Como as autoridades estabelecem a escravidão digital para os cidadãos

2024 Autor: Seth Attwood | [email protected]. Última modificação: 2023-12-16 16:14

Até recentemente, os passes digitais para se locomover pela cidade pareciam aos russos um elemento selvagem de uma distopia cyberpunk. Além disso, hoje é uma realidade: desde ontem em Moscou, eles se tornaram obrigatórios para o transporte público. Como aconteceu, por que tantos países criaram sistemas de controle digital para a movimentação de cidadãos e se essa vigilância cessará após o fim da pandemia - em um novo material de pesquisadores do Center for Advanced Management Solutions.

Contexto geral

A tendência geral na resposta dos países à epidemia de coronavírus é fortalecer o controle sobre os cidadãos. Com base na análise de dados de operadoras móveis, bancos, agências de aplicação da lei, o estado calcula os contatos das pessoas infectadas e também monitora a conformidade dos cidadãos com o auto-isolamento e a quarentena. Muitas publicações sobre o tema levantam questões de privacidade e observância dos direitos dos cidadãos, pintando um quadro sombrio de uma “sociedade de vigilância”.

Recolhemos vários episódios da introdução de medidas especiais de controlo digital por diferentes estados e procurámos compreender os riscos que estas medidas acarretam pelo facto de o acesso à informação sobre a circulação e vida pessoal dos cidadãos ser facultado a vários departamentos burocráticos de uma só vez.

Israel: polícia, agências de inteligência, Ministério da Saúde

O que aconteceu?

Em 19 de março, o governo israelense introduziu a quarentena parcial em todo o país. Como parte das medidas provisórias alguns dias antes, em 15 e 17 de março, as autoridades emitiram duas ordens de emergência que ampliaram os poderes da polícia para realizar buscas e também permitiram que o Serviço de Segurança de Israel (Shin Bet) usasse vigilância digital para combater a epidemia de coronavírus …

Quem exerce o controle e como?

Todos os cidadãos do país infectados com o coronavírus, bem como aqueles que tiveram contato com eles, são colocados em quarentena obrigatória de duas semanas. No âmbito das ordens de emergência, a polícia, como medida provisória, poderá determinar a atual geolocalização dessas pessoas em detrimento dos dados das torres de celular, sem uma decisão judicial adicional. Por sua vez, os serviços especiais poderão ter acesso não só à localização atual de uma pessoa, mas também ao histórico de seus movimentos. Além disso, o Ministério da Saúde de Israel lançou seu próprio aplicativo para smartphone que atualiza continuamente os dados de localização de pessoas infectadas recebidos de policiais e avisa o usuário se ele estiver perto deles.

Por um lado, isto permite não só verificar o quão conscienciosamente uma pessoa cumpre o regime de quarentena, mas também identificar um círculo aproximado de contactos com outras pessoas que também podem ter sido infectadas. Mas, por outro lado, em tempos normais, essas tecnologias de "rastreamento digital denso" são usadas apenas para capturar criminosos e terroristas.

Esses poderes extraordinários das forças de segurança vão durar até meados de junho - depois disso, todos os dados recebidos devem ser destruídos. No entanto, o Ministério da Saúde poderá estender o período de armazenamento dos dados coletados dessa forma em dois meses para pesquisas adicionais.

Coreia do Sul: autocontrole policial e civil

O que aconteceu?

Em fevereiro de 2020, a República da Coréia se tornou um dos países com crescimento mais rápido para a epidemia de coronavírus.

As autoridades conseguiram, de forma bastante rápida e eficaz, primeiro nivelar e depois reduzir a taxa de propagação da infecção

Em parte, isso se deve ao fato de a Coréia ter uma vasta experiência no combate à epidemia: em 2015, o país enfrentou um surto de Síndrome Respiratória do Oriente Médio (MERS), após o qual todo um sistema de medidas epidemiológicas foi desenvolvido. No entanto, o fator decisivo foi a organização do envio em massa de notificações sobre cada caso de infecção com informações detalhadas sobre a pessoa infectada (idade, sexo, descrição detalhada de seus movimentos e contatos recentes; em alguns casos, foi informado se a pessoa tinha uma máscara, etc.). Essa correspondência não teria sido possível sem um sistema poderoso e em grande escala de controle digital sobre o movimento e os contatos dos cidadãos sul-coreanos.

Quem exerce o controle e como?

Vários serviços já estão operando no país que usam dados pessoais para fornecer informações sobre a disseminação do coronavírus. Por exemplo, o site Coroniata publica informações sobre o número total de casos, bem como sobre as zonas onde foram registrados os maiores surtos de infecção. O segundo recurso, Coronamap, é um mapa que mostra quando e em que lugares todos os casos isolados de infecção foram registrados. O governo coreano também lançou um aplicativo oficial para smartphone para rastrear o cumprimento da quarentena de pessoas infectadas.

A República da Coreia tem uma infraestrutura digital altamente desenvolvida, portanto, rastrear e verificar os dados não é um problema para o governo. Para melhorar a precisão da análise, além dos dados de torres de celular e GPS, são utilizados dados de transações feitas com cartões bancários, sistemas de videovigilância municipal e tecnologias de reconhecimento facial.

Essa "abertura" forçada, por um lado, mostra sua eficácia na contenção da epidemia, mas, por outro lado, leva a efeitos sociais negativos. Além do fato de que as próprias pessoas infectadas com a infecção sentem uma sensação de vigilância constante, outras - "aleatórias" - pessoas também caem na zona de controle.

Como cada caso de infecção é exibido em um mapa, alguns coreanos, mesmo não estando infectados, mas correspondendo aos "pontos" rastreados, estão sujeitos à pressão pública.

Assim, os cidadãos coreanos proativos estão se juntando à polícia e aos oficiais na vigilância digital uns dos outros.

Alternativa: Polônia vs Comissão Europeia

Na União Europeia, um dos primeiros pedidos de vigilância de cidadãos obrigados a cumprir uma quarentena de 14 dias surgiu na Polónia. As autoridades exigem a instalação do aplicativo por cidadãos saudáveis que tenham entrado em contato com pessoas infectadas ou potencialmente infectadas, bem como por todos que retornam do exterior. Desde o início de abril, a instalação do aplicativo passou a ser obrigatória por lei.

O aplicativo Home Quarantine (Kwarantanna domowa) envia aleatoriamente uma notificação várias vezes ao dia com a solicitação de fazer upload de sua própria foto (selfie) em 20 minutos. Segundo o site do governo polonês, o aplicativo verifica a localização do usuário (por GPS) e também usa o reconhecimento facial. Se o pedido de envio de uma foto não for atendido, a polícia pode vir ao endereço. De acordo com o regulamento, o Ministério da Digitalização armazenará os dados pessoais dos usuários por 6 anos após a desativação do aplicativo (de acordo com o Código Civil), com exceção das fotos que são apagadas imediatamente após o encerramento da conta.

Além da Polónia, as suas próprias aplicações surgiram ou começaram a ser desenvolvidas noutros países europeus, por exemplo na Áustria (com a participação da Cruz Vermelha local), França, Irlanda e Alemanha.

Neste contexto, a Comissão Europeia propôs a realização de uma aplicação pan-europeia para rastrear a propagação do coronavírus em conformidade com recomendações especiais para o seu desenvolvimento, com base na lei sobre a protecção de dados pessoais na UE

Entre os princípios elencados da futura aplicação, estão indicados a eficiência de utilização dos dados do ponto de vista médico e técnico, o seu completo anonimato e a utilização apenas para a criação de um modelo de propagação do vírus. Para reduzir o risco de vazamento de dados pessoais, os desenvolvedores de aplicativos terão que aderir ao princípio da descentralização - as informações sobre os movimentos de uma pessoa infectada serão enviadas apenas para os dispositivos de pessoas que poderiam entrar em contato com ela. Separadamente, foi enfatizado que as medidas tomadas devem ser justificadas e temporárias.

O prazo para apresentação de propostas de implementação dessas medidas é até 15 de abril. Além disso, até 31 de maio, os Estados-Membros da UE terão de informar a Comissão Europeia das medidas tomadas e disponibilizá-las para avaliação pelos pares pelos membros da UE e pela Comissão Europeia. A Comissão Europeia avaliará os progressos realizados e publicará periodicamente relatórios a partir de junho com novas recomendações, incluindo a eliminação de medidas que já não sejam necessárias.

Rússia: o Ministério das Telecomunicações e Comunicações de Massa, operadoras móveis e regiões

O que aconteceu?

Do final de fevereiro ao início de março, após a introdução de medidas para conter a propagação do coronavírus, os primeiros casos de reforço do controle sobre a população por meios técnicos apareceram na Rússia. De acordo com Mediazona, os policiais foram até o infrator da quarentena com uma fotografia, provavelmente tirada por uma câmera, que estava conectada a um sistema de reconhecimento de rosto. Mikhail Mishustin instruiu o Ministério de Telecomunicações e Comunicações de Massa a criar até 27 de março um sistema para rastrear contatos de pacientes com infecção por coronavírus com base nos dados de operadoras de celular. Segundo a Vedomosti, no dia 1º de abril, esse sistema já estava funcionando. Paralelamente, as entidades constituintes da Federação Russa começaram a desenvolver suas soluções. Em Moscou, no início de abril, lançaram um sistema de monitoramento de pacientes com coronavírus por meio do aplicativo Social Monitoring, e também prepararam a introdução de passes com códigos especiais (o decreto de introdução foi assinado em 11 de abril). Na região de Nizhny Novgorod, a primeira das regiões, foi introduzido o controle por QR codes, no Tartaristão - por SMS.

Quem exerce o controle e como?

O controle digital cobre principalmente cidadãos infectados ou em quarentena oficial. Para rastrear seus movimentos, o Ministério das Telecomunicações e Comunicações de Massa solicita “dados de números e datas de internação ou data de quarentena”. Esses dados são transmitidos às operadoras de celular, que monitoram o cumprimento das condições de quarentena. O infrator das condições recebe uma mensagem e, em caso de violação repetida, os dados são transferidos para a polícia. De acordo com o Vedomosti, os funcionários responsáveis nas entidades constituintes da Rússia inserirão os dados no sistema. Ao mesmo tempo, Roskomnadzor acredita que o uso de números sem especificar endereços e nomes de assinantes de operadoras de celular não viola a lei de dados pessoais.

Além dessas medidas, a geolocalização dos pacientes é monitorada em Moscou por meio do aplicativo Social Monitoring instalado em smartphones especialmente emitidos para os cidadãos. Para confirmar a informação de que o usuário está em casa, ao lado do telefone, o aplicativo exige que uma foto seja tirada periodicamente

Segundo o chefe do Departamento de Tecnologia da Informação de Moscou (DIT), a transferência de dados sobre o usuário é regulada por um acordo que ele assina ao escolher a opção de tratamento em casa. Eles são armazenados em servidores DIT e serão excluídos após o final da quarentena. Além disso, o controle é exercido sobre todos os carros daqueles que são obrigados a sentar-se em quarentena oficial (pacientes e seus entes queridos), bem como através do sistema de videovigilância da cidade.

Em 11 de abril, o prefeito de Moscou assinou um decreto sobre a introdução de passes digitais para viagens em Moscou e na região de Moscou por transporte público e privado. Os passes começaram a ser emitidos no dia 13 de abril e passaram a ser obrigatórios no dia 15, podendo ser obtidos no site da Prefeitura de Moscou, por SMS ou ligando para o serviço de informações. Para emitir um passe, você deve fornecer dados pessoais, incluindo seu passaporte, número do carro ou passe de transporte público (cartão Troika), bem como o nome do empregador com NIF ou rota de viagem. O passe não é necessário para se locomover pela cidade a pé, sujeito às restrições introduzidas anteriormente.

Passes para controlar o movimento de cidadãos também foram introduzidos em outras regiões da Rússia:

Em 30 de março, o governador da região de Astrakhan, Igor Babushkin, assinou um pedido de passes especiais durante a quarentena. No dia 13 de abril, foi lançada na região uma plataforma eletrônica para emissão de passes. As inscrições são enviadas em um site especial, um passe com um código QR é enviado para o e-mail do candidato. O governador também orientou a conferir os passes emitidos anteriormente de acordo com as listas fornecidas pelas entidades.

Na região de Saratov em 31 de março, um sistema de passes foi introduzido. Inicialmente, ficou definido que os passes para cidadãos trabalhadores serão emitidos em suporte de papel com a necessidade de certificação nas administrações. Logo no primeiro dia, isso gerou filas, o que atrasou o lançamento do sistema de acesso. O governo regional acrescentou a opção de obter passes eletronicamente. A introdução dos passes foi adiada mais duas vezes.

Em 31 de março, o Tartaristão aprovou o procedimento para a emissão de licenças para o movimento de cidadãos. As licenças são emitidas por meio de um serviço de SMS: primeiro você precisa se registrar e receber um código exclusivo e, em seguida, enviar uma solicitação para cada movimento. O decreto define os casos para os quais a permissão não é necessária. Para os cidadãos que trabalham, é fornecido um certificado do empregador. Após o lançamento, foram feitas mudanças no serviço: no dia 5 de abril, a lista de dados necessários para o cadastramento foi limitada e, no dia 12 de abril, foi ampliado o intervalo entre a emissão das licenças para combater os abusos do sistema.

Na região de Rostov, a exigência de emissão de certificados para funcionários de organizações que continuaram a operar durante a epidemia foi introduzida em 1º de abril pelo governador Vasily Golubev. Em 4 de abril, o controle sobre os carros na entrada de Rostov-on-Don foi reforçado, o que gerou muitos quilômetros de congestionamentos. Em 7 de abril, Rostovgazeta.ru informou que as autoridades regionais estão considerando a possibilidade de introduzir um "passe inteligente".

Na região de Nizhny Novgorod, o mecanismo de controle foi aprovado por decreto do governador Gleb Nikitin em 2 de abril. O pedido de passe é feito através do serviço "Cartão de residente na região de Nizhny Novgorod" em um site especial ou através de um aplicativo móvel para dispositivos Apple, bem como ligando para o help desk. Depois de analisar o pedido, o requerente recebe um passe na forma de um código QR para um smartphone ou um número de aplicativo. Para as pessoas jurídicas, existe um procedimento para a emissão de confirmações de que podem operar em dias não úteis por conta da epidemia.

Em 12 de abril, no contexto da criação de várias soluções digitais para controle de acesso em nível regional, o Ministério de Telecomunicações e Comunicações de Massa da Federação Russa lançou o aplicativo federal "State Services Stopcoronavirus" (disponível para dispositivos Apple e Android) em um formato de teste. De acordo com o ministério, o aplicativo pode ser adaptado às condições de uma região específica, exceto para Moscou, onde uma solução diferente está em vigor (veja acima). Sem as decisões relevantes das autoridades regionais, a aplicação do Ministério das Telecomunicações e Comunicações de Massa não é obrigatória. A primeira região onde essa solução será usada será a região de Moscou - o governador Andrei Vorobyov anunciou isso na noite de 12 de abril.

O estado protegerá os dados pessoais?

Comentário do especialista em segurança da informação Ivan Begtin

A abordagem europeia na tentativa de acomodar os requisitos legais para proteção de dados é geralmente correta. A UE dedica mais atenção e recursos a estas questões do que na Rússia. Mas devemos entender que ninguém está protegido do problema de vazamento de dados, principalmente devido ao fator humano. Já houve precedentes, por exemplo, vazamentos de dados de eleitores na Turquia, casos com empresas privadas. Agora, quando os sistemas são criados em execução, eu não descartaria essa possibilidade. Com os dados de "Gosuslug" isso ainda não aconteceu, mas, talvez, tudo tenha seu tempo.

Os motivos podem variar. Digamos que a falta de segurança de um banco de dados acessado remotamente. Hackers ou especialistas em segurança podem detectar isso e obter todas as informações. Existem serviços especiais Censys e Shodan que são usados para pesquisar essas vulnerabilidades técnicas.

Outra opção é quando os dados são usados indevidamente com intenção direta. Ou seja, as pessoas que têm acesso a bancos de dados usam isso para extrair benefícios.

Faz sentido monitorar diferentes serviços para "invadir" as pessoas. Na Rússia, por exemplo, existem cerca de cinco desses serviços que oferecem um serviço de verificação de pessoas

Ou seja, não é necessário que todo o banco de dados seja mesclado, mas quem tiver acesso remoto a ele pode "socar" as pessoas e vender essas informações. Isso pode ser feito por servidores públicos, empreiteiros que participaram da criação desses sistemas. Ou seja, pessoas que têm acesso a eles. Na Rússia, isso é bastante comum: se você pesquisar na Internet por serviços de "perfuração", poderá encontrar muitos. Freqüentemente, são dados do Ministério de Assuntos Internos, da polícia de trânsito, do Serviço Federal de Migração e de outras organizações governamentais.

Temores de que o estado possa manter a infraestrutura de controle sobre os cidadãos não são infundados. Em princípio, todos que coletam dados não querem se separar deles. O mesmo é com as redes sociais: se você chegar lá, então, provavelmente, as informações sobre você ainda permanecerão lá, mesmo que você tenha excluído sua conta. Os serviços públicos têm um grande interesse na recolha de dados sobre os cidadãos e irão tirar partido da situação actual. Ao mesmo tempo, eles, inclusive sob pressão de organizações públicas, comprometem-se publicamente a excluir os dados após o fim da pandemia. Mesmo assim, a motivação para a preservação dessa infraestrutura é muito grande por parte dos órgãos governamentais.

Por que isso está acontecendo?

Para garantir o controle da propagação da epidemia, agências governamentais em diferentes países estão agindo de forma semelhante: estão expandindo suas ferramentas para rastrear os movimentos e contatos dos cidadãos. Essas medidas adicionais vão além do que é considerado aceitável em tempos normais, mas essas ações dos governos encontraram pouca resistência dos cidadãos. Isso pode ser explicado pelo conceito de securitização de políticas.

Securitização é um termo originalmente cunhado pela Escola de Estudos de Segurança de Copenhagen, Barry Buzan, Ole Wever e Jaap de Wilde. Em um livro de 1998, eles definem a securitização como "uma ação que leva a política para fora das regras estabelecidas do jogo e apresenta a questão como algo acima da política". A securitização começa com um ator (por exemplo, líder político, governo) usando termos relacionados à segurança, ameaça, guerra, etc., dentro do discurso comum, e o público aceita essa interpretação. O sucesso de uma securitização consiste em três elementos:

o uso da "gramática de segurança" ao apresentar uma questão - isto é, no nível da linguagem, apresentá-la como uma ameaça existencial (no caso de uma epidemia de coronavírus, é, por exemplo, o uso de vocabulário militarizado e o confronto da luta contra a uma linha com os julgamentos históricos do país);

o ator tem autoridade significativa para que o público perceba sua interpretação e “intrusão no discurso” (liderança do país, profissionais médicos, OMS);

a conexão da ameaça atual com algo do passado que realmente representava tal ameaça (a experiência de epidemias anteriores, inclusive históricas, por exemplo, a peste na Europa, contribui para a percepção como tal da epidemia atual).

A atenção global ao problema do coronavírus também serve como um exemplo de securitização: pesquisas na Rússia e em outros países mostram um aumento nos temores sobre a epidemia.

As sociedades aceitam a interpretação dos atores da securitização, legitimando assim o afastamento das regras usuais de combate à ameaça, incluindo a introdução de controles digitais especiais que geralmente violam nossos direitos de privacidade

Do ponto de vista da gestão de crises, a securitização tem benefícios claros. A introdução de medidas de emergência pode acelerar a tomada de decisão e implementação e reduzir os riscos representados pela ameaça. No entanto, o processo de securitização está associado a consequências negativas tanto para o sistema de administração pública como para toda a sociedade.

Em primeiro lugar, a introdução de novas medidas de emergência reduz a responsabilidade das autoridades. Durante uma crise, os instrumentos de controle civil, inclusive sobre novas medidas de segurança, podem ser limitados ou simplesmente ainda não construídos. A falta de responsabilidade aumenta a probabilidade de erro acidental e abuso deliberado por parte de funcionários comuns. Um exemplo disso são as violações por parte de oficiais da inteligência americana, conhecidas graças ao vazamento organizado por Edward Snowden. Usando ferramentas de controle digital que caíram em suas mãos, vários funcionários da NSA as usaram para espionar seus cônjuges ou amantes. Além disso, durante o mesmo período, o FBI abusou do acesso aos dados da NSA relativos a cidadãos americanos, em muitos casos sem justificativa legal suficiente.

Em segundo lugar, a titularização de qualquer emissão está sujeita ao risco de algumas das medidas introduzidas em caráter de emergência não serem canceladas imediatamente após o fim do período de crise e a normalização da situação

Um exemplo disso é o Patriot Act, aprovado nos Estados Unidos em outubro de 2001 após os ataques de 11 de setembro, que expandiu a capacidade do governo de espionar os cidadãos. Os termos de ação de muitas disposições da lei deveriam expirar no final de 2005, mas na realidade foram repetidamente prorrogados - e a lei com as alterações sobreviveu até hoje.