Precisamos recuperar nossa privacidade

Há mais de 130 anos, um jovem advogado viu um novo gadget incrível e teve uma visão revolucionária – a tecnologia pode ameaçar nossa privacidade.

“Invenções recentes e métodos de negócios chamam a atenção para o próximo passo que deve ser dado para a proteção da pessoa”, escreveu o advogado Louis Brandeis, alertando que as leis precisam acompanhar a tecnologia e os novos meios de vigilância, ou os americanos perderiam seu “direito de ser deixado em paz”.

Décadas depois, o direito à privacidade discutido naquele artigo de revisão de leis de 1890 e as opiniões de Brandeis como juiz da Suprema Corte, especialmente no contexto das novas tecnologias, seriam citados como princípio fundacional das proteções constitucionais de muitos direitos, incluindo a contracepção, mesmo – intimidade sexual e aborto.

Agora, a Suprema Corte parece pronta para decidir que não há proteção constitucional para o direito ao aborto. A vigilância possibilitada por tecnologias digitais minimamente regulamentadas pode ajudar a polícia ou até mesmo vigilantes a rastrear mulheres que podem procurar abortos e profissionais de saúde que os realizam em locais onde seriam criminalizados. As mulheres estão pedindo umas às outras para excluir aplicativos de telefone, como rastreadores de período, que podem indicar que estão grávidas.

Mas os esforços individuais frenéticos para afastar as intrusões digitais farão muito pouco. O que é necessário, para todos os americanos, é um acerto de contas legal e político completo com a maneira imprudente pela qual a tecnologia digital foi autorizada a invadir nossas vidas. A coleta, uso e manipulação de dados eletrônicos devem finalmente ser regulamentados e severamente limitados. Só assim poderemos desfrutar confortavelmente de todo o bem que pode advir dessas tecnologias.

A preocupação de Brandeis com a ameaça da tecnologia à liberdade foi alimentada pela introdução, dois anos antes de seu artigo, de uma câmera Kodak que era pequena o suficiente para carregar, barata o suficiente, funcionava com o pressionar de um botão e vinha carregada para 100 fotos. Essa nova portabilidade significava que invasões que antes eram impraticáveis, agora eram fáceis.

A Constituição não menciona câmeras ou escutas telefônicas ou telefones celulares ou dados eletrônicos ou inteligência artificial. Mas fala sobre proteção de crenças (Primeira Emenda), a santidade do lar (Terceira), o direito contra buscas desarrazoadas de pessoas, casas, papéis e objetos (Quarta) e proteção contra autoincriminação (Quinta). Esses foram alguns dos pilares sobre os quais Brandeis apoiou seu argumento de que as leis precisam impor nossa liberdade contra a intrusão, mesmo quando a tecnologia mudou sua forma.

Em 1928, como juiz da Suprema Corte, Brandeis discordou da maioria que permitia ao governo ouvir as conversas telefônicas dos suspeitos sem mandado. Brandeis apontou que abrir e ler um envelope lacrado exigia um mandado, de modo que as escutas telefônicas também deveriam exigir um mandado.

Na segunda metade do século, porém, o tribunal começou a acompanhar a necessidade de proteger mais amplamente a privacidade e regular a tecnologia.

Ao legalizar o direito a contraceptivos, em Griswold v. Connecticut em 1965, o tribunal trouxe à tona as profundas violações de privacidade que surgiriam da aplicação de uma proibição: uso de anticoncepcionais? A própria ideia é repulsiva às noções de privacidade que cercam a relação conjugal”, escreveu o ministro William O. Douglas em seu parecer para a maioria , que também articulou a proteção da privacidade como um direito constitucional.

Griswold foi citado como precedente oito anos depois em Roe v. Wade, estendendo a proteção constitucional ao aborto. Mais uma vez, o tribunal destacou a privacidade, não a importância da escolha reprodutiva, como um direito. As leis contra relacionamentos íntimos entre pessoas do mesmo sexo seriam derrubadas por motivos semelhantes.

Outras proteções de privacidade também foram decretadas. Em 1970, foram criadas regras para regular o uso de informações sobre solvência. A Lei de Privacidade de 1974 estabeleceu proteções para informações de identificação pessoal que foram coletadas ou mantidas por agências federais. O governo reforçou a supervisão das escutas telefônicas em 1967 e depois em 1977, exigindo mandados para as escutas domésticas.

Mas nas décadas desde então, houve uma explosão de avanços tecnológicos e capacidades de vigilância. Muitas outras transações e atividades são realizadas em redes digitais, e bilhões de pessoas carregam computadores de bolso que deixam pegadas constantes. Tudo isso pode ser captado por um vasto aparato de vigilância, para ser analisado por poderosas técnicas computacionais, juntamente com imagens de câmeras nas ruas, telefones e satélites.

Os legisladores de todo o mundo permitiram que tudo isso prosseguisse, com os Estados Unidos ainda mais atrasados.

Os temores de como os agentes da lei e os vigilantes antiaborto poderiam usar esses dados para caçar aqueles que entram em conflito com as novas leis iluminaram uma terrível toca de abuso de privacidade.

Depois que o projeto de opinião da Suprema Corte que poderia derrubar Roe vazou, o repórter do Motherboard Joseph Cox pagou a uma empresa US$ 160 para obter uma semana de dados agregados sobre pessoas que visitaram mais de 600 instalações da Planned Parenthood em todo o país. Esses dados incluíam de onde vieram, quanto tempo permaneceram e para onde foram depois. A empresa obteve esses dados de localização de aplicativos comuns nos telefones das pessoas. Esses dados também são coletados dos próprios telefones e pelas operadoras de celular.

Que isso foi agregado, dados em massa – sem nomes anexados – não devem ser de conforto. Pesquisadores têm mostrado repetidamente que mesmo em tais conjuntos de dados, muitas vezes é possível identificar a identidade de uma pessoa – dados anônimos – triangulando informações de diferentes fontes, como, digamos, dados de localização correspondentes no trajeto de casa para o trabalho, ou suas compras em lojas. Isso também ajuda a evitar proteções legais de privacidade que se aplicam apenas a “informações de identificação pessoal” – registros que contêm explicitamente identificadores como nomes ou números de CPF.

Por exemplo, foi recentemente revelado que o Grindr, o aplicativo de namoro gay mais popular do mundo, estava vendendo dados sobre seus usuários. Um padre renunciou após a publicação católica The Pillar anônimo seus dados, identificá-lo e depois denunciá-lo rastreando suas visitas a bares gays e uma casa de banhos.

As empresas de telefonia foram flagradas vendendo dados de localização em tempo real de seus clientes, e supostamente acabou nas mãos de caçadores de recompensas e perseguidores .

Em 2014, o BuzzFeed News informou que um executivo do Uber admitiu ter rastreado pelo menos um jornalista que reportou sobre a empresa. Em 2012, a empresa também postou análises de dados em seu blog, revelando possíveis encontros de uma noite que as pessoas estavam tendo nas principais cidades. Ao criticar tais práticas em um artigo que co-escrevi na época , salientei que tais métodos também poderiam rastrear visitas a escritórios da Planned Parenthood.

Pouquíssimas empresas ainda se gabariam dessas coisas. Mas, claramente, esses dados podem ser usados ​​para identificar, por exemplo, mulheres que se reúnem para organizar o acesso a pílulas abortivas e outras mulheres que podem viajar para obter essas pílulas ou buscar apoio.

Para evitar esses perigos, as pessoas são aconselhadas a deixar o telefone para trás ou usar telefones “gravadores” ou desligar determinadas configurações.

Nenhuma dessas opções funciona bem.

Por um lado, desativar as configurações nos aplicativos não impede o telefone ou a empresa de telefonia celular de continuar coletando dados de localização. Também não é tão confiável . Desativei o rastreamento de localização muitas vezes em aplicativos respeitáveis ​​apenas para ficar surpreso ao perceber mais tarde que ele se reativou porque cliquei em algo não relacionado que, as letras miúdas podem revelar, ativa o rastreamento de localização novamente.

Desisti – e codifico desde a adolescência, sou formado em programação de computadores, trabalhei na indústria de software e tenho lido e escrito sobre privacidade e tecnologia durante toda a minha vida adulta. Minha impressão é que amigos com perfis profissionais semelhantes também desistiram.

Usar telefones descartáveis ​​- que você usa e descarta – parece legal, mas é difícil na prática. Matt Blaze, um dos principais especialistas em segurança digital e criptografia, disse que tentar manter um telefone descartável exigia “usar quase tudo o que sei sobre sistemas de comunicação e segurança”, e ele ainda não tinha certeza de ter evitado completamente a vigilância e a identificação.

Que tal deixar seu celular para trás? Deixe-me apenas dizer, boa sorte.

Mesmo que você não carregue um dispositivo digital e use apenas dinheiro, os bancos de dados biométricos disponíveis comercialmente podem realizar o reconhecimento facial em escala. A Clearview AI diz que tem mais de 10 bilhões de imagens de pessoas tiradas de mídias sociais e artigos de notícias que vende para entidades policiais e privadas. Dada a onipresença das câmeras, em breve será difícil caminhar em qualquer lugar sem ser reconhecido algoritmicamente. Mesmo uma máscara não é barreira. Os algoritmos também podem reconhecer pessoas de outros atributos. Na China, a polícia empregou o “reconhecimento de marcha” – usando inteligência artificial para identificar pessoas pela maneira como andam e por outras características do corpo além do rosto.

As proteções que você acha que tem podem não ser tão amplas quanto você pensa. A confidencialidade que a lei federal de privacidade de saúde fornece às conversas com um médico nem sempre se aplica às prescrições. Em 2020, o Consumer Reports expôs que o GoodRX, um serviço popular de descontos e cupons de medicamentos, estava vendendo informações sobre quais medicamentos as pessoas estavam pesquisando ou comprando para o Facebook, Google e outras empresas de marketing de dados. GoodRX disse que iria parar, mas não há lei contra eles, ou qualquer farmácia, fazendo isso.

Esses dados se tornam ainda mais poderosos quando mesclados. Uma mulher que come sushi regularmente e de repente pára, ou pára de tomar Pepto-Bismol, ou começa a tomar vitamina B6 pode ser facilmente identificada como alguém que segue as orientações para a gravidez. Se essa mulher não der à luz, ela pode ser interrogada pela polícia, que pode pensar que ela fez um aborto. (Já, em alguns lugares, as mulheres que procuram ajuda médica após abortos relataram questionamentos a esse respeito.)

Eu nem cheguei a todos os dados coletados de bilhões de pessoas por plataformas tecnológicas gigantes como Facebook e Google. “Bem, não os use”, você pode dizer. Novamente, boa sorte.

Em 2019, quando Kashmir Hill – agora repórter do The New York Times – tentou cortar o Google de sua vida online , ela o encontrou em todos os lugares. Aplicativos como Lyft e Uber, que dependiam do Google Maps, e Spotify, que dependia do Google Cloud, não funcionariam. O Times carregou muito lentamente (tentando carregar para o Google Analytics, Google Pay, Google News, anúncios do Google e um DoubleClick e, em seguida, esperando que eles falhem antes de continuar). No final de uma semana, seus dispositivos tentaram se comunicar com os servidores do Google mais de 100.000 vezes. Hill também tentou isso para outras cinco grandes empresas de tecnologia e achou-as igualmente difíceis de evitar.

que é muito mais difícil do que muitos imaginam evitá-lo completamente. Em primeiro lugar, um grande número de atividades cívicas e locais, especialmente para pessoas desfavorecidas, estão disponíveis exclusivamente através do Facebook. Alguns grupos importantes de pacientes, por exemplo, existem apenas no Facebook. Eu até encontrei situações em que os distritos escolares enviaram atualizações sobre alertas de atiradores ativos no Facebook.

Quando minha avó na Turquia estava doente, o único aplicativo que seu zelador sabia usar para se comunicar comigo era um produto do Facebook. Dizer às pessoas para não usarem essas plataformas poderosas se não quiserem ser vigiadas desarrazoadamente é culpar a vítima.

O Facebook não apenas coleta dados de seus dois bilhões de usuários, e também não os coleta apenas do que essas pessoas fazem enquanto usam seus produtos. Bilhões de páginas da web (incluindo as do The New York Times) e aplicativos móveis contêm código da empresa – pixels de rastreamento – que coletam dados detalhados e os comunicam de volta ao Facebook . Eles tentam combinar isso com os usuários existentes do Facebook, mas mantêm-no mesmo para não usuários, criando o que é chamado de “perfis de sombra”. O rastreamento do Google também está em toda a web e em muitos aplicativos por meio de seus produtos de anúncios onipresentes. “Apenas não use” não leva as pessoas muito longe.

Agora vamos para as coisas realmente assustadoras.

Em sua discordância contra permitir que escutas telefônicas operem sem mandado, Brandeis escreveu como, quando a Constituição foi escrita, “força e violência” já foram os únicos meios pelos quais um governo poderia obrigar a autoincriminação, mas que os governos agora tinham meios mais eficazes “ do que esticar-se na prateleira, para obter a revelação no tribunal do que é sussurrado no armário.”

Cada vez mais, porém, a inteligência artificial pode usar dados de vigilância para inferir coisas que nem são sussurradas.

Cerca de uma década atrás, The Times noticiou sobre um pai cuja filha adolescente de repente começou a receber materiais promocionais para itens de bebê da Target. O pai irritado foi a uma loja Target e recebeu um pedido de desculpas do gerente, apenas para saber depois de confrontar sua filha que … ela estava grávida. Talvez fosse algo evidente, como a garota comprando um teste de gravidez. No entanto, cada vez mais, essas previsões são feitas analisando conjuntos de big data com algoritmos (geralmente chamados de “aprendizagem de máquina”) que podem chegar a conclusões sobre coisas que não estão explicitamente nos dados.

Por exemplo, as interpretações algorítmicas das postagens do Instagram podem prever efetivamente os futuros episódios depressivos de uma pessoa – com desempenho melhor do que os humanos avaliando as mesmas postagens. Resultados semelhantes foram encontrados para prever futuros episódios maníacos e detectar ideação suicida , entre muitos outros exemplos. Esses sistemas preditivos já estão em uso generalizado, inclusive para contratação, vendas, direcionamento político, educação, medicina e muito mais.

Dadas as muitas mudanças que a gravidez gera antes mesmo que as mulheres saibam, em tudo, desde padrões de sono até dieta, fadiga e mudanças de humor, não é de surpreender que um algoritmo possa detectar quais mulheres provavelmente estariam grávidas. (Tais listas já são coletadas e negociadas ). Esses são dados que podem ser adquiridos por agências de aplicação da lei ou ativistas com a intenção de rastrear possíveis abortos.

Muitas dessas inferências algorítmicas são estatísticas, não necessariamente individuais, mas podem diminuir a lista de suspeitos.

Como funciona? Mesmo os pesquisadores realmente não sabem, chamando-o de caixa preta. Como poderia ser regulamentado? Como é diferente, precisaria de um novo pensamento. Até agora, poucas ou nenhuma lei regulamenta a maioria desses novos avanços, embora sejam tão importantes para nossos direitos da Quarta Emenda quanto telefones e escutas telefônicas.

Apesar do que minhas preocupações podem levar alguns a acreditar, eu não sou um tecnófobo. Como muitos outros que estudam privacidade e tecnologia, muitas vezes sou um dos primeiros a adotar a tecnologia e fico entusiasmado com seus muitos usos potenciais.

Mas também sou um sociólogo que estuda o autoritarismo, e nossa infraestrutura digital se tornou a infraestrutura do autoritarismo.

Quando comecei a dizer isso há algum tempo, muitas pessoas me diziam que eu estava confundindo a situação na China com a dos países ocidentais, onde essa vigilância geralmente é realizada para fins comerciais e temos limites para o que os governos gostariam de fazer. Sempre pensei: se você construir, eles virão buscar. A criminalização do aborto pode muito bem ser o primeiro teste em larga escala disso, mas mesmo que isso não aconteça, estamos apenas ganhando tempo.

Muitas de nossas proteções legais existentes estão efetivamente desatualizadas. Por exemplo, a aplicação da lei pode obter e-mails, fotos ou quaisquer dados armazenados na nuvem sem um mandado e sem notificá-lo, desde que tenha mais de seis meses. Isso ocorre porque quando a lei inicial sobre privacidade de e-mail foi elaborada em 1986, online, ou o que hoje chamamos de nuvem, o armazenamento era muito caro e as pessoas baixavam ou excluíam seus e-mails regularmente. Portanto, qualquer coisa com mais de seis meses foi considerada abandonada. Quase três décadas depois, significa simplesmente que anos de história digital pessoal – que não existiam quando a lei foi elaborada – estão disponíveis.

Isso não significa que devemos extinguir a tecnologia digital ou avanços em algoritmos. Mesmo que fosse possível, não seria desejável. O governo deve regular essas tecnologias para que possamos usá-las e desfrutar de seus muitos aspectos positivos, sem vigilância fora de controle.

***

O Congresso e os estados devem restringir ou proibir a coleta de muitos tipos de dados, especialmente aqueles usados ​​exclusivamente para rastreamento, e limitar por quanto tempo os dados podem ser retidos para as funções necessárias – como obter instruções por telefone.

A venda, negociação e fusão de dados pessoais devem ser restritas ou proibidas. A aplicação da lei poderia obtê-lo sujeito a supervisão judicial específica.

Os pesquisadores vêm inventando métodos de preservação de privacidade para analisar conjuntos de dados quando a fusão é de interesse público, mas os dados subjacentes são confidenciais – como quando as autoridades de saúde estão rastreando um surto de doença e desejam mesclar dados de vários hospitais. Essas técnicas permitem a computação, mas dificultam, se não impossibilitam, a identificação de registros individuais. É improvável que as empresas invistam nesses métodos ou usem criptografia de ponta a ponta conforme apropriado para proteger os dados do usuário, se puderem continuar fazendo o que quiserem. A regulamentação pode tornar esses avanços boas oportunidades de negócios e estimular a inovação.

Acho que as pessoas não gostam das coisas do jeito que são. Quando a Apple mudou uma opção padrão de “rastreie-me” para “não me rastreie” em seus telefones, poucas pessoas optaram por ser rastreadas. E muitos que aceitam o rastreamento provavelmente não percebem quanta privacidade estão abrindo mão e o que esse tipo de dado pode revelar. Muitos coletores de localização obtêm seus dados de aplicativos comuns – podem ser clima, jogos ou qualquer outra coisa – que muitas vezes escondem que compartilharão os dados com outras pessoas em termos vagos profundamente em suas letras miúdas .

Sob essas condições, exigir que as pessoas cliquem em “Aceito” para obter acesso a funções que se tornaram parte integrante da vida moderna é um disfarce, não um consentimento informado.

Muitos políticos têm relutado em agir. A indústria de tecnologia é generosa, confortável com o poder, e os próprios políticos usam a análise de dados para suas campanhas. Esta é mais uma razão para pressioná-los a seguir em frente.

Em sua discordância seminal contra as escutas telefônicas sem mandado, Brandeis citou um juiz anterior, observando: “O tempo opera mudanças, traz à existência novas condições e propósitos. Portanto, um princípio, para ser vital, deve ser capaz de uma aplicação mais ampla do que o mal que lhe deu origem”.

Esse princípio fundamental de liberdade, o direito de estar livre de intrusões e vigilância desse escopo e escala, precisa ser defendido contra as novas tecnologias que o minaram tão gravemente.

Caso contrário, como Brandeis citou em sua discordância, “direitos declarados em palavras podem ser perdidos na realidade”.