following you by gathering your metadata.

Capitalismo de vigilância

O termo “capitalismo de vigilância” foi introduzido no discurso dominante pela filósofa e cientista social Shoshana Zuboff através de uma série de artigos e artigos de opinião. A sua abordagem aponta para as empresas da Web2.0, como a Google e o Facebook, como pioneiras na recolha em massa de dados dos utilizadores e na sua transformação num produto que pode ser vendido. Esta vigilância de mercado da população, uma vez disponível para compra, pode ser vendida a agências de inteligência e de aplicação da lei como uma lacuna legal atual que não se qualifica tecnicamente como vigilância doméstica. Pelo contrário, trata-se simplesmente da compra de um conjunto de dados que, de outra forma, estaria disponível para qualquer pessoa que tivesse dinheiro para o comprar.

Os utilizadores finais de serviços como o Google Search, a Amazon ou o Facebook vêem o seu comportamento meticulosamente catalogado em bases de dados fáceis de consultar sem o seu consentimento informado. Ao clicar na pequena caixa “Aceito os termos e condições” quando criam novas contas ou se inscrevem em novas plataformas de redes sociais, os utilizadores estão a renunciar aos seus direitos. Este é, obviamente, o melhor cenário possível por parte dos sítios Web. Devido à inexistência de legislação forte de proteção da privacidade nos Estados Unidos, especialmente quando comparada com o RGPD da UE, os cidadãos não têm qualquer controlo sobre o que acontece aos seus dados. No caso dos corretores de dados, estes não são obrigados a informar os indivíduos que podem ser objeto de perfis nas suas plataformas, nem são obrigados a divulgar a forma como recolheram as informações contidas nesses perfis.

No caso de alguns perfis, que podem incluir contas de redes sociais, estas podem ser recolhidas a partir de dados de violação roubados ou divulgados, que não são informações adquiridas legalmente, mas são geralmente tornadas públicas por piratas informáticos. Uma vez tornados públicos, as agências de corretagem de dados limpam os dados e reembalam-nos para venda. Trata-se simplesmente de uma versão digital da venda de uma embalagem nova que caiu do camião que circulava à sua frente. Esta área cinzenta de vendas deu a esta indústria uma reputação pouco brilhante, mas a procura de dados tornou mais fácil ignorar as 50 Sombras de Vigilância que estão a permitir.

Corretores de dados

As empresas que recolhem e vendem dados sobre pessoas individuais, empresas ou outras informações publicamente disponíveis são designadas por corretores de dados ou corretores de informação. Estas empresas têm uma grande variedade de modelos e objectivos. Por exemplo, os sítios Web de pesquisa de pessoas, como o PeekYou, têm uma reputação duvidosa, enquanto as agências de notação de crédito, como a Experian, são geralmente aceites e integradas no sistema financeiro. O que estas empresas têm em comum é o facto de recolherem e arquivarem todos os dados a que conseguem deitar a mão. A Acxiom, outra empresa de análise de dados, afirma estar atualmente na posse de mais de 2,5 mil milhões de pessoas, quase um terço da população mundial.

O negócio dos grandes volumes de dados começou com o aparecimento das agências de notação de crédito nos anos 50, mas explodiu com o aumento da disponibilidade de acesso à Internet. Não demorou muito até que os sítios de pesquisa de pessoas começassem a oferecer informação disponível ao público, recolhida de forma organizada, mediante o pagamento de uma pequena taxa. No início, era semelhante a uma entrada numa lista telefónica, mas a introdução das empresas de redes sociais e da web2.0 alterou drasticamente a quantidade e o tipo de dados que podiam ser recolhidos. De repente, pessoas de todo o mundo estavam a preencher informações de perfil para plataformas de redes sociais em crescimento, incluindo os seus aniversários, relações, imagens e até números de telemóvel. Toda esta informação era vendida por empresas tecnológicas a corretores de dados. Já se perguntou como é que estas plataformas conseguiam operar as suas legiões de servidores sem que fosse necessário pagar pelo seu serviço? Esta era a magia por detrás da cortina. Pelo que parecia ser nada, muitos de nós, na altura adolescentes ou jovens adultos, entregámos tudo em troca de um “like”.

Não eram só as empresas que estavam ansiosas por recolher e vender informações, os serviços secretos e os serviços de aplicação da lei também estavam ansiosos por entrar nesta informação livremente disponível. Os processos judiciais conduziram a discussões sobre o estatuto legal da utilização deste tipo de informação para perseguir casos criminais, permitindo frequentemente este acesso sem necessidade de um mandado de busca. Estes casos foram durante muito tempo decididos a favor das agências governamentais ao abrigo do que veio a ser conhecido como a Doutrina dos Terceiros.

The NSA's collection of metadata allows them to monitor what you are doing online. The NSA's collection of metadata allows them to monitor what you are doing online.

A doutrina dos terceiros permite a vigilância sem mandado

Quando os argumentos legais começaram a chegar às salas de tribunal de toda a América, um caso histórico chegou ao Supremo Tribunal relativamente ao que as forças da lei podem ou não aceder sem um mandado de busca. No processo Smith v. Maryland, o tribunal decidiu que a utilização pela polícia de um pen register (um dispositivo que regista os números de telefone marcados) para monitorizar as chamadas de um suspeito não era considerada uma busca e, por conseguinte, não exigia que a polícia obtivesse previamente um mandado. Na sequência desta decisão de 1979, este tipo de observação do cliente não constituía uma violação da Quarta Emenda, e não só isso, mas também determinaram que os utilizadores de um telefone não têm uma expetativa razoável de privacidade porque estes dados seriam registados e armazenados por uma companhia telefónica.

Foi assim que nasceu a doutrina dos terceiros.

Casos como Smith v. Maryland foram diretamente citados pela NSA como justificação legal para a sua monitorização e recolha de dados de cidadãos americanos. Em 2012, Maryland decidiu que os dados de localização dos telemóveis também não estavam protegidos pela Quarta Emenda, porque a utilização de um telemóvel é voluntária e os utilizadores não podem esperar que esta informação seja privada. Este pressuposto acabou por receber resistência legal no caso Carpenter v. Estados Unidos, em que se decidiu que, contrariamente à doutrina dos terceiros, o governo necessita de um mandado para obter dados de telemóveis. O tribunal notou a relação simbiótica que existe agora entre as pessoas e os seus aparelhos, referindo que estes se tornaram uma extensão do corpo humano e concluindo que “quando o Governo rastreia a localização de um telemóvel, consegue uma vigilância quase perfeita, como se tivesse anexado um monitor de tornozelo ao utilizador do telemóvel”.

A Quarta Emenda está morta?

Numa carta de resposta ao Senador Wyden, o Subsecretário da Defesa para a Inteligência e Segurança, Ronald Moultie, afirma:

“Não tenho conhecimento de qualquer requisito na lei dos EUA ou na opinião judicial, incluindo a decisão do Supremo Tribunal em Carpenter v. United States… que obrigue o DoD a obter uma ordem judicial para adquirir, aceder ou utilizar informação, como o CAI, que está igualmente disponível para compra a adversários estrangeiros, empresas dos EUA e pessoas privadas, tal como está para o Governo dos EUA.”

Statements made by USDISR Ronald Moultie Statements made by USDISR Ronald Moultie Statements made by USDISR Ronald Moultie Statements made by USDISR Ronald Moultie

É aqui que reside o problema. O que a NSA e o FBI estão a fazer é censurável, mas é legalmente permitido e não lhes é exigido que obtenham mandatos para fazer compras a corretores de dados. A não ser que o Congresso dos Estados Unidos se curve e aprove legislação forte que restrinja a venda de dados pessoais desta forma, nada mudará. Se esperam que isto aconteça de um dia para o outro, não acontecerá, a menos que os cidadãos cuja identidade se tornou um cartão de troca para as empresas de dados se levantem e exijam uma ação judicial. Isto é possível! América, és capaz de grandes coisas! Façam ouvir a vossa voz e ripostem. Não deixem que a vossa alma digital seja vendida a quem der mais. Pode apostar que, se a NSA está a comprar estes dados, outras agências de informação também estão e você pode ser visado por causa disso.

A venda de dados pessoais pela indústria dos corretores de dados tem de ser travada.

A opinião final do Presidente do Supremo Tribunal Roberts no caso Carpenter pode ser um raio de esperança para aqueles que desejam manter a sua privacidade face a corretores de dados invasivos e a agências de informações famintas. Ao contrário do vizinho intrometido que vigia as idas e vindas, elas [as novas tecnologias] estão sempre alerta e a sua memória é quase infalível. Há uma enorme diferença entre os tipos limitados de informações pessoais abordados em Smith […] e a crónica exaustiva de informações de localização recolhidas casualmente pelas operadoras sem fios hoje em dia.”

Precisamos desta reforma. Não podemos esperar que abordagens quase centenárias à tecnologia sejam de alguma forma relevantes para o leviatã digital que desencadeámos. Estas políticas devem ser reavaliadas sob o aconselhamento e a liderança de especialistas nos domínios da tecnologia e da privacidade. Esta causa é defendida pela Electronic Frontier Foundation e, se quiser ajudar a proteger a privacidade, ela merece o seu apoio. Entretanto, se procura um tratamento seguro e privado para os seus dados, deve começar a procurar noutro lugar.

Os seus dados não estão seguros nos Estados Unidos

Com protecções limitadas para os seus dados nos Estados Unidos, o mundo digital interligado pode jogar a seu favor, permitindo-lhe armazenar as suas informações de forma segura na UE. A UE tem protecções de privacidade e de dados muito mais fortes graças às leis do RGPD. Além disso, existem várias empresas europeias que respeitam a privacidade e cujo objetivo é proteger as suas informações dos olhares atentos dos corretores de dados e das agências governamentais.

Se procura uma âncora segura para a sua vida digital, terá de começar com uma conta de correio eletrónico privada. Criámos um guia que compara os fornecedores de correio eletrónico seguro e privado, que pode consultar aqui. Ao utilizar a encriptação de ponta a ponta, que protege os seus dados contra espionagem antes de saírem do seu dispositivo, pode ter a certeza de que o conteúdo das suas comunicações está seguro.

O que a NSA recolhe

Na sequência da divulgação dos documentos não classificados da NSA por Wyden, podemos confirmar, através da sua própria admissão, que a NSA está a adquirir as seguintes informações disponíveis ao consumidor sobre os americanos:

  • Informações associadas a dispositivos electrónicos utilizados fora e, por vezes, dentro dos Estados Unidos.
  • Compra e utiliza dados de fluxo de rede disponíveis comercialmente relacionados com comunicações domésticas pela Internet e comunicações em que uma das partes está localizada no estrangeiro. Isto inclui registos DNS que podem estar presentes em produtos de corretagem de dados.
  • Não compra dados de localização de telemóveis que se saiba serem utilizados nos EUA, com ou sem ordem judicial.
  • Não compra dados de localização de veículos que se saiba estarem localizados nos EUA.

As ligações VPN não são seguras

Através da recolha de dados de netflow, as agências de inteligência e de aplicação da lei são capazes de reunir o tráfego da Internet, mesmo que o tráfego esteja a ser canalizado através de uma VPN. Isto significa que esconder-se atrás de uma VPN, por si só, não lhe dará total anonimato quando navegar na Web ou se ligar às suas aplicações favoritas. Isto não significa que uma VPN seja totalmente inútil, mas a sua capacidade de o proteger é mais limitada do que os fornecedores de VPN gostam de deixar transparecer. É quase impossível evitar completamente a recolha de dados pelo seu ISP, a menos que comece a construir a sua própria infraestrutura. Mesmo utilizando o browser Tor, o seu ISP saberá que está a utilizar o Tor, apesar de o conteúdo do seu tráfego de rede estar encriptado.

A UE oferece segurança e tranquilidade para os seus dados

Um primeiro passo importante é tentar transferir a maior parte da sua vida digital para países com leis de privacidade mais rigorosas. É claro que não será possível começar a utilizar um ISP baseado na Alemanha se estiver a viver no Iowa, mas ao escolher fornecedores de serviços que oferecem encriptação de ponta a ponta por defeito e que têm uma política de registo zero, pode ter a certeza de que há, pelo menos, muito poucos dados ligados a si. Na Tuta, não rastreamos qualquer informação de IP de início de sessão que possa ser associada a utilizadores individuais, nem registamos a atividade da conta. Se estiver preocupado com a sua privacidade, é obrigatório mudar para empresas localizadas na União Europeia. A Tuta está prestes a lançar uma nova norma de encriptação que pode proteger os seus dados contra a ameaça dos computadores pós-quânticos, que seriam capazes de quebrar rapidamente as normas de encriptação atualmente utilizadas. Ao lançar a encriptação pós-quântica, os seus dados estarão a salvo da prática de “recolher primeiro, desencriptar depois”. Isto proporcionará um maior grau de proteção para os seus e-mails, calendários, informações de contacto e, em breve, para quaisquer dados que deseje armazenar na nuvem.

O caminho a seguir na busca do anonimato online completo ainda é uma questão em aberto. Mas podemos ter a certeza de que a encriptação de ponta a ponta não vai a lado nenhum.

Fique em segurança e boa encriptação.