O maior risco: espionagem privada versus espionagem pública

O receio da recolha de metadados pela NSA está tanto no potencial do governo do Grande Irmão como no presente ou, como Edward Snowden diz, uma “tirania pronta a usar”, pronta para desaparecer, mas os abusos do sector privado são outra preocupação, disse o ex-analista da CIA Paul R. Pilar escreve.

Por Paul R. Pilar

A recolha e manutenção de enormes ficheiros de informação sobre as nossas comunicações, os nossos movimentos, as nossas pesquisas online e muito mais sobre as nossas vidas individuais é, como Laura Bate observa, dificilmente algo originado pela Agência de Segurança Nacional ou qualquer outro braço do governo. De longe, a maior parte da recolha e da exploração de depósitos de dados sobre as actividades dos americanos individuais ocorre no sector privado.

Então, por que deveria haver tanto alarido sobre o que uma agência governamental pode estar fazendo nesse sentido, enquanto há equanimidade sobre a quantidade muito maior de tais atividades por parte de empresas não governamentais? Existe algo intrínseco ao governo que deveria nos deixar mais preocupados com essa mineração de dados? Consideremos as possíveis bases para concluir que possa haver.

Potencialmente, a base mais forte tem a ver com a presença ou ausência de um mercado livre e, relacionado com isso, com o facto de a actividade dos indivíduos sobre os quais os dados estão a ser recolhidos ser ou não voluntária. Quando utilizo um motor de pesquisa na Internet, utilizo voluntariamente um serviço gratuito em troca de ser exposto a alguma publicidade e permitir que o operador do motor de pesquisa ou o meu fornecedor de serviços de Internet recolha e explore dados sobre os meus interesses.

A maioria das interações com agências governamentais e especialmente agências de segurança não envolve tanto voluntarismo. Portanto, talvez seja lógico ser mais perspicaz, por esta razão, sobre o que as entidades governamentais estão fazendo.

Isso faz sentido até onde vai. Mas, na prática, a lógica esbarra rapidamente na falácia de equiparar o sector privado aos mercados livres e ao livre arbítrio. Se eu quiser serviço de telefone fixo em minha casa (e quero muito), ficarei com a Verizon. Sou forçado a permitir que a Verizon colete registros abrangentes de minhas ligações, os “metadados” sobre os quais tanto ouvimos falar.

E, claro, se alguém da Verizon quisesse ouvir o conteúdo das minhas ligações, isso também poderia ser feito, embora seja uma empresa respeitável e eu ficaria surpreso se isso acontecesse. A questão é que há muito menos livre arbítrio e livre escolha na actividade de geração de dados do sector privado do que gostaríamos de pensar e, em muitos casos, pouca ou nenhuma mais liberdade de escolha do que quando uma agência governamental está envolvida.

Isto é verdade não apenas para os monopólios de serviços públicos locais, como os sistemas telefónicos fixos, mas também para um grande número de outros serviços na era da Internet. Alguns desses serviços, incluindo o próprio acesso online, passaram rapidamente de serem vistos como inovações interessantes para serem considerados necessidades.

E, novamente, o livre arbítrio costuma ser muito menor do que gostaríamos. Este facto foi reconhecido com a acção antitrust contra a Microsoft, que estava a utilizar a sua posição de comando nos sistemas operativos para conquistar uma fatia maior do mercado de navegadores e outras aplicações.

Quando existe concorrência de mercado suficiente para que os utilizadores, teoricamente, votem com os pés, ou com os dedos no teclado, se estiverem preocupados com o que está a ser feito com os dados recolhidos sobre eles, na prática qualquer mecanismo de correção de mercado seria muito lento e desajeitado. .

Imagine que um funcionário desonesto do Google começasse a usar informações sobre pesquisas embaraçosas na web para arruinar a reputação de determinadas pessoas que ele queria caçar. Se esse tipo de abuso acontecesse muitas vezes, talvez um número significativo de usuários abandonasse o mecanismo de busca maravilhosamente eficaz do Google em favor do Bing ou de qualquer outro, e o Google se tornaria menos capaz de vender tanta publicidade como faz agora. Mas o processo corretivo seria lento e complicado e, enquanto isso, um monte de gente teria a sua reputação arruinada.

Outra base possível para distinguir a acumulação de dados nos sectores público e privado é perguntar que controlos ou verificações se aplicam a cada um. Aqui há de facto uma grande diferença, e a diferença reside no sentido de haver muito mais controlos e verificações aplicados às agências governamentais do que às empresas do sector privado.

Para os órgãos de segurança existe toda a estrutura legal, que remonta à década de 1970 e se fortaleceu desde então, de restrições e fiscalização parlamentar. Não existe nada que se assemelhe remotamente a esse tipo de controlos externos para a prospeção de dados no setor privado.

Depois, há todas as verificações e controles internos, que, como Bate menciona no caso da NSA, são extensos. Estas incluem a compartimentação da informação, uma segunda natureza para as agências de segurança, que utilizam a compartimentação para proteger informações sensíveis de segurança nacional, mesmo que não haja qualquer questão de privacidade pessoal dos cidadãos dos EUA.

A alta administração da NSA diz publicamente que apenas 22 pessoas na sua agência conseguem consultar os metadados telefónicos que são preocupantes. Quantas pessoas na Verizon podem fazer algo com o registro abrangente de minhas ligações telefônicas? Não tenho a menor ideia, e provavelmente ninguém fora da Verizon também.

Outra questão a colocar é como os sectores público e privado podem diferir no que diz respeito ao potencial de abuso, não apenas em termos de acesso e capacidade, mas também de incentivos. Para a maioria dos tipos concebíveis de abuso individual, não há razão para esperar que os incentivos ao abuso individual apareçam mais num tipo de organização do que no outro.

Um potencial agressor que esteja pensando, por exemplo, em consultar o histórico de ligações de um ex-cônjuge pode surgir tanto no setor público quanto no privado. Os desincentivos a este tipo de abuso são provavelmente mais fortes nas agências de segurança, dado o regime regular de nova investigação a que são submetidas as pessoas com habilitações de segurança.

Quanto aos incentivos que são mais institucionais do que individuais, existem outras diferenças. Como exemplo de uma utilização errada e destrutiva da prospeção de dados, pensemos numa pessoa inocente que foi colocada numa lista de exclusão aérea e, como resultado, teve o seu negócio prejudicado devido à sua incapacidade de voar.

As agências governamentais não têm nenhum incentivo concebível para que isso aconteça. Para eles, os falsos positivos apenas acrescentam confusão e tornam mais difícil o cumprimento da missão que lhes foi atribuída, como manter terroristas reais fora dos aviões. E quando um erro deste tipo acontece e se torna público, como colocar Ted Kennedy numa lista de exclusão aérea, é uma vergonha para as agências responsáveis.

No sector privado, contudo, há sempre interesses comerciais e financeiros em jogo. Esses interesses podem muito bem constituir um incentivo, por exemplo para concorrentes no mesmo ramo de negócio, para prejudicar o negócio de outra pessoa.

Além de todos estes critérios, também se deve perguntar que benefício ou bem maior está a ser proporcionado à pessoa sobre quem os dados estão a ser recolhidos, bem como talvez a outros. Por outras palavras, o que está a ser comprado em troca de quaisquer riscos ou intrusões envolvidos na recolha de dados?

Com o tipo de prospecção de dados que a NSA faz, o benefício presumido reside na forma de uma maior protecção contra terroristas, ou talvez de outras contribuições para a segurança nacional. Tem havido debate, claro, sobre quanto deste tipo de benefício está a ser obtido, mas pelo menos o objectivo é aquele que a maioria dos americanos consideraria importante.

A resposta correspondente para o uso de big data pelo setor privado é mais difícil de encontrar. Pareceria consistir em algo como uma melhor adaptação dos anúncios que aparecem na tela do computador do usuário, o que poderia agilizar as compras online. Legal, talvez, mas dificilmente no mesmo nível da segurança nacional.

Seguem-se duas conclusões gerais. Uma delas é que existem razões substancialmente mais fortes para se preocupar com a recolha e utilização de big data no sector privado do que nas agências governamentais.

A outra é que o padrão predominante de consternação pública relativamente a este assunto, centrado, no entanto, nas agências governamentais, indica que a consternação não é motivada por qualquer consideração cuidadosa dos riscos, custos, benefícios, incentivos e escolhas. Em vez disso, é impulsionado por uma imagem grosseira das agências governamentais, e especialmente de certos tipos de agências governamentais, como Grandes Irmãos dignos de suspeita ou mesmo de aversão.

Os sentimentos em relação às empresas do sector privado variam, mas o maior contraste com a imagem do governo é desfrutado pelos titãs de Silicon Valley e pelas empresas que dirigem, que têm o estatuto de heróis.

A crueza que impulsiona os sentimentos é uma das principais razões (a inconsistência ao longo do tempo no que o público americano espera das agências governamentais envolvidas é outra grande razão) não deveríamos ficar surpresos se o moral em um lugar como a NSA é baixo.

Paul R. Pillar, em seus 28 anos na Agência Central de Inteligência, tornou-se um dos principais analistas da agência. Ele agora é professor visitante na Universidade de Georgetown para estudos de segurança. (Este artigo apareceu pela primeira vez como um post de blog no site do Interesse Nacional. Reimpresso com permissão do autor.)