É um assunto recorrente: o relatório da Bloomberg revelou que funcionários da Amazon analisam gravações de voz capturadas pelo uso da Alexa. Contudo, a Amazon não está sozinha nessa prática. Vamos explorar como empresas de tecnologia podem, e de fato têm, monitorado os dados privados que você compartilha.
De leitura de anotações a perseguição online
Vamos abordar exemplos concretos, como funcionários da Evernote analisando notas privadas e casos de assédio por parte de empregados do Google e Facebook.
A Evernote, em uma mudança na política de privacidade em janeiro de 2017, autorizou seus funcionários a examinar notas particulares com o intuito de “aprimorar a experiência”. Após a repercussão negativa dos usuários, a empresa voltou atrás, prometendo solicitar permissão previamente. Este incidente destaca o problema: a Evernote pode facilmente conceder acesso aos seus funcionários. Mesmo que você confie na política de privacidade da empresa para proteger seus dados, ela pode ser alterada a qualquer momento.
Um engenheiro do Google foi demitido por utilizar seu acesso aos servidores da empresa para perseguir e espionar menores, analisando registros do Google Voice, chats e alterando listas de amigos de um adolescente. Engenheiros de confiabilidade têm acesso amplo para realizar seu trabalho, mas o caso de 2010 demonstra que este acesso pode ser abusado.
No Facebook, um engenheiro de segurança foi desligado por perseguir mulheres online em 2018. A Motherboard também noticiou casos de funcionários que espiaram ex-parceiros e outros atos similares.
É recomendável restringir o acesso de aplicativos ao seu e-mail, pois eles podem permitir que terceiros leiam suas mensagens, seja no Gmail, Outlook.com ou outra plataforma. O Wall Street Journal reportou que engenheiros de empresas responsáveis por aplicativos de e-mail analisaram centenas de milhares de e-mails para treinar seus algoritmos.
Essa lista não é completa. O Facebook teve um problema que expôs fotos particulares a desenvolvedores. Seu empregador pode ler suas mensagens privadas no Slack, revelando que elas não são tão privadas quanto se pensa. Até mesmo a NSA demitiu funcionários por usar sistemas de vigilância para espionar ex-parceiros. E qualquer empresa que possua seus dados irá entregá-los ao governo sob mandado, como a Amazon fez quando a Alexa gravou um caso de duplo homicídio.
A nuvem: o computador de terceiros
Quando você utiliza serviços de “nuvem” para armazenar seus dados, na verdade está depositando-os em servidores de empresas. E essas empresas têm a possibilidade de acessar essas informações se desejarem.
Apesar de ser uma noção simples, a notícia de funcionários ouvindo nossas gravações de voz soa surpreendente. Talvez presumamos que o volume de dados seja grande demais para ser analisado por humanos, ou acreditamos que leis protegem esses dados. Contudo, nos Estados Unidos, não há legislação que impeça empresas de analisar esses dados, desde que sejam transparentes, como, por exemplo, em termos de serviço que quase ninguém lê.
Não é apenas a Amazon. Conforme a Bloomberg aponta, até a Apple, reconhecida pela privacidade, emprega pessoas para analisar gravações da Siri para aprimorar os algoritmos. E o Google também possui revisores que ouvem gravações do Google Home.
Justificativas para análise de dados
Além dos casos de abuso, existem razões válidas para uma empresa analisar seus dados:
- Solicitações governamentais: Um mandado judicial pode exigir que uma empresa examine seus dados em busca de informações específicas e as entregue ao governo.
- Treinamento de algoritmos: O aprendizado de máquina necessita de intervenção humana durante o treinamento. É por isso que as gravações da Alexa e Siri são analisadas, e porque a Evernote desejava que suas notas fossem examinadas.
- Controle de qualidade: Empresas podem monitorar gravações e outros dados para verificar a eficácia do serviço. Mesmo em interações com robôs, um humano pode analisar a gravação posteriormente.
- Suporte ao cliente: Uma empresa pode solicitar permissão para analisar seus dados para oferecer suporte técnico. Idealmente, isso só ocorre com seu consentimento, que pode ser concedido facilmente, como por um tweet, como já ocorreu no Google Fotos.
- Denúncias de violações: Uma empresa pode examinar seus dados para investigar denúncias. Por exemplo, conversas no Facebook podem ser analisadas se um usuário denunciar assédio ou outras violações.
A solução: criptografia de ponta a ponta
Essa vulnerabilidade existe devido à arquitetura da internet. Apesar da discussão sobre “criptografia”, os dados são criptografados ao serem enviados entre seus dispositivos e os servidores da empresa. Embora possam ser armazenados de forma criptografada, a empresa ainda tem acesso a eles para descriptografá-los quando necessário.
A solução para esse problema é a criptografia de ponta a ponta ou do lado do cliente. Neste modelo, o software que você utiliza criptografa os dados em seus dispositivos, armazenando-os já criptografados nos servidores, impedindo que a empresa os acesse. Assim, seus dados permanecem exclusivamente seus.
Contudo, esse modelo traz algumas desvantagens. Serviços como o Google Fotos, que executam ações automáticas em seus dados, não seriam possíveis. Empresas teriam custos maiores de armazenamento, pois não poderiam “desduplicar” os dados. Para assistentes de voz, todo o processamento precisaria ser feito localmente, impossibilitando o uso dos dados para treinamento.
Além disso, a perda da chave de criptografia implica na perda do acesso aos dados. Afinal, se a empresa pudesse fornecer acesso novamente, isso significa que ela teria acesso aos dados inicialmente.