Dia 13 de Março de 2019. Cidade de Suzano. 2 jovens entram em uma escola e cometem um massacre. Um deles com arma de fogo, o outro com armas brancas, medievais. As pessoas choram diante da barbárie, da violência. O país é pego de surpresa diante...

Surpresa?

Será que um menor de idade, que tinha comportamentos anômalos, antissociais e falas (posts) de violência em redes sociais, que entra em uma escola e atira a sangue-frio é uma surpresa? Não lhes parece que a soma dos itens anteriores claramente transmite uma mensagem?

Eu acho que não é surpresa. E é justamente com a introdução desse triste evento recente que me parece ser o momento certo para falarmos mais sobre privacidade (e seus limites).

Introdução

Comecemos com uma breve definição, segundo a Wikipedia:

"Privacidade é o direito à reserva de informações pessoais e da própria vida pessoal". É, portanto, 'O direito de ser deixado em paz', um direito individual, nosso direito de que os outros só saibam o que queremos que eles saibam.

Privacidade é, verdadeiramente, um assunto da moda, de conversa de bar. Isso se deve, principalmente, às recentes legislações específicas que tratam do tema, como a GDPR (General Data Protection Regulation - em vigor para cidadãos europeus) e como a LGDP (Lei Geral de Proteção de Dados - que estará em vigor em 2020 no Brasil). Além dessas, diversos outros países têm suas legislações para o assunto, algumas com anos de existência, como Austrália (APP), Japão (My Number Act), Canadá (PIPEDA). Nunca o mundo se preocupou tanto com a privacidade do cidadão do que hoje. Nunca se aplicaram tantas multas milionários a empresas que não cumpriram as normas, vide Facebook e Google que pagaram fortunas recentemente.

Privacidade é uma coisa boa? Sim. Como especialista em Segurança da Informação, concordo que Privacidade seja indispensável. Você tem o direito de esconder seu salário, seus registros médicos, fechar as cortinas de sua casa para que não vejam que você anda de cueca/calcinha pela residência. Privacidade é importante, sim, isso é inquestionável.

Todos têm Direito à Privacidade – Alguns Mais, Outros Menos

Contrariando, no entanto, a evolução do mundo, eu penso o seguinte: nunca foi tão necessário extirpar de alguns a privacidade. Privacidade deve ter limite e o direito à Privacidade não pode suplantar, jamais, o interesse coletivo. A prerrogativa aqui é a seguinte: todos têm direito à privacidade, exceto aqueles cujas ações, comportamentos, atividades, hábitos gerem suspeitas/ações que representem risco, seja para si e/ou, principalmente, para os outros.

Historicamente, vários movimentos da justiça funcionaram com a premissa do limite da Privacidade: há décadas pode-se pedir quebra de sigilo telefônico e contas bancárias caso o indivíduo faça parte de alguma ação/processo criminal/investigativo. Mas, esse movimento de quebra de sigilo/privacidade ainda não é uma realidade plena para dados virtuais e é importante refletirmos sobre isso.

O mundo mudou. A tecnologia mudou. Hoje se fala em Nuvem, IA, Big Data, etc. O crime também mudou. Nessa nova era, a orquestração da maioria das ilegalidades não acontece mais por conversas telefônicas de voz, mas sim, através de redes sociais, de aplicativos de mensageria (WhatsApp, Telegram, Instagram...).

Companhias como Facebook (dona do homônimo, além de Whatsapp e Instagram) e outras redes oferecem o anonimato como função, mais que isso, como benefício. Não só oferecem, como garantem o mesmo: “use meu App e ninguém jamais saberá disso”. Alguns (Telegram, por exemplo) até oferecem salas de bate-papo que se autodestroem em nome da privacidade.

Independentemente da discussão de criptografia que existe nesses sistemas de mensageria, deveria ser premissa que entidades legais pudessem ter acesso a essa informação. Nesse sentido, muita coisa precisa mudar... mas vamos chegar lá.

O Exemplo da SIBr

Como CEO da SegInfoBrasil, que nasceu para educar a sociedade em segurança da informação, principalmente em segurança cibernética, vejo como crescente a quantidade de jovens que entram em contato por email, Whatsapp, Instagram perguntando se o curso que vendemos vai educá-los em como fazer o ilícito. Exemplos de mensagens reais:

“Esse curso de vo6 ensina como hackia os otros? Quero asessa o coputador da escola e muda minhas nota kkkk”

“... o curso ensina como usar a ferramenta TOR? Ouvi dizer que é a melhor ferramenta para acessar a dipweb e preciso fazer algumas compras e vendas e não poderia fazer sem o TOR”

O que me chama a atenção nesses e em outras dezenas de casos semelhantes (além do assassinato à língua portuguesa) é a análise do perfil do indivíduo que entra em contato. Sempre que possível (Instagram, por exemplo) nosso time acessa o perfil da pessoa para ver o rosto por trás desses pedidos e é aí que vem a (ausência de) surpresa: o perfil (fotos) do indivíduo é sempre muito similar... jovem, entre 15-20 anos de idade, sexo masculino, fotos com cara de mau, “selfie” em frente ao espelho, dedo médio erguido em um ângulo que, refletido no espelho, aponta para si mesmo (curioso isso...) e muitas, muitas frases agressivas, de rebeldia, como: “foda-se a sociedade”, "revolução digital", etc.

Estamos falando de fatos, não de história. O que analisamos são as evidências "tangíveis". Não estamos julgando as questões históricas, que normalmente se correlacionam com a estrutura familiar do indivíduo. Não estou dizendo que isso ocorre às vezes. Estou dizendo que praticamente diariamente somos procurados por jovens, nosso futuro, buscando formas de aprender sobre o ilícito, para cometer crimes cibernéticos e que a similaridade de perfil entre os que o fazem é muito grande.

Solução?

Privacidade é uma coisa boa! É um direito fundamental. Mas não para todos. O cidadão deve fazer jus a esse direito. Não é necessário ser nenhum Sherlock Holmes para dizer que (voltando a Suzano) se temos um (1) indivíduo antissocial que (2) tem uma arma, não tem vergonha de mostrá-la em redes sociais e (3) já vinha, há tempos, falando sobre como um dia iria matar, então temos um potencial risco. Se essa pessoa, vide evidências acima, representa um risco, então ela não pode ter privacidade.

Mas como fazer isso de forma escalável? Como investigar tantas pessoas suspeitas? Alguns dirão que, estatisticamente, a proporção pessoas que falam que vão fazer X as que realmente fazem é de muitas para muito poucas, talvez menor que 1%. Como tudo na vida que funciona, é necessário um processo. Não tenho a resposta de qual é o modelo perfeito, mas eis aqui minha sugestão:

O primeiro elo da corrente são os professores. Os mesmos podem receber treinamentos e capacitação em “como reconhecer o aluno(a) com potencial de se envolver em atividades danosas”, perceber anomalias. No mínimo, os professores têm visibilidade do bullying que alguns alunos sofrem, normalmente algo que apenas faz a pessoa entrar em uma espiral antissocial. Estatisticamente, o perfil dos alunos com potencial negativo raramente foge de um padrão.

Após a identificação, o indivíduo é encaminhado a um programa de apoio e suporte psicológico para entender de onde vêm os comportamentos/anomalias sociais identificados, algo que pode ocorrer mesmo dentro da escola. Sendo esse processo de interesse coletivo, as etapas de acompanhamento devem fazer parte de um programa de saúde pública. Se, no entanto, os comportamentos persistirem: fim da privacidade. As devidas entidades legais (e somente elas) passam a ter acesso a dados privados desse indivíduo. Whatsapp, Instagram, SMS... não importa. É o interesse coletivo que as atividades desses indivíduos sejam monitoradas e assim deve ser feito.

Nesse sentido, as empresas que controlam os sites/Apps também devem fazer parte do processo: divulgar e compartilhar informações daqueles que são alvos de investigação, da mesma forma que as empresas telefônicas permitem os grampos quando devidamente autorizadas. Aqui, torna-se fundamental a cooperação dos novos detentores dos mecanismos de comunicação, as gigantes digitais, inclusive os Provedores de Serviço (NET, Vivo, etc). Particularmente, acredito que se elas não são parte da solução, são automaticamente parte do problema.

Isso não significa o fim da privacidade para todos. Significa o fim da privacidade para os poucos, minoritários, que representam risco.

Voltando ao nosso exemplo: será que a história seria a mesma se os jovens assassinos de Suzano tivessem passado por um processo de acompanhamento, conforme mencionado acima? Será que algum dia algum professor conversou sobre o bullying e os problemas pessoais pelos quais os alunos passavam? Nunca saberemos a resposta a essa questão. Mas uma coisa podemos dizer: não há que se falar em “surpresa” considerando a soma das evidências.

Ainda nesse sentido: a morte dos jovens assassinos somado à dramaticidade dos eventos, devem levar a ainda mais perda de privacidade: essa é a hora de investigar a fundo e identificar todos os demais (dezenas, centenas, milhares) de pessoas que fazem parte de grupos que compartilham ideias semelhantes, que incentivaram os dois a fazer o que fizeram e que prometem, juram fazer o mesmo. Todos esses perdem seu direito à privacidade também. Esse é o preço da ilegalidade, do ilícito. Esse é o interesse coletivo.

Marcos Cavinato é Engenheiro Consultor de Cybersegurança em uma das maiores multinacionais do ramo. É certificado CISSP, CCSP e CEH, Instrutor do Curso de Segurança em Redes de Computadores aqui na SegInfoBrasil e criador do Canal Segurança Cavinato no Youtube.

#suzano #massacre #seginfobrasil #sibr #privacidade